L2 vpn что это: О технологиях L2VPN — Сети Для Самых Маленьких

Для предоставления услуги «Виртуальный канал IP VPN L2» два порта IP VPN объединяются на сетевом уровне с использованием протоколов TCP/IP в выделенный виртуальный канал Клиента.

Услуга виртуального выделенного канала связи заключается в предоставлении Клиенту асинхронного соединения для передачи данных между двумя точками.

Стоимость услуг определяется для каждого клиента индивидуально по результатам переговоров и с учетом адресов подключения услуг, состава пакета заказываемых услуг, их объемов и планируемых сроков предоставления услуг.

Как настроить L2 VPN? | Университеты DataLine

L2 VPN понадобится в том случае, когда нужно объединить несколько географически распределенных сетей в один broadcast-домен.

Это может быть полезно, например, при миграции: при переезде на другую географическую площадку ВМ сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном L2-домене с ней.

В нашей тестовой среде соединим друг с другом две площадки: cloud152.ru и dcloud.ru. Мы настроим два NSX Edge и создадим две маршрутизируемые сети, подключенные к своим Edge. ВМ vm-cloud152 присвоим адрес 192.168.222.11/24, ВМ vm-dcloud – 192.168.222.13/24.

1. В vCloud Director каждой из площадок в нужном нам виртуальном дата-центре переходим в раздел Networking, пункт Networks и добавляем новые сети.

2. Тип сетей должен быть routed, подключаем к NSX Edge. Ставим чек-бокс Create as subinterface. 

3. В итоге у нас должно получиться две сети. В нашем примере они называются network-cloud152 и network-dcloud с одинаковыми настройками gateway и одинаковой маской.

4. Теперь перейдем в настройки первого Edge. Это будет Edge, к которому привязана сеть cloud152. Он будет выступать в качестве сервера.

Переходим в раздел Networking, пункт Edges, выбираем необходимый NSX Edge и нажимаем кнопку Configure services.

В появившемся окне переходим в меню VPN и открываем вкладку L2 VPN.

Задаем необходимые параметры. Включаем L2 VPN, выбираем режим работы Server, в настройках Server Global указываем внешний IP-адрес NSX, на котором будет слушаться порт для туннеля. По умолчанию, сокет откроется на 443 порту, но его можно поменять. Не забываем выбрать алгоритм шифрования для будущего туннеля.

5. Переходим во вкладку Server Sites и добавляем пир.

6. Включаем пир, задаем имя, описание, если нужно, задаем имя пользователя и пароль. Эти данные нам понадобятся позже, при настройке клиентского сайта. Не забываем выбрать саб-интерфейс, нажав кнопку SELECT SUB-INTERFACES.

7. Здесь выбираем нужный саб-интерфейс. Сохраняем настройки.

8. Видим, что в настройках появился только что созданный клиентский сайт. Нажимаем Save changes.

9. Теперь перейдем к настройке второго NSX Edge.

По аналогии переходим в настройки L2 VPN, устанавливаем L2 VPN mode в клиентский режим работы. На вкладке Client Global задаем адрес и порт первого NSX Edge, который мы указывали ранее как Listening IP и Port на серверной стороне. Также необходимо выставить одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.

Проматываем ниже, выбираем саб-интерфейс, через который будет строиться туннель для L2 VPN.

Задаем user-id и пароль. Выбираем саб-интерфейс и не забываем сохранить настройки.

10. Собственно, это все. Настройки клиентской и серверной стороны практически идентичны.

11. Теперь можем посмотреть, что наш туннель заработал, перейдя в раздел Statistics и выбрав вкладку L2 VPN на любом NSX Edge.

12. Проверим доступность изнутри ВМ.

VPN-сервер L2TP/IPsec – Keenetic

В интернет-центрах Keenetic есть возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно.

Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Предварительно нужно установить компонент системы «L2TP/IPsec VPN-сервер». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

После этого перейдите на страницу «Приложения». Здесь вы увидите панель «VPN-сервер L2TP/IPsec». Нажмите по ссылке «VPN-сервер L2TP/IPsec».

В появившемся окне «VPN-сервер L2TP/IPsec» в поле «Общий ключ IPsec» укажите ключ безопасности.

NOTE: Важно! Этот ключ также используется VPN-сервером IPsec (Virtual IP).

Параметр «Множественный вход» управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции «Множественный вход», появляется возможность назначить постоянный IP-адрес для L2TP/IPsec-клиента. Сделать это можно на странице настройки VPN-сервера L2TP/IPsec в разделе «Пользователи».

В настройках сервера по умолчанию включена опция «NAT для клиентов». Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.

NOTE: Важно! Если отключить функцию «NAT для клиентов» на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет. Дополнительная информация представлена в статье «Изменение политики маршрутизации VPN-подключения в Windows, при выключенной опции «NAT для клиентов» на сервере».

В настройках сервера в поле «Доступ к сети» также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Если «Начальный IP-адрес» попадает в диапазон сети указанного в поле «Доступ к сети» сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле «Доступ к сети» выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: «Начальный адрес пула»: 192.168.1.33, «Размер пула адресов»: 120, вы можете задать «Начальный IP-адрес» VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

В разделе «Пользователи» выберите пользователей, которым хотите разрешить доступ к L2TP/IPsec-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

Нажав на ссылку «Статистика подключений» вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции «Маршрутизация сетей через VPN».

