Всем привет.
Есть достаточно типовая задача, но как лучше ее решать не знаю.
У нашей организации сеть 6 офисов. Сейчас между некоторыми IPSeC.
Задача : сделать VPN между всеми офисами, чтобы маршрутизация была из любого офиса в любой. Также хотелось бы внутри VPN запустить ospf.
Везде микротики стоят.
Какой тип VPN выбрать для полной связности?
Выбор типа VPN
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Там где белые адреса - GRE обернутый IPSec'ом.
Если где-то есть серые - туда L2TP, опять же с IPSec'ом.
Если где-то есть серые - туда L2TP, опять же с IPSec'ом.
Telegram: @thexvo
-
mostrakt
- Сообщения: 4
- Зарегистрирован: 29 окт 2020, 15:38
- Откуда: Ярославль
понятно. Везде белые статика есть. еще пару уточняющих вопросов:
1. А какая топология связей должна быть между офисами? Все со всеми? Или произвольно?
1. А какая топология связей должна быть между офисами? Все со всеми? Или произвольно?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Никому она особо ничего не должна :)
Соединять все со всеми особого смысла нет, достаточно 2-3 туннеля на каждом.
Там где провайдеров несколько - по 2-3 через каждого провайдера.
Опять же если есть выраженный центр - то лучше от него построить ко всем переферийным узлам. А из остальных кольцо сделать, например.
Еще вариант - два "центра".
Telegram: @thexvo
-
SinnerLike
- Сообщения: 70
- Зарегистрирован: 03 окт 2016, 08:13
- Откуда: Когалым
Если везде белая статика, то как вам посоветовали GRE over IPsec
И если собираетесь настраивать ospf и, в офисах разные провайдеры, то соединяйте все со всеми.
cost'ы ставьте по степени "жирности" каналов.
Вот мое извращение:
И если собираетесь настраивать ospf и, в офисах разные провайдеры, то соединяйте все со всеми.
cost'ы ставьте по степени "жирности" каналов.
Вот мое извращение:
Дома: hAP ac
На работе: Зоопарк.
На работе: Зоопарк.
-
kharkov_max
- Сообщения: 104
- Зарегистрирован: 04 окт 2015, 21:38
Тут еще момент где основные ресурсы находятся. Если сервера в одном месте, офисе, звезды достаточно. А ради эксперимента можно все со всеми...
-
SinnerLike
- Сообщения: 70
- Зарегистрирован: 03 окт 2016, 08:13
- Откуда: Когалым
У меня между двумя провайдерами часто падает интернет. Минут на 5-10. Не часто, но бывает.
Дома: hAP ac
На работе: Зоопарк.
На работе: Зоопарк.
-
imaoskol
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Я использую l2tp + ipsec и ospf
Лучше выбирать как говорят коллеги между GRE и L2tp , они самые "быстрые"
Маршрутизация - OSPF. Но OSPF смотрит на самые "быстрые" линки, не всегда такая маршрутизация подходит всем. Может Вам лучше даже RIP - он по кратчайшему пути ( переходы) работает. Тут надо смотреть что у вас там за каналы.
Ну и конечно у Вас будет однозоновый ospf я так понимаю. А это нагрузка на маршрутизаторы - чем больше сеть тем больше накладные расходы протокола динамической маршрутизации.
Если расширения не планируется может Вам даже лучше сделать полносвязную топологию: сделать туннели всем ко всем и забетонировать маршруты статически ручками и резеврвные и бэкапные: Но тут щас коллеги накинутся на меня)))
Вообщем Вам надо хорошенько подумать, проанализировать где какие каналы и оборудование ( слабые роутеры могут быть сильно нагружены работой ipsec и ospf) и решить этот вопрос на "берегу"
Ну а классически, да : GRE,IPSEC,OSPF
Ваша задача решается нормально у Cisco с помощью DMVPN и EIGRP
Там туннели строятся динамически между филиалами. И сама маршрутизация EIGRP считает метрику по многим параметрам а не только по скорости или кол-ву переходов.
Лучше выбирать как говорят коллеги между GRE и L2tp , они самые "быстрые"
Маршрутизация - OSPF. Но OSPF смотрит на самые "быстрые" линки, не всегда такая маршрутизация подходит всем. Может Вам лучше даже RIP - он по кратчайшему пути ( переходы) работает. Тут надо смотреть что у вас там за каналы.
Ну и конечно у Вас будет однозоновый ospf я так понимаю. А это нагрузка на маршрутизаторы - чем больше сеть тем больше накладные расходы протокола динамической маршрутизации.
Если расширения не планируется может Вам даже лучше сделать полносвязную топологию: сделать туннели всем ко всем и забетонировать маршруты статически ручками и резеврвные и бэкапные: Но тут щас коллеги накинутся на меня)))
Вообщем Вам надо хорошенько подумать, проанализировать где какие каналы и оборудование ( слабые роутеры могут быть сильно нагружены работой ipsec и ospf) и решить этот вопрос на "берегу"
Ну а классически, да : GRE,IPSEC,OSPF
Ваша задача решается нормально у Cisco с помощью DMVPN и EIGRP
Там туннели строятся динамически между филиалами. И сама маршрутизация EIGRP считает метрику по многим параметрам а не только по скорости или кол-ву переходов.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
1) Чтобы OSPF ощутимо нагрузил участвующие роутеры, их должно быть сильно больше, чем 6. Ну и да, начиная с какого-то момента надо начинать дробить на отдельные area. Собственно, можно и сразу :)
2) Метрику OSPF вполне можно использовать не совсем по назначению.
2) Метрику OSPF вполне можно использовать не совсем по назначению.
Telegram: @thexvo
-
imaoskol
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
1) OSPF + IPSEC а если там ещё и AES256 то может запросто загрузить слабую железку..