Введение

Сетевая инфраструктура предприятий и организаций неизбежно растет и покидает пределы одного здания, развиваясь в различных территориально распределенных филиалах. Обеспечение стабильного и безопасного канала связи между офисами компании является рядовой задачей сетевого инженера.

Приведенная схема представляет решение по организации защищенных каналов связи между центральным и дочерними филиалами компании, обеспечивающее помимо безопасности удобство администрирования и масштабирования.

Примечания и предупреждения

Подсказки содержат небольшие пояснения, помогающие быстрее освоить работу с оборудованием, или дополнительную информацию.

Примечания содержат важную информацию о настройке оборудования.

Предупреждения информируют пользователя о ситуациях, которые могут нанести вред, привести к некорректной работе системы или потере данных.

Глоссарий

  • AES (Advanced Encryption Standard) — симметричный алгоритм блочного шифрования.
  • ARP (Address Resolution Protocol) — протокол, используемый для сопоставления адресов сетевого уровня адресам канального уровня в сетях множественного доступа.
  • ARP Proxy — механизм использования протокола ARP, при котором хост отвечает на ARP-запросы для IP-адреса, не назначенного на его сетевой интерфейс.
  • BFD (Bidirectional Forwarding Detection) — протокол, предназначенный для быстрого детектирования связности между двумя маршрутизаторами.
  • BGP (Border Gateway Protocol) — протокол маршрутизации, используемый для обмена информацией о маршрутах между автономными системами.
  • DHCP (Dynamic Host Configuration Protocol) — протокол динамической настройки сетевого узла.
  • DMVPN (Dynamic Multipoint Virtual Private Network) — технология развертывания виртуальных частных сетей в схеме «точка-многоточка».
  • DMVPN Hub — роль устройства в облаке DMVPN, центральное устройство в схеме «точка-многоточка», обладающее информацией о всех членах облака DMVPN и позволяющее перенаправлять трафик, а также связывать напрямую временными туннелями любого члена облака DMVPN.
  • DMVPN Spoke — роль устройства в облаке DMVPN, после подключения к DMVPN Hub позволяет через него перенаправить трафик другим DMVPN Spoke, а также установить временный туннель до другого DMVPN Spoke.
  • DMZ (Demilitarized Zone) — сегмент сети, содержащий в себе публично доступные корпоративные сервисы.
  • DPD (Dead Peer Detection) — механизм обнаружения неактивного соседа в контексте IPsec-туннелирования.
  • ESP (Encapsulating Security Payload) — протокол, используемый в технологии IPsec для обеспечения конфиденциальности передаваемых данных, путем шифрования содержимого передаваемого IP-пакета.
  • FIB (Forwarding Information Base) — оптимизированная таблица маршрутизации, используемая для пересылки IP-пакетов.
  • Front-Door VRF — схема подключения, в которой транспортная сеть для некой виртуальной сети выносится в отдельное сетевое пространство имен.
  • GRE (Generic Routing Encapsulation) — протокол туннелирования IP-пакетов.
  • ICMP (Internet Control Message Protocol) — протокол передачи сообщений об ошибках и управляющей информации в сетях TCP/IP.
  • IKE (Internet Key Exchange) — протокол управления ключами, используемый для создания и обслуживания IPsec-туннелей.
  • IMIX (Internet mix) — шаблон типового трафика сети Интернет, проходящий через сетевое оборудование. Термин используется при описании результатов нагрузочного тестирования сетевого оборудования.
  • IPsec (IP security) — технология, реализующая через набор протоколов возможность обеспечения конфиденциальности, целостности и доступности данных, отправляемых по сетям общего пользования.
  • LACP (Link Aggregation Control Protocol) — стандартный протокол агрегирования каналов.

  • LAG (Link Aggregation Group) — группа агрегированных каналов.

  • MD5 (Message Digest 5) — 128-битный алгоритм хеширования.
  • MOBIKE — расширение протокола IKE версии 2, позволяющее использовать установленный IPsec-туннель в случае смены IP-адресации у одной из сторон IPsec-туннеля.
  • MTU (Maximum Transmission Unit) — максимальный размер пакета данных, который может быть передан по сети без фрагментации.
  • NAT (Network Address Translation) — механизм в сетях TCP/IP, позволяющий изменять поля в заголовке пакета, проходящего через маршрутизатор. В данном руководстве упоминаются: Source NAT — преобразование в заголовках пересылаемых IP-пакетов данных об отправителе пакета; Destination NAT — преобразование в заголовках пересылаемых IP-пакетов данных о получателе пакета; и Static NAT — преобразование одного IP-адреса в другой один к одному без изменения прочих заголовков.
  • NAT-OA (NAT Original Address) — IP-адрес отправителя пакета до совершения Source-NAT преобразования, используется в протоколах. 
  • NBMA (Non-Broadcast Multiple Access network) — cеть, в которую подключено несколько устройств, данные между которыми передаются только напрямую с одного устройства на другое. Возможность отправки широковещательной рассылки, которую получат все устройства, при этом отсутствует.
  • NHRP (Next Hop Resolution Protocol) — клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA-сети, динамически выучить NBMA-адреса (физические адреса) друг друга.
  • PFS (Perfect forward secrecy) — механизм, который вызывает новый обмен ключами Диффи-Хеллмана каждый раз, когда переустанавливается дочерняя ассоциация безопасности IPsec-туннеля.
  • PPPoE (Point-to-Point Protocol over Ethernet) — сетевой протокол канального уровня для передачи кадров протокола PPP через сети Ethernet, часто используемый интернет-провайдерами как механизм предоставления доступа абонентам в сеть Интернет.
  • RIB (Routing Information Base) — таблица маршрутизации, содержащая в себе всю маршрутную информацию, получаемую из различных источников.
  • SFP (Small Form-factor Pluggable) — промышленный стандарт модульных компактных приемопередатчиков (трансиверов), используемых для передачи и приема данных в телекоммуникационном оборудовании.
  • SHA2 (Secure Hash Algorithm Version 2) — семейство криптографических алгоритмов, однонаправленных хеш-функций.
  • SLA (Service Level Agreement) — технология измерения активных компьютерных сетей путем тестирования качественных и количественных характеристик каналов связи в сети передачи данных стека TCP/IP.
  • TCP Adjust-MSS — механизм, позволяющий установить максимальный размер сегмента в TCP-сессии, чтобы предотвратить фрагментацию TCP-пакетов, передаваемых через канал связи с заниженным MTU.
  • TTL (Time To Live) — максимальное количество маршрутизаторов, через которое IP-пакет может пройти, прежде чем он будет отброшен.
  • VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть.
  • VPN (Virtual Private Network) — технология, позволяющая создать безопасное, зашифрованное соединение между двумя хостами в сети.
  • VRF (Virtual Routing and Forwarding) — технология, позволяющая разграничить на одном сетевом устройстве несколько пространств сетевых имен со своей адресацией и таблицей маршрутизации.


  • Нет меток