TIP: Примечание

Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic — «Клиент L2TP/IPsec (L2TP over IPsec)»;

компьютер под управлением ОС Windows 7 — «Пример подключения L2TP/IPsec в Windows 7» или ОС Windows 10 — «Подключение к VPN-серверу L2TP/IPSec из Windows»;

мобильное устройство на базе Android — «Подключение к VPN-серверу L2TP/IPSec из Android»;

мобильное устройство на базе iOS — «Подключение к VPN-серверу L2TP/IPSec из iOS»;

компьютер под управлением MacOS — «Подключение к VPN-серверу L2TP/IPSec с компьютера из MacOS».

 

MikroTik для Больших Дядей N5

MikroTik для Больших Дядей (Задание 5)

Пятая часть.

Освежим в памяти схему сети.

Подведём небольшой итог всего того, чего мы добились.

На данный момент у нас работает MPLS и прохождение пакета стало быстрее, из за того, что трафик не стал заходить в процесс обычной маршрутизации, а подвергается процессу маршрутизации с помощью протокола MPLS на основании меток.

Когда маршрутизатор добавляет метку к пакету, такая процедура называется push. Метка добавляется между заголовков IP и ethernet именно поэтому MPLS называют протоколов уровня L2.5 OSI.

Ниже анимация формирования пакета MPLS.

Нечего интересного в данном процессе нет, просто добавили к пакету метку, не более чем. А вот дальнейший процесс будет показывать нагляднее почему MPLS выигрывает у обычного процесса IP маршрутизации.

Взгляните на процес forward при работающим MPLS. Процесс IP маршрутизации не происходит как такового. Так как до него просто пакет не доходит. Из таблицы forward MPLS маршрутизатор сверил метку 5000, понял, что её надо поменять на 8888 сменил метку (SWAP) и отправил next-hop-у.

Снятие метку называется процедура POP, процесс сложнее о нём мы поговорим немного позже. Так как снятие происходит, не на последнем маршрутизаторе, а на предпоследним, и само сняти не всегда приводит конкретно к снятию метки, а к изменению метки на специальные номера, те самые которые зарезервированные от 0 до 15.

Скорее всего появился вопрос «что нам дал MPLS», ну в первую очередь конечно ускорение процесса маршрутизации и всё! Сам MPLS в чистом виде, не так очевиден и зачастую не используется в том виде как это сделано сейчас у нас. Но появляется возможность использовать такие технологии как PW он же VPLS, а также VPN4

VPLS — это туннель, которые позволяет, пропустить через себя ethernet трафик, т.е для того чтобы предоставить услугу L2 VPN, по сути аналогичную роль в RouterOS выполняет EoIP туннель.

VPN4 — это способ доставки IP пакета, через MPLS сеть, т.е предоставление клиенту услуги L3 VPN, но самое главное, что клиент может использовать любые сети, и они не как не будут влиять на ваши сети и сети других ваших клиентов.

Но мы же провайдер, поэтому ручной метод нам не подходит, мы бы хотели всё и вся оптимизировать.

BGP

Перед тем как начать, настраивать BGP нам надо осознать, что всё что мы до этого делали, необходимо было для работы в BGP между Loopback адресами.

Уточним задачу, у нас есть клиент под Котору необходимо предоставить услуги L2VPN, между двумя маршрутизаторами CE.

И так нам необходимо связать два маршрутизатора CE с помощь протокола BGP и указать чем будет заниматься BGP протокол. Напомню, что он может распространять не только маршрутную информацию но и распространять дополнительную информацию, именно эту дополнительную информацию мы будем распространять.

Точно также как и в OSPF у BGP маршрутизатора есть RouterID значение должно быть уникальным в пределах одной AS.

AS — автономная система, помимо того что это номер 16 бит, а сейчас и все 32 бита, это ещё и политическая сущность, которая определяет, маршрутизаторы которые находятся в одной AS подчиняются одним правилам.

Для наших задач мы будем использовать отдельный instance и номер автономной системы 65000. Необходимо напомнить что диапазон номеров AS разделён на две части приватный и публичный, примерно также как и BOGON адреса, только есть одно серьёзное отличие, эти диапазоны намертво вшиты в протокол и его реализацию в RouterOS, поэтому вы ОБЯЗАНЫ использовать именно из приватного диапазона номера AS от 64512 до 65535. Публичный диапазон только если у вас есть своя AS либо на стендах когда вы делаете «один к одному».

И так сначала нам необходимо на CE маршрутизаторах создать BGP instance

/routing bgp instance add router-id=172.31.253.2 as=65000 name=bgp65000

Следующим шагом, нам необходимо связать два маршрутизатора, с помощью настроенных пиров BGP с двух сторон.

Давайте посмотрим на команду и распишем, какие параметры bgp Peer и для чего они нужны, не все, а только те который нам необходимы.

