Целью данного документа является демонстрация построения защищенных каналов связи между центральным и дочерними офисами компании с использованием оборудования компании Eltex и практик использования этого оборудования.
Данный документ будет полезен для инженеров, решающих задачи организации каналов связи между географически разнесенными офисами компаний.
Предлагаемое решение представляет построение оверлейной сети поверх сети интернет-провайдеров с использованием технологии DMVPN, реализованной на сервисных маршрутизаторах ESR.
Рисунок 1. Общая схема развертывания облаков DMVPN для обеспечения безопасного канала связи между офисами
Предлагаемое решение подразумевает ряд преимуществ. Технология IPsec реализует шифрование канала связи, что обеспечивает безопасную передачу данных между офисами. Использование GRE-туннелирования реализует поддержку multicast- и broadcast-трафика в каналах связи между филиалами, что позволяет использовать всю широту сетевых протоколов, работающих в корпоративных сетях. Протокол NHRP, лежащий в основе технологии DMVPN, позволит минимизировать конфигурацию на маршрутизаторах в головном офисе, а также строить временные туннели между дочерними офисами, что уменьшит нагрузку на маршрутизаторы в головном офисе и уменьшит задержки в канале связи при коммуникации между офисами.
Маршрутизаторы, которые планируется использовать в качестве DMVPN Hub, должны иметь большой размер таблицы FIB, а также обеспечивать терминацию большого количества IPsec-туннелей. Рекомендуемые модели маршрутизаторов ESR на роль DMVPN Hub представлены в таблице 1.
Таблица 1. Рекомендованные модели маршрутизаторов ESR на роль DMVPN Hub
| Модель | Интерфейсы | Размер таблицы FIB | Производительность IPsec (IMIX) | Количество поддерживаемых DMVPN Spoke |
|---|---|---|---|---|
| ESR-1700 | 4 × 1G Combo, 8 × 10G SFP+ | 1,7M | 7 Гбит/с; 1308,1k пакетов/c | 750 |
| ESR-3300 | 4 × 25G SFP28, 4 × 100G QSFP28 | 1,7M | 1,4 Гбит/с; 258,5k пакетов/с | 750 |
| ESR-3200 | 12 × 25G SFP28 | 1,7M | 3,6 Гбит/с; 686,8k пакетов/с | 650 |
| ESR-3200L | 8 × 10G SFP+, 4 × 25G SFP28 | 1,7M | 1,88 Гбит/с; 353k пакетов/с | 720 |
| ESR-3250 | 8 × 1G Combo, 4 × 25G SFP28 | 1,7M | 5,3 Гбит/с; 1004,2k пакетов/с | 1710 |
| ESR-3350 | 8 × 1G Combo, 4 × 25G SFP28 | 1,7M | 14,5 Гбит/с; 2727k пакетов/с | 1800 |
Приведённые показатели ESR актуальны в рамках версии ПО 1.37.0. Актуальные значения показателей приведены в Datasheet на сайте eltex-co.ru |
К маршрутизаторам в роли DMVPN Spoke требования ниже, поскольку объемы маршрутной информации и количество терминируемых IPsec-туннелей в дочерних офисах существенно ниже, чем в головном офисе. В связи с этим список рекомендованных моделей ESR на роль DMVPN Spoke в основном содержит младшие модели линейки маршрутизаторов ESR и отображен в таблице 2.
Таблица 2. Рекомендованные модели маршрутизаторов ESR на роль DMVPN Spoke
Модель | Интерфейсы | Размер таблицы FIB | Производительность IPsec (IMIX) |
|---|---|---|---|
| ESR-31 | 8 × 1G, 6 × 1G SFP, 2 × 10G SFP+ | 1,4M | 519,8 Мбит/с; 97,1k пакетов/с |
| ESR-30 | 4 × 1G, 2 × 10G SFP+ | 1,4M | 519,8 Мбит/с; 97,1k пакетов/с |
| ESR-15VF | 8 × 1G, 2 × 1G SFP | 1M | 135,5 Мбит/с; 25,2k пакетов/с |
| ESR-15R | 4 × 1G, 2 × 1G SFP | 1M | 135,5 Мбит/с; 25,2k пакетов/с |
| ESR-15 | 4 × 1G, 2 × 1G SFP | 1M | 135,5 Мбит/с; 25,2k пакетов/с |
Приведённые показатели ESR актуальны в рамках версии ПО 1.37.0. Актуальные значения показателей приведены в Datasheet на сайте eltex-co.ru |
Измерения производительности IPsec производились на смешанном трафике Internet MIX. Формат трафика (количество в секунду: размер каждого фрейма) — 8:74; 5:512; 7:1518. При построении IPsec-туннелей использовался алгоритм шифрования AES128 и алгоритм хеширования MD5.