Можно ли передать VLAN через IPsec без использования дополнительных методов, таких как BCP, EoIP или GRE?

Question

Бежен

mikrotik

Можно ли передать VLAN через IPsec без использования дополнительных методов, таких как BCP, EoIP или GRE?

Как лучше организовать VLAN в условиях использования CCR2216 с множеством SFP-портов, по сравнению с менее мощными устройствами, такими как hex и rb2011? 

1.1 В первом сценарии я объединяю все SFP-порты в один большой мост и прикрепляю к нему множество VLAN (от 100 до 200) в виде саб-интерфейсов, где все порты работают в режиме Trunk. Позже я подключаю оптику от любого транкового порта к L2-коммутаторам, которые управляют 15-20 VLAN. При этом главная задача — обеспечить, чтобы Некротик знал обо всех VLAN, в то время как L2-коммутаторы будут управлять своими VLAN.

1.2 В другом варианте я отдаю маршрутизацию VLAN L3-коммутатору, где все порты Некротика настроены в режиме Access. Этот вариант подразумевает, что L3-коммутатор и Некротик связываются через ACCESS-порт, с созданием шлюзовой подсети между L3 и Некротиком, например, 192.168.1.0/24 (порт свитча 1.1/24 и порт бриджа Некротика 1.2/24). 

Как мне быть, если я планирую настроить IPsec между двумя офисами, например, в Москве и Петербурге? В Москве есть свои 100 VLAN, которые ведут к L3-коммутатору, в Петербурге — свои 100 VLAN. Между L3 и Некротиком в Москве находится подсеть 1.0/24 (шлюзовая Access), а в Петербурге — 2.0/24 (Access между L3 и роутером). 

В случае первого сценария, это достаточно ясно. Я могу настроить 300 маршрутизаций на каждом роутере или использовать маску 192.168.0.0/16, что позволит системе работать и видеть все, поскольку VLAN-тег снимается при инкапсуляции IPsec. 

Однако, как это реализовать во втором сценарии? В любом случае, мне нужно будет инкапсулировать IPsec и, возможно, настроить GRE или другие протоколы?

4 сентября 2024 г. 7:53

Ответы на вопрос 1

Похожие вопросы

Answer 1

Передача VLAN через IPsec без дополнительных методов, таких как GRE или EoIP, возможна, но с определенными ограничениями. IPsec ориентирован на передачу IP-пакетов, а не на работу с Ethernet-кадрами, поэтому VLAN-теги теряются, когда пакеты инкапсулируются в IPsec. Это подразумевает, что если вы используете IPsec без какого-либо протокола, обеспечивающего туннелирование Ethernet (например, GRE), то VLAN-теги не будут переданы, и вы будете ограничены взаимодействием по IP-адресам.

### Организация VLAN на CCR2216 по сравнению с hex и RB2011

**Сценарий 1 (Бриджирование)**:
Если вы объединяете все SFP-порты в один большой мост (bridge) и добавляете VLAN как саб-интерфейсы, это позволит центральному маршрутизатору CCR2216 обрабатывать 100-200 VLAN и взаимодействовать с L2-коммутаторами через trunk. Таким образом, у вас есть единая точка, через которую проходят данные всех VLAN. Каждый VLAN будет виден на роутере, что упрощает задачу маршрутизации и управления. CCR2216 позволят вам справляться с большим количеством трафика и VLAN благодаря своей мощности.

**Сценарий 2 (L3-коммутатор)**:
В этом сценарии вы отдаете маршрутизацию VLAN L3-коммутатору, где порты на CCR2216 настроены в режиме Access. Это может быть более эффективным решением, если L3-коммутатор имеет мощные функции маршрутизации и управления VLAN, однако вам нужно будет следить за тем, чтобы маршруты между VLAN оставались корректными.

### Настройка IPsec между офисами

При использовании IPsec для соединения двух офисов, где в каждом из них имеются свои VLAN, у вас есть несколько вариантов.

1. **Сценарий 1 (Бриджирование)**:
Если у вас в Москве и Петербурге VLAN-ы, настроенные на бриджах, то вся маршрутизация может осуществляться через IPsec. Как вы упомянули, настройка маршрутизации на каждом роутере становится необходимой для обеспечения связности всех VLAN через IPsec, так как VLAN-теги исчезают. Будет достаточно настроить маршруты для всех VLAN на обоих роутерах.

2. **Сценарий 2 (L3-коммутатор)**:
Здесь вам нужно будет организовать маршрутизацию через IPsec. Однако, в отличие от первого сценария, вы не сможете просто передать VLAN-теги из-за особенностей работы IPsec. Вам действительно понадобится использовать принцип маршрутизации и, возможно, внедрить GRE-туннели. GRE позволит инкапсулировать Ethernet-кадры (включая VLAN-теги) внутри IP-пакетов, которые затем могут быть защищены IPsec.

### Итог
Если ваш сценарий требует сохранения VLAN-тегов и их передачи между офисами, то, скорее всего, вам придется использовать дополнительные туннельные протоколы (например, GRE) в сочетании с IPsec. В противном случае, если вы готовы работать только с маршрутизацией IP, тогда первый вариант с конфигурацией маршрутизации будет более подходящим.

Резюмируя, использование IPsec без дополнительных методов – это лишь ваше рабочее решение, но для полной функциональности потребуется включение методов туннелирования.