Routing miedzy podsieciami w topologii gwiazdy

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

Routing miedzy podsieciami w topologii gwiazdy

#1

#1 Post autor: jeanas » 26 cze 2018, 19:24

Cześć

Czy można i jeśli tak to jak, zdefiniować routing pomiędzy podsieciami LAN A i LAN C (za routerami A i C) w konfiguracji:
oddział A (router A, LAN A) --> (Site-to-Site VPN) -- centrala B (router B, LAN B) --> (Site-to-Site VPN)-- odział C (router C, LAN C)
gdzie pomiędzy routerami A i B, oraz B i C są zestawione pojedyncze tunele wg:
https://www.cisco.com/c/en/us/support/d ... ig-00.html
bez zastosowania tuneli GRE lub VTI

nawiązuję tu do tematu
viewtopic.php?f=42&t=25498
gdzie chciałbym wpinać routery innego vendora zamiast cisco.

pozdrawiam
Jeanas.

ms
wannabe
wannabe
Posty: 106
Rejestracja: 22 kwie 2009, 12:54
Kontakt:

Re: Routing miedzy podsieciami w topologii gwiazdy

#2

#2 Post autor: ms » 28 cze 2018, 19:32

Tak, jak najbardziej można i da się. Ale to się nie skaluje, więc jakiekolwiek interfejsy Tunnel z routingiem dynamicznym sprawdzą się lepiej.

RouterA
W cryptomapie do B jest cryptoACL:

Kod: Zaznacz cały

permit ip LanA LanB
permit ip LanA LanC
RouterC
W cryptomapie do B jest cryptoACL:

Kod: Zaznacz cały

permit ip LanC LanB
permit ip LanC LanA
RouterB
W cryptomapie do A jest cryptoACL:

Kod: Zaznacz cały

permit ip LanB LanA
permit ip LanC LanA
W cryptomapie do C jest cryptoACL:

Kod: Zaznacz cały

permit ip LanB LanC
permit ip LanA LanC
Pokazujemy to na różnych szkoleniach :), np.
ASA -> https://csproidea.pl/kurs/asa/
CCNA Security (w zależności od czasu, ale zawsze omawiamy) -> https://csproidea.pl/kurs/ccna-security ... rity-iins/

Rozwiązanie działa, ale już przy kilku peerach robi się z tego mały koszmarek konfiguracyjny.

Pozdrawiam,

jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

Re: Routing miedzy podsieciami w topologii gwiazdy

#3

#3 Post autor: jeanas » 03 lip 2018, 21:13

ms pisze:
28 cze 2018, 19:32
Tak, jak najbardziej można i da się. Ale to się nie skaluje, więc jakiekolwiek interfejsy Tunnel z routingiem dynamicznym sprawdzą się lepiej.

.........
Rozwiązanie działa, ale już przy kilku peerach robi się z tego mały koszmarek konfiguracyjny.

Pozdrawiam,
Dzięki ms
Działa, szczególnie że przetestowałem na urządzeniach innego vendora (zyxel UTM). Szczerze mówiąc szukam właśnie innego vendora którego urządzenia obsłużą tunnel IPSec o przepustowości ok 100Mbps. Oczywiście w wersji budżetowej do ok 2000 pln netto za appliance do małego oddziału. Cisco niestety wychodzi ponad to, także nowa linia ISR 1100 gdzie i tak za dodatkową przepustowość IPSec trzeba dopłacić. Podobnie Juniper wukracza ponad budżet.

Co do małej elastyczności rozwiązania bez interfejsów Tunnel z routingiem dynamicznym - mam tego świadomość.
Czy możesz coś polecić co obsłuży Tunnele numerowane innego vendora niż Cisco?

pozdrawiam
Jeanas

ms
wannabe
wannabe
Posty: 106
Rejestracja: 22 kwie 2009, 12:54
Kontakt:

Re: Routing miedzy podsieciami w topologii gwiazdy

#4

#4 Post autor: ms » 05 lip 2018, 19:19

Jak ma być budżetowo to np. MikroTik, choć niektórzy za chwilę pewnie napiszą, że to się do niczego nie nadaje :). Niemniej jednak np. GRE over IPSec z OSPF zestawiony do Cisco po prostu działa. Przepustowość 100Mb/s obsłuży praktycznie chyba każdy aktualny model ze wsparciem sprzętowym dla IPSec.

Pytanie też co ten router ma robić poza VPN i co za ruch będzie latał tym VPN. Bo gdy np. pakiety o pełnym MTU (np. jakieś backupy) to można by się też ewentualnie przyglądnąć Cisco 892. Te ok 100Mb/s to właśnie taki max dla niego (w optymalnych warunkach), więc trzeba by to zdecydowanie przetestować, ale platforma byłaby jednak tak na styk (więc pytanie czy warto).

Pozdrawiam,

ODPOWIEDZ