Мой опыт построения сложной сетевой архитектуры и импортозамещения в одном флаконе. Приятного чтения 🙂 Также можете следить за каналом в телеграмме - https://t.me/lets_about_IT
Что такое DMVPN и при чём тут Cisco?
Dynamic Multipoint VPN - технология динамического создания VPN туннелей, разработанная компанией Cisco.
Основное преимущество технологии - не нужно руками создавать туннели между каждой точкой в VPN-сети. Достаточно сделать связку между клиентом (Spoke) и сервером (Hub). После этого клиенты будут создавать туннели между собой по мере необходимости. При этом у клиентов могут быть динамические внешние адреса, при их смене не придётся перенастраивать сеть. Работает в связке с протоколом динамической маршрутизации OSPF, EIGRP, etc.
В общем отличное решение, которое я неоднократно применял для филиальных структур. Но использовал для этого оборудование Cisco.
Да и сама Cisco утверждает, что DMVPN - это традиционное классическое надежное решение для распределенной сети, которое имеет смысл менять только на SD-WAN, когда он будет готов и повсеместно распространён.
Однако возникла проблема
Cisco и так было всё труднее продвигать, а тут они совсем ушли. И не только они. В официальной поставке отвалились практически все иностранные вендоры, в том числе китайские.
И вот она - Проблема: на каком оборудовании строить новые сложные сетевые проекты и модернизировать старые.
И вот тут ребята из Eltex поступили мудро и прозорливо и реализовали у себя с недавнего времени открытый протокол DMVPN. Да-да, DMVPN теперь не проприетарный протокол Cisco. Он в целом и был основан по большей части на базе стандартных протоколов NHRP + mGRE + IPsec + маршрутизация. И реализовать этот функционал у себя - отличное решение Eltex. Забегая вперёд, скажу, что более того, они ещё и обеспечили совместимость(!) с оборудованием Cisco, но об этом позже.
Проверка боем - Проект
Перед одним из госзаказчиков возникла задача создания распределенной защищенной сети передачи данных. Количество филиальных точек в перспективе составит 50+ объектов. Сеть будет мультисервисная, поэтому топология связности может часто меняться. Любые peer-to-peer приложения потребуют частичной или полной связности точек.
Честно говоря, я бы здесь уже рассматривал решение класса SD-WAN, но их по миру то было всего 3-4 разной степени зрелости. А в России сейчас их просто нет. Поэтому, когда мы обнаружили поддержку Eltex’ом технологии DMVPN, выбор сетевой архитектуры и производителя стал практически очевиден.
Вопрос защищенности сети требовал шифрования туннелей передачи данных ГОСТовым алгоритмом шифрования и установки сертифицированного межсетевого экрана на каждом физическом адресе. Эту функцию на себя взяли межсетевые экраны ViPNet от ИнфоТекс.
Таким образом, транспортную сеть с шифрованием обеспечил отказоустойчивый кластер ViPNet HW5000 в центральном узле связи и HW1000 в филиалах, непосредственно к которым подключались каналы связи провайдеров.
Поверх построенной транспортной сети была организована сеть DMVPN по модели Dual-Hub с динамической маршрутизацией внутри на базе OSPF. В качестве отказоустойчивых Hub’ов выступили маршрутизаторы Eltex ESR-3100, в качестве клиентов (Spoke’ов) выступили маршрутизаторы Eltex ESR-1000 и ESR-200, в зависимости от размеров филиала.
И последнее, что хотелось бы отметить по технической реализации. Технология DMVPN подразумевает включение IPsec, но в нашей настройке мы его убирали, так как двойное шифрование трафика пагубно сказывается на пропускной способности.
Концептуально схему подключения можно изобразить так:
В реальности же схема получается сложнее из-за особенностей на каждом объекте 🙂
Что только нам не встретилось:
- дублирование подсетей различных объектов друг с другом, и где невозможно было скорректировать сети появлялся дополнительный source NAT,
- наличие у филиала дополнительной собственной филиальной сети, которая должна быть логически развязана с главной филиальной сетью,
- наличие дополнительных vipnet-туннелей до устройств внутри центрального узла заказчика. Эти туннели, в связи с особенностью механизма маршрутизации vipnet, легко могли ломать нужную логику прохождения трафика,
- несколько организационных единиц на одном адресе, с необходимостью разделения трафика от них,
- наличие у одной филиальной организации нескольких подразделений по адресам, с необходимостью их связности между собой.
Попытка же реализовать все эти особенности на одном сетевом устройстве грозит его серьезной функциональной и физической перегрузкой. Администрируя такое устройство, можно нарушить работоспособность сети, внося даже незначительные изменения, не проработав в голове все-все зависимости.
Поэтому и было принято решение о разделении функций сетевого маршрутизатора и межсетевого экрана. Хотя у ViPNet’ов и есть встроенная технология виртуальных ip-адресов с подчинением каждого узла и разграничением правил, и бОльшую часть функционала можно было реализовать с их помощью. Но всё-таки в первую очередь ViPNet это средство защиты, а уже потом маршрутизатор.
Дополнительно в пользу разделения функционала на два устройства сыграл вопрос ролевой модели. Сетевые администраторы могут реализовывать необходимую функциональность на одних устройствах. Администраторы ИБ могут реализовывать свои политики на других.
По итогам опытной эксплуатации
Сеть построена, задокументирована и оттестирована.
В качестве итога можно зафиксировать, что сеть, построенная на Eltex ведёт себя стабильно и предсказуемо на рабочих и пиковых нагрузках.
Теперь приятный бонус - мы смогли протестировать подключение маршрутизатора Cisco 2901 в качестве клиента (spoke). А на официальном сайте Eltex вы найдёте инструкцию, как подключать маршрутизаторы Eltex в качестве клиента (spoke) к Hub’у в виде маршрутизатора Cisco. https://docs.eltex-co.ru/pages/viewpage.action?pageId=268992539
А из этого следует простой вывод - если у вас уже есть развернутая сеть на Cisco DMVPN, то вы можете безболезненно её расширять и модернизировать с помощью оборудования Eltex. А не покупать б\ушные cisco без обновлений и поддержки. П - Прагматичный подход.
Отдельно отмечу техподдержку Eltex. Ребята реально помогают и достаточно быстро! Причем не только в случае вылавливания каких-то багов, но и в вопросах настройки, если где-то зашёл в тупик.
И да, если в этом тексте можно заподозрить рекламу, то точно не Eltex’a 🙂 А нашей команды, которая разобрала всё до косточек, прошлась по всем подводным камням и получила отличный опыт, чтобы переложить это решение на вашу инфраструктуру и развернуть его под ключ.
Так что смело обращайтесь. Напишите мне о вашей задаче в телеграмме, и мы вместе обсудим проект - @letsit_feedback_bot
Подписывайтесь на тг-канал, чтобы не пропустить новые статьи.