/routing bgp peer add address-families=l2vpn,l2vpn-cisco,vpnv4 instance=bgp65000 name=CE-2 remote-address=172.31.253.2 remote-as=65000 update-source=172.31.253.1

remote-address=172.31.243.2 — Указываем адрес противоположенного пира.

update-source=172.31.253.1 — Указываем адрес с которого будет строиться соединение, тут надо уточнить. Вы можете указать не адрес, а интерфейс, но если на интерфейс будет несколько IP адресов может произойти факап.

remote-as=65000 — Удалённая AS, если её номер совпадает с instance указанным в instance=bgp65000 то такое соединение считается как iBGP internal т.е. Внутренним. Если значения AS разные то такое поведение называется eBGP т.е. Внешнее соединение.

address-families=l2vpn,l2vpn-cisco,vpnv4 — так называемые типы данных которые будут передаваться с помощью данного пира BGP.

После того вы сделаете на всех маршрутизаторах, проверить то, что мы идём по верной дороге и всё у нас получается. Узнать состояние Peer

[admin@CE-1] > /routing bgp peer print 
Flags: X - disabled, E - established 
 #   INS.. REMOTE-ADDRESS                               REMOTE-AS  
 0 E bgp.. 172.31.253.2                                 65000 

Состояние соединения должно быть Established, слево флаг E.

VLPS

Когда мы строим VPLS то у пакета появляется не одна метка, а две (стек меток), первая метка обеспечивает прохождение трафика по MPLS сети, вторая метка указывает непосредственно на PW туннель.

Для того, чтобы запустить нашу «Трубу» или PW нам необходимо подготовить инфраструктуру. Надеюсь вы помните, что CE маршрутизатор, это тот маршрутизатор к которому подключается непосредственно клиенты.

Нам необходимо подготовить Bridge в порты которого будут присоединено оборудование клиента, также можно сделать и с vlan. Мы не будем добавлять интерфейсы нам достаточно для понимания самого принципа построения таких сетей.

И так необходимо создать Bridge c отключенным rstp\stp, мы не будем мешать нашему клиенту делать петли, если ему надо будет делает петли, пусть делает это его желание )), наша задача предоставить ему L2 туннель между точками включения на маршрутизаторах CE.

/interface bridge add name=bridge-C1 protocol-mode=none

Название бриджа позаимствовано из вымышленного номера договора либо какого-то внутренного номера. Пусть будет клиент под номером 1.

Далее нам необходимо объявить через BGP на CE маршрутизаторах VPLS туннели.

/interface vpls bgp-vpls add bridge=bridge-C1 bridge-horizon=10 export-route-targets=65000:1 import-route-targets=65000:1 name=C0001 pw-type=raw-ethernet route-distinguisher=172.31.253.1:0 site-id=1001

route-distinguisher=172.31.253.1:0 — Уникальное значение для каждого маршрутизатора, и в некоторых случаях может быть для уникальное значение для разных ролей. С помощью данного значения создаётся уникальность информации которая передаётся средствами BGP. Лучше всего укажите адрес loopback и просто порядковый номер, пока это неважно.

bridge=bridge-C1 — Когда VPLS поднимется, то интерфейс добавится автоматически в Bridge нашего клиента.

bridge-horizon=10 — технология которая позволит нам поднять fullmesh связь между все маршрутизаторами и защититься от возможной петли, если не указать, то она будет 100% при подключении следующего маршрутизатора. Смысл технологии очень простой если фрейм придёт в интерфейс Bridge, и у интерфейса с которого пришло фрейм установлено значение horizon, такой фрейм не будет отправлен в интерфейсы у которых значение horizon аналогичное. Будте пределы аккуратны, если на Bridge будет отключен rstp/stp и вы не установите значение horizon у вас будет L2 Loop.

pw-type=raw-ethernet — указываем какого типа PW.

site-id=1001 — уникальное значение, для всей AS и для каждого маршрутизатора. Тут надо быть внимательным, необходимо найти такой способ, чтобы сделать это значение с двух стороны уникальным и это значение не должно больше использоваться. Лучше все использовать такой подход, берём номер маршрутизатора умножаем на 1000 и прибавляем номер клиента. Получается, что значение site-id на первом маршрутизаторе будет для первого клиента 1001, а для второго 1002, на маршрутизаторе CE-3 3001 и соответственно 3002. Уникальность значения требуется из за того, что значение site-id используется для расчёта номера метки MPLS, но просто давать порядковые номера не очень удобно, в виду того, что придёться вести где-то документацию. Я несколько не призываю отказываться от документации, но всегда можно упростить себе жизнь прибегая к определённым шаблонам.

А наверное самое главное.

export-route-targets=65000:1 — хорошим кейсом (Вообще так и задумывалось, но некоторые игнорируют даней аспект) считается указывать сначала номер AS, а далее через разделитель двоеточие, номер клиента. Чтобы понять для чего этот параметр необходим, это уникальный идентификатор данного туннеля. Ключевое слово export т.е. Данный маршрутизатор будет «вещать» раскатывать всем своим пирам, о том что у него есть такой туннель VPLS. На стороне клиента данное значение должно быть указанно в поле import-route-targets.

import-route-targets=65000:1 — тип записи который мы ожидаем для сопоставления с данным VPLS туннелем, часто мы должны указать значение которое указанно на противоположенной стороне в export-route-targets.

