Статьи

Построение VPN с помощью технологии EoIP

Введение

В настоящий момент постоянно возникает необходимость в организации виртуальных частных сетей (Virtual Private Network) между удаленными филиалами компании. При этом с ростом ее инфраструктуры новые подразделения могут открываться в разных городах и даже странах. Естественно, что приходиться пользоваться услугами разных операторов и провайдеров. В таком случае наиболее дешевым транспортом является публичная сеть Internet.
Как правило, наиболее распространенная структура при объединении удаленных филиалов — «звезда». Т. е. в головном подразделении располагаются основные сервера компании (web, почта, бухгалтерия и т. д.), а удаленные филиалы круглосуточно работают с их базами данных. Кроме того, бывает удобно, чтобы сотрудники разных филиалов находились в одной локальной сети.
В данной статье мы расскажем, как это довольно просто можно реализовать посредством технологии Ethernet поверх IP (EoIP), которую поддерживают все маршрутизаторы с установленной MikroTik RouterOS.

Постановка задачи

Предположим, что есть три территориально разнесенных филиала, каждый из которых подключен к Интернету в своем регионе. В локальной сети головного филиала, А располагаются сервера и мини-АТС для организации IP-телефонии. Локальные сети удаленных филиалов B и C должны получить доступ в филиал А. При этом во всех филиалах существует одно адресное пространство 10.0.1.0/24.

Настройка маршрутизатора А.

Поднимаем eoip туннель с маршрутизатором С:

[admin@routerA] > /interface eoip add remote-address=3.3.3.3 tunnel-id=0 name=eoip-tunnel1 disabled=no,

где remote-address — ip address маршрутизатора С, tunnel-id — идентификатор туннеля, должен иметь такое же значение на маршрутизаторе С.

Поднимаем eoip туннель с маршрутизатором B:

[admin@routerA] > /interface eoip add remote-address=2.2.2.2 tunnel-id=1 name=eoip-tunnel2 disabled=no,

где remote-address — ip address маршрутизатора B, tunnel-id — идентификатор туннеля, должен иметь такое же значение на маршрутизаторе B.

Поднимаем bridge между туннелями eoip и ethernet-ом — локальная сеть:

[admin@routerA] > /interface bridge add
[admin@routerA] > /interface bridge port add bridge=bridge1 interface=ether1
[admin@routerA] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel1
[admin@routerA] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel2

При таком варианте настройки бриджа филиалы В и С смогут общаться не только с филиалом, А, но и друг сдругом.

Настройка маршрутизатора C.

Поднимаем eoip туннель с маршрутизатором A:

[admin@routerC] > /interface eoip add remote-address=1.1.1.1 tunnel-id=0 name=eoip-tunnel1 disabled=no

Поднимаем bridge между интерфейсами eoip и ethernet — локальная сеть:

[admin@routerC] > /interface bridge add
[admin@routerC] > /interface bridge port add bridge=bridge1 interface=ether1
[admin@routerC] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel1

Настройка маршрутизатора B.

Поднимаем eoip туннель с маршрутизатором A:

[admin@routerB] > /interface eoip add remote-address=1.1.1.1 tunnel-id=1 name=eoip-tunnel2 disabled=no

Поднимаем bridge между интерфейсами eoip и ethernet — локальная сеть:

[admin@routerB] > /interface bridge add
[admin@routerB] > /interface bridge port add bridge=bridge1 interface=ether1
[admin@routerB] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel2

Проверка работы

Чтобы убедиться, что все работает правильно, достаточно поставить во всех филиалах ip адреса из одной подсети. Например 10.0.1.1/24 — филиал, А, 10.0.1.2/24 — филиал В, 10.0.1.3/24 — филиал С. Далее из одного филиала проверить, например командой ping, что остальные два адреса отвечают и появились в arp-таблице.

Команды диагностики

Статус и текущие настройки интерфейсов eoip-туннелей:
[admin@routerA] > /interface eoip print

Статус и текущие настройки интерфейсов bridge:
[admin@routerA] > /interface bridge print

Статус и текущие настройки портов интерфейсов bridge:
[admin@routerA] > /interface bridge port print

МАС-адреса на портах интерфейсов bridge:
[admin@routerA] > interface bridge host print

Вывод

В результате мы получили между филиалами структуру, прозрачную для трафика второго уровня. При этом Вы можете настроить свои политики безопасности для каждого офиса, отфильтровать ненужный трафик, нарезать требуемые полосы пропускания, настроить QoS и т. д., т. е. воспользоваться всеми преимуществами, которые дает RouterOS. Практическое тестирование показало, что eoip-туннель отнимает 10–15% полосы пропускания, что может быть существенно для каналов с низкой пропускной способностью. Но при этом не вносит заметных задержек, что позволяет передавать голосовой и другой приоритетный трафик без потери качества.

Перепечатка, воспроизведение в любой форме, распространение, в том числе в переводе, данного материала возможны с соблюдением правил цитирования, а при размещении их в сети Интернет необходима ссылка на http://www.mikc.ru