суббота, 25 июня 2016 г.

Пару слов о VPN туннелях







Задача - вас есть 2 и более филиалов территориально распределенных и вам надо сделать их сети доступными друг для друга.
Какие есть варианты
1 Дорого , но хорошо. Пробросить свои оптические каналы (например ГазПром или Роснефть)
или арендовать сие добро у провайдера. Сразу хочу сказать - стоит дорого, потребует некоторого гемморая с договорами у провайдеров + оборудование с SFP модулями.  Я в таких случая обычно юзал Juniper. Но тут кому что нравиться, просто я лично (исключительно мое мнение) что Cisco это дорого и глупо.
И опять же если за бюджет ИТ отделов вашей конторы отвечаете вы.
 - Так же, хотя и не обязательно, понадобиться своя автономка. (AS)
2 VPN.
Аппаратный Тут возможностей много. Начинаю от тех же недешвых Cisco, HP, или Juniper и кончая бюджетным MikroTik или домашними D-link.
На счет настройки Cisco и т п - я уверен что ЛЮБОЙ админ, если он умеет читать и знает про сайты |Google и Yandex - сможет их настроить.

Программный. Тут снова есть два основных варианта. IPSEC или VPN (лучше OpenVPN - так как популярен и работоспособен)
Если у вас NAT ы, то с IPSEC будут трудности. Это решаемо, но мне лично удобнее OpenVPN.

Разберем его настройку в двух вариантах Peer-to-Peer. Когда соединять будем 2 программных роутера. На базе PfSense (это FreeBSD с вебмордой и некоторым пристройками все работает на базе PF ) Если кому не нравиться - то те же собсно настройки подойдут для любой Unix OS.

1 Вариант - у вас в офисах подсети Разные. Это хорошо когда у вас
 - больше чем 250 машин (я к сати делаю просто 16-ю сеть)
 - Исторически так сложилось и менять НИЗЯ.
 - Надо что бы сети были разными
Тогда подойдет ЭТА статья по созданию VPN канала. 
2 Вариант - у вас одна сеть в филиалами
 - У вас меньше 250 машин
 -  У вас больше 250 машин но /16 подсеть
- Вам надо собирать территориально распределенные кластер (да в разных подсетях кластре собрать можно, и тогда у него будет 2 IP или скольок там у вас подсетей, НО есть нюансы.)
- У вас много подсетей, И вам надо что бы в любом месте можно использовать любую подсеть
В этом случе - читаем ЭТО 

Я к стати старюсь использовать ВТОРОЙ вариант, даже если у меня несколько подсетей. Во первых потому что в этом случае виртуальные и физические машины даже будут в кластере спокойно мигрируют между ЦОДами и офисами. Во вторых когда сетей много, нет проблем с роутингом. 
Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)