Задачи

• Создать BGP instance на CE маршрутизаторах. AS 65000
• Создать BGP Peer на двух CE маршрутизаторах. FullMesh
• Создаёте Bridge для нашего клиента.
• Опубликуйте через BGP VPLS туннели на CE маршрутизаторах.
• Чтобы закрепить результат
  • Необходимо к маршрутизатору PE-1 подключить ещё один CE маршрутизатор CE-3.
  • К маршрутизатору CE-1 подключен только клиент C1
  • К маршрутизатору CE-2 подключены клиенты C2 и С3
  • К маршрутизатору CE-3 подключены клиенты C2 и С3

Итого у нас есть два клиента C1 и C2

Следующий пост с заданием MikroTik для Больших Дядей (Задание 6)

Рассказать друзьям

Чатик телеграм

Решение Azure VMware от CloudSimple — перенос локальной сети уровня 2 в частное облако

• 08/19/2019
• Чтение занимает 12 мин

В этой статье

В этом руководство вы узнаете, как использовать VPN уровня 2 (L2VPN) для переноса сети уровня 2 из локальной среды в частное облако CloudSimple. Это решение позволяет выполнять миграцию рабочих нагрузок, работающих в локальной среде VMware, в частное облако в Azure в рамках одного адресного пространства подсети без необходимости повторного создания IP-адресов рабочих нагрузок.

Перенос на основе L2VPN сетей уровня 2 может работать с сетями на основе NSX или без них в локальной среде VMware. Если у вас нет сетей на основе NSX для рабочих нагрузок в локальной среде, можно использовать изолированный шлюз пограничных служб NSX.

Примечание

В этом руководстве рассматривается сценарий, в котором локальные и частные облачные центры обработки данных подключены через VPN типа «сеть — сеть».

Сценарий развертывания

Чтобы перенести локальную сеть с помощью L2VPN, необходимо настроить сервер L2VPN (конечный маршрутизатор NSX-T уровня 0) и клиент L2VPN (исходный автономный клиент).

В этом сценарии развертывания ваше частное облако подключается к локальной среде через VPN-туннель типа «сеть — сеть», который позволяет локальным средам управления и подсетям vMotion обмениваться данными с подсетями управления частным облаком и vMotion. Такая структура необходима для Cross vCenter vMotion (xVC-vMotion). Маршрутизатор NSX-T уровня 0 развертывается в частном облаке как сервер L2VPN.

Автономный клиент NSX развертывается в локальной среде как клиент L2VPN и затем связывается с сервером L2VPN. Конечная точка туннеля GRE создается на каждой стороне и настроена для переноса локальной сети уровня 2 в частное облако. Данная конфигурация показана на следующем рисунке.

Дополнительные сведения о миграции с помощью VPN уровня 2 см. в разделе Виртуальные частные сети в документации по VMware.

Необходимые условия для развертывания решения

Перед развертыванием и настройкой решения убедитесь в наличии следующих компонентов.

• Локальная версия vSphere — 6.7U1 или 6.5 P03 или более поздние.
• Локальная лицензия vSphere уровня Enterprise Plus (для распределенного коммутатора vSphere).
• Найдите сеть рабочей нагрузки уровня 2, которую нужно перенести в частное облако.
• Найдите сеть уровня 2 в локальной среде для развертывания клиентского устройства L2VPN.
• Частное облако уже создано.
• Версия автономного пограничного устройства NSX-T совместима с версией NSX-T Manager (NSX-T 2.3.0), используемой в среде частного облака.
• В локальном vCenter создана группа магистральных портов с включенным параметром Forged Transmit.
• Общедоступный IP-адрес зарезервирован для использования в качестве IP-адреса канала исходящей связи автономного клиента NSX-T, и для преобразования между двумя адресами используется NAT 1:1.
• Переадресация DNS настроена на локальных DNS-серверах, чтобы домен az.cloudsimple.io указывал на DNS-серверы частного облака.
• Задержка при приеме и передаче составляет не более 150 мс для нормальной работы vMotion между двумя сайтами.

Ограничения и рекомендации

В следующей таблице перечислены поддерживаемые версии vSphere и типы сетевых адаптеров.

Версия vSphere	Тип исходного vSwitch	Драйвер виртуального сетевого адаптера	Тип целевого vSwitch	Поддерживается?
All	DVS	All	DVS	Да
vSphere 6.7UI или более поздней версии, 6.5P03 или более поздней версии	DVS	VMXNET3	N-VDS	Да
vSphere 6.7UI или более поздней версии, 6.5P03 или более поздней версии	DVS	E1000	N-VDS	Не поддерживается для VMware
vSphere 6.7UI или 6.5P03, NSX-V или версии до NSX-T 2.2, 6.5P03 или более поздние версии	All	All	N-VDS	Не поддерживается для VMware

Начиная с версии VMware NSX-T 2.3

• Логический коммутатор на стороне частного облака, который переносится в локальную среду через L2VPN, нельзя маршрутизировать одновременно. Перенесенный логический коммутатор не может быть подключен к логическому маршрутизатору.
• Виртуальные частные сети IPSEC на основе маршрута и L2VPN можно настроить только с помощью вызовов API.

Дополнительные сведения см. в статье Виртуальные частные сети в документации по VMware.

Пример адресации VPN-развертывания уровня 2

Локальная сеть, в которой развернут автономный ESG (VPN-клиент уровня 2)

Item	Значение
Сетевое имя	MGMT_NET_VLAN469
Виртуальная локальная сеть	469
CIDR	10.250.0.0/24
IP-адрес автономного пограничного устройства	10.250.0.111
IP-адрес NAT автономного пограничного устройства	192.227.85.167

Локальная сеть для переноса

Item	Значение
Виртуальная локальная сеть	472
CIDR	10.250.3.0/24

Схема IP частного облака для маршрутизатора NSX-T уровня 0 (сервер VPN уровня 2)

Item	Значение
Интерфейс замыкания на себя	192.168.254.254/32
Туннельный интерфейс	5.5.5.1/29
Логический коммутатор (перенесенный)	Stretch_LS
Интерфейс замыкания на себя (IP-адрес NAT)	104.40.21.81

Сеть частного облака, которая будет сопоставлена с перенесенной сетью

Item	Значение
Виртуальная локальная сеть	712
CIDR	10.200.15.0/24

Получение идентификатора логического маршрутизатора, необходимого для L2VPN

В следующих шагах показано, как получить идентификатор логического маршрутизатора для экземпляра логического маршрутизатора DR уровня 0 для служб IPsec и L2VPN. Идентификатор логического маршрутизатора потребуется позже при реализации L2VPN.

1. Войдите в NSX-T Manager https://*nsx-t-manager-ip-address* и выберите Сети > Маршрутизаторы > Provider-LR > Обзор. Для параметра Режим высокого уровня доступности выберите Активный-резервный. Откроется всплывающее окно, где отображается пограничная виртуальная машина, на которой в данный момент активен маршрутизатор уровня 0.

2. Выберите Fabric > Узлы > Границы. Запишите IP-адрес управления активной пограничной виртуальной машины (Edge VM1), указанной на предыдущем шаге.

3. Откройте сеанс SSH с IP-адресом управления пограничной виртуальной машины. Выполните команду get logical-router с именем пользователя admin и паролем CloudSimple 123! .

4. Если вы не видите запись «DR-Provider-LR», выполните следующие действия.

5. Создайте два логических коммутатора с наложением. Один логический коммутатор переносится в локальную среду, где находятся перенесенные рабочие нагрузки. Другой логический коммутатор является временным. Инструкции см. в разделе Создание логического коммутатора в документации по VMware.

6. Подключите временный коммутатор к маршрутизатору уровня 1 с локальным IP-адресом канала или любой непересекающейся подсетью из локальной среды или частного облака. См. раздел Добавление нисходящего порта для логического маршрутизатора уровня 1 в документации по VMware.

7. Снова выполните команду get logical-router в сеансе SSH пограничной виртуальной машины. Отображается UUID логического маршрутизатора DR-Provider-LR. Запишите идентификатор UUID, который требуется при настройке L2VPN.

Получение идентификатора логического коммутатора, необходимого для L2VPN

1. Войдите в NSX-T Manager (https://nsx-t-manager-ip-address).

2. Выберите Сети > Коммутирование > Коммутаторы > <\Логический коммутатор> > Обзор.

3. Запишите идентификатор UUID переносимого логического коммутатора, который требуется при настройке L2VPN.

Рекомендации по маршрутизации и безопасности для L2VPN

Чтобы установить VPN на основе маршрутов IPsec между маршрутизатором NSX-T уровня 0 и автономным пограничным клиентом NSX, интерфейс замыкания на себя маршрутизатора NSX-T уровня 0 должен иметь возможность взаимодействовать с общедоступным IP-адресом автономного локального клиента NSX по протоколу UDP 500/4500.

Разрешение UDP 500/4500 для IPsec

1. Создайте общедоступный IP-адрес для интерфейса замыкания на себя NSX-T уровня 0 на портале CloudSimple.

2. Создайте таблицу брандмауэра с правилами с отслеживанием состояния, разрешающими входящий трафик UDP 500/4500, и подключите таблицу брандмауэра к подсети NSX-T HostTransport.

Объявление IP-адреса интерфейса замыкания на себя для базовой сети

1. Создайте маршрут со значением NULL для сети интерфейса замыкания на себя. Войдите в NSX-T Manager и выберите Сети > Маршрутизация > Маршрутизаторы > Provider-LR > Маршрутизация > Статические маршруты. Нажмите кнопку Добавить. Для параметра Сеть введите IP-адрес интерфейса замыкания на себя. Для параметра Следующие прыжки нажмите кнопку Добавить, укажите значение NULL для следующего прыжка и оставьте значение 1 по умолчанию для параметра «Административное расстояние».

2. Создайте список префиксов IP-адресов. Войдите в NSX-T Manager и выберите Сети > Маршрутизация > Маршрутизаторы > Provider-LR > Маршрутизация > Список префиксов IP-адресов. Нажмите кнопку Добавить. Введите имя списка. Для параметра Префиксы дважды нажмите Добавить. В первой строке введите «0.0.0.0/0» для параметра Сеть и «Запретить» для параметра Действие. Во второй строке выберите Любая для параметра Сеть и Разрешить для параметра Действие.

3. Присоедините список префиксов IP-адресов к BGP-соседям (TOR). Присоединение списка префиксов IP-адресов к BGP-соседу предотвращает объявление маршрута по умолчанию в BGP для коммутаторов TOR. Однако любой другой маршрут, который содержит маршрут NULL, будет объявлять IP-адрес интерфейса замыкания на себя для коммутаторов TOR.

4. Войдите в NSX-T Manager и выберите Сети > Маршрутизация > Маршрутизаторы > Provider-LR > Маршрутизация > BGP > Соседи. Выберите первого соседа. Щелкните Изменить > Семейства адресов. В семействе IPv4 измените Исходящий фильтр и выберите созданный список префиксов IP-адресов. Выберите команду Сохранить. Повторите этот шаг для второго соседа.

5. Повторно распространите статический маршрут NULL в BGP. Чтобы объявить маршрут интерфейса замыкания для базовой сети, необходимо повторно распространить статический маршрут NULL в BGP. Войдите в NSX-T Manager и выберите Сети > Маршрутизация > Маршрутизаторы > Provider-LR > Маршрутизация > Повторное распространение маршрута > Соседи. Выберите Provider-LR-Route_Redistribution и нажмите Изменить. Установите флажок Статический и нажмите кнопку Сохранить.

Настройка VPN на основе маршрутов на маршрутизаторе NSX-T уровня 0

Используйте следующий шаблон, чтобы заполнить все сведения для настройки VPN на основе маршрутов на маршрутизаторе NSX-T уровня 0. Идентификаторы UUID необходимы во всех последующих вызовах POST. IP-адреса для интерфейсов замыкания на себя и туннеля для L2VPN должны быть уникальными и не должны перекрываться с локальными сетями или сетями частного облака.

IP-адреса, выбранные для интерфейсов замыкания на себя и туннеля для L2VPN, должны быть уникальными и не должны перекрываться с локальными сетями или сетями частного облака. Сеть интерфейса замыкания на себя всегда должна иметь значение /32.

Loopback interface ip : 192.168.254.254/32
Tunnel interface subnet : 5.5.5.0/29
Logical-router ID : UUID of Tier0 DR logical router obtained in section "Steps to fetch Logical-Router ID needed for L2VPN"
Logical-switch ID(Stretch) : UUID of Stretch Logical Switch obtained earlier
IPSec Service ID :
IKE profile ID :
DPD profile ID :
Tunnel Profile ID :
Local-endpoint ID :
Peer end-point ID :
IPSec VPN session ID (route-based) :
L2VPN service ID :
L2VPN session ID :
Logical-Port ID :
Peer Code :

Во всех приведенных ниже вызовах API замените IP-адрес своим IP-адресом NSX-T Manager. Все эти вызовы API можно выполнить из клиента POSTMAN или с помощью команд curl.

Включение службы VPN IPSec на логическом маршрутизаторе

POST   https://192.168.110.201/api/v1/vpn/ipsec/services/
{
"resource_type": "IPSecVPNService",
"description": "Manage VPN service",
"display_name": "IPSec VPN service",
"logical_router_id": "Logical-router ID",
"ike_log_level": "INFO",
"enabled": true
}

Создание профилей: IKE

POST https://192.168.110.201/api/v1/vpn/ipsec/ike-profiles
 
{
"resource_type": "IPSecVPNIKEProfile",
"description": "IKEProfile for siteA",
"display_name": "IKEProfile siteA",
"encryption_algorithms": ["AES_128"],
"ike_version": "IKE_V2",
"digest_algorithms": ["SHA2_256"],
"sa_life_time":21600,
"dh_groups": ["GROUP14"]
}

Создание профилей: DPD

POST  https://192.168.110.201/api/v1/vpn/ipsec/dpd-profiles  

{
"resource_type": "IPSecVPNDPDProfile",
"display_name": "nsx-default-dpd-profile",
"enabled": true
}

Создание профилей: туннель

POST  https://192.168.110.201/api/v1/vpn/ipsec/tunnel-profiles
 
{
"resource_type": "IPSecVPNTunnelProfile",
"display_name": "nsx-default-tunnel-profile",
"enable_perfect_forward_secrecy": true,
"encryption_algorithms": ["AES_GCM_128"],
"digest_algorithms": [],
"sa_life_time":3600,
"dh_groups": ["GROUP14"],
"encapsulation_mode": "TUNNEL_MODE",
"transform_protocol": "ESP",
"df_policy": "COPY"
}

Создание локальной конечной точки

POST https://192.168.110.201/api/v1/vpn/ipsec/local-endpoints
 
{
"resource_type": "IPSecVPNLocalEndpoint",
"description": "Local endpoint",
"display_name": "Local endpoint",
"local_id": "<Public IP of Loopback interface>",
"ipsec_vpn_service_id": {
"target_id": "IPSec VPN service ID"},
"local_address": "<IP of Loopback interface>",
"trust_ca_ids": [],
"trust_crl_ids": []
}

Создание конечной точки одноранговой сети

POST https://192.168.110.201/api/v1/vpn/ipsec/peer-endpoints

{
"resource_type": "IPSecVPNPeerEndpoint",
"description": "Peer endpoint for site B",
"display_name": "Peer endpoint for site B",
"connection_initiation_mode": "INITIATOR",
"authentication_mode": "PSK",
"ipsec_tunnel_profile_id": "IPSec Tunnel profile ID",
"dpd_profile_id": "DPD profile ID",
"psk":"nsx",
"ike_profile_id": "IKE profile ID",
"peer_address": "<Public IP of Standalone client",
"peer_id": "<Public IP of Standalone client>"
}

Создание VPN-сеанса на основе маршрутов

POST :  https://192.168.110.201/api/v1/vpn/ipsec/sessions
 
{
"resource_type": "RouteBasedIPSecVPNSession",
"peer_endpoint_id": "Peer Endpoint ID",
"ipsec_vpn_service_id": "IPSec VPN service ID",
"local_endpoint_id": "Local Endpoint ID",
"enabled": true,
"tunnel_ports": [
{
"ip_subnets": [
{
"ip_addresses": [
 "5.5.5.1"
],
"prefix_length": 24
}
  ]
}
]
}

Настройка L2VPN на маршрутизаторе NSX-T уровня 0

Укажите следующие сведения после каждого вызова POST. Идентификаторы необходимы при последующих вызовах POST.

L2VPN Service ID:
L2VPN Session ID:
Logical Port ID:

Создание службы L2VPN

Выходные данные следующей команды GET будут пустыми, так как конфигурация еще не завершена.

GET : https://192.168.110.201/api/v1/vpn/l2vpn/services

Для следующей команды POST идентификатор логического маршрутизатора — это UUID логического маршрутизатора DR уровня 0, полученный ранее.

POST : https://192.168.110.201/api/v1/vpn/l2vpn/services

{
"logical_router_id": "Logical Router ID",
"enable_full_mesh" : true
}

Создание сеанса L2VPN

Для следующей команды POST идентификатор службы L2VPN — это только что полученный идентификатор, а идентификатор сеанса VPN-подключения IPsec — это идентификатор, полученный в предыдущем разделе.

POST: https://192.168.110.201/api/v1/vpn/l2vpn/sessions

{
"l2vpn_service_id" : "L2VPN service ID",
"transport_tunnels" : [
    {
    "target_id" : "IPSec VPN session ID"
    }]
}

Эти вызовы создают конечную точку туннеля GRE. Для проверки состояния выполните следующую команду.

edge-2> get tunnel-port
Tunnel      : 44648dae-8566-5bc9-a065-b1c4e5c3e03f
IFUID       : 328
LOCAL       : 169.254.64.1
REMOTE      : 169.254.64.2
ENCAP       : GRE

Tunnel      : cf950ca1-5cf8-5438-9b1a-d2c8c8e7229b
IFUID       : 318
LOCAL       : 192.168.140.155
REMOTE      : 192.168.140.152
ENCAP       : GENEVE

Tunnel      : 63639321-87c5-529e-8a61-92c1939799b2
IFUID       : 304
LOCAL       : 192.168.140.155
REMOTE      : 192.168.140.156
ENCAP       : GENEVE

Создание логического порта с указанным идентификатором туннеля

    POST https://192.168.110.201/api/v1/logical-ports/

{
"resource_type": "LogicalPort",
"display_name": "Extend logicalSwitch, port for service",
"logical_switch_id": "Logical switch ID",
"admin_state" : "UP",
"attachment": {
"attachment_type":"L2VPN_SESSION",
"id":"L2VPN session ID",
"context" : {
"resource_type" : "L2VpnAttachmentContext",
    "tunnel_id" : 10
}
    }
        }

Получение кода однорангового узла для L2VPN на стороне NSX-T

Получение кода однорангового узла конечной точки NSX-T. При настройке удаленной конечной точки требуется код однорангового узла. для L2VPN можно получить в предыдущем разделе. Дополнительные сведения см. в руководстве по API NSX-T 2.3.

GET https://192.168.110.201/api/v1/vpn/l2vpn/sessions/<session-id>/peer-codes

Развертывание автономного клиента NSX-T (локально)

Перед развертыванием убедитесь, что локальные правила брандмауэра разрешают входящий и исходящий трафик UDP 500/4500 для обмена данными по общедоступному IP-адресу CloudSimple, который был зарезервирован ранее для интерфейса замыкания на себя маршрутизатора NSX-T уровня 0.

1. Скачайте OVF автономного пограничного клиента NSX и извлеките файлы из скачанного пакета в папку.

2. Перейдите в папку со всеми извлеченными файлами. Выберите все vmdk (NSX-l2t-client-large.mf и NSX-l2t-client-large.ovf для крупных устройств или NSX-l2t-client-Xlarge.mf и NSX-l2t-client-Xlarge.ovf для очень крупных устройств). Щелкните Далее.

3. Введите имя автономного клиента NSX-T и нажмите Далее.

4. Щелкните Далее, чтобы перейти к параметрам хранилища данных. Выберите соответствующее хранилище данных для автономного клиента NSX-T и нажмите Далее.

5. Выберите правильные группы портов для магистрали (магистральная группа портов), общедоступного канала (группа портов исходящей связи) и интерфейса высокой доступности (группа портов исходящей связи) для автономного клиента NSX-T. Щелкните Далее.

6. Укажите следующие сведения на экране Настройка шаблона и нажмите кнопку Далее.

   Разверните L2T.

   • Адрес однорангового узла. Введите IP-адрес, зарезервированный на портале Azure CloudSimple, для интерфейса замыкания на себя NSX-T уровня 0.
   • Код однорангового узла. Вставьте код однорангового узла, полученный на последнем шаге развертывания сервера L2VPN.
   • Дочерние интерфейсы виртуальной ЛС (идентификатор туннеля) . Введите идентификатор виртуальной ЛС для переноса. В скобках () введите идентификатор туннеля, который был настроен ранее.

   Разверните интерфейс исходящей связи.

   • IP-адрес DNS. Введите локальный IP-адрес DNS.

   • Шлюз по умолчанию. Введите шлюз по умолчанию виртуальной ЛС, который будет использоваться в качестве шлюза по умолчанию для этого клиента.

   • IP-адрес. Введите IP-адрес канала исходящей связи автономного клиента.

   • Длина префикса. Введите длину префикса исходящей виртуальной ЛС/подсети.

   • Пароль CLI admin/enable/root. Задайте пароль для учетной записи admin /enable /root.

7. Проверьте параметры и нажмите кнопку Готово.

Настройка порта локального приемника

Если на одном из сайтов VPN не развернут NSX, можно настроить VPN уровня 2, развернув автономный пограничный клиент NSX на этом сайте. Автономный пограничный клиент NSX развертывается с помощью OVF-файла на узле, который не управляется NSX. Это позволяет развернуть устройство шлюза служб пограничного клиента NSX для работы в качестве VPN-клиента уровня 2.

Если автономный пограничный магистральный клиент vNIC подключен к распределенному коммутатору vSphere, то для работы VPN уровня 2 требуется либо неизбирательный режим, либо порт приемника. Использование неизбирательного режима может привести к дублированию проверки связи и ответов. По этой причине используйте режим порта приемника в конфигурации автономного пограничного клиента NSX для VPN уровня 2. См. раздел Настройка порта приемника в документации по VMware.

Проверка IPsec VPN и L2VPN

Используйте следующие команды для проверки сеансов IPsec и L2VPN из автономного пограничного клиента NSX-T.

nsx-l2t-edge> show service ipsec
-----------------------------------------------------------------------
vShield Edge IPSec Service Status:
IPSec Server is running.
AESNI is enabled.
Total Sites: 1, 1 UP, 0 Down
Total Tunnels: 1, 1 UP, 0 Down
----------------------------------
Site:  10.250.0.111_0.0.0.0/0-104.40.21.81_0.0.0.0/0
Channel: PeerIp: 104.40.21.81    LocalIP: 10.250.0.111  Version: IKEv2  Status: UP
Tunnel: PeerSubnet: 0.0.0.0/0    LocalSubnet: 0.0.0.0/0   Status: UP
----------------------------------

nsx-l2t-edge> show service l2vpn
L2 VPN is running
----------------------------------------
L2 VPN type: Client/Spoke

SITENAME                       IPSECSTATUS          VTI                  GRE
1ecb00fb-a538-4740-b788-c9049e8cb6c6 UP                   vti-100              l2t-1

Используйте следующие команды для проверки сеансов IPsec и L2VPN из маршрутизатора NSX-T уровня 0.

edge-2> get ipsecvpn session
Total Number of Sessions: 1

IKE Session ID : 3
UUID           : 1ecb00fb-a538-4740-b788-c9049e8cb6c6
Type           : Route

Local IP       : 192.168.254.254      Peer IP        : 192.227.85.167
Local ID       : 104.40.21.81         Peer ID        : 192.227.85.167
Session Status : Up

Policy Rules
    VTI UUID       : 4bf96e3b-e50b-49cc-a16e-43a6390e3d53
    ToRule ID      : 560874406            FromRule ID    : 2708358054
    Local Subnet   : 0.0.0.0/0            Peer Subnet    : 0.0.0.0/0
    Tunnel Status  : Up

edge-2> get l2vpn session
Session       : f7147137-5dd0-47fe-9e53-fdc2b687b160
Tunnel        : b026095b-98c8-5932-96ff-dda922ffe316
IPSEC Session : 1ecb00fb-a538-4740-b788-c9049e8cb6c6
Status        : UP

Используйте следующие команды, чтобы проверить порт приемника на узле ESXi, где находится виртуальная машина автономного клиента NSX-T в локальной среде.

 [root@esxi02:~] esxcfg-vswitch -l |grep NSX
  53                  1           NSXT-client-large.eth3
  225                1           NSXT-client-large.eth2
  52                  1           NSXT-client-large.eth0

[root@esxi02:~] net-dvs -l | grep "port\ [0-9]\|SINK\|com.vmware.common.alias"
                com.vmware.common.alias = csmlab2DS ,   propType = CONFIG
        port 24:
        port 25:
        port 26:
        port 27:
        port 13:
        port 19:
        port 169:
        port 54:
        port 110:
        port 6:
        port 107:
        port 4:
        port 199:
        port 168:
        port 201:
        port 0:
        port 49:
        port 53:
        port 225:
                com.vmware.etherswitch.port.extraEthFRP =   SINK
        port 52:

Layer 2 vs Layer 3 VPN — Знайте разницу (2021)

Виртуальная частная сеть (VPN) расширяет частную сеть через общедоступную сеть и позволяет конечным хостам осуществлять обмен данными через совместно используемые или общедоступные сети.

В первые годы довольно популярными были VPN уровня 2 , а позже появились VPN уровня 3 , которые начали набирать обороты. У обоих типов VPN есть свои плюсы и минусы.

Технологический прогресс в области VPN и потребность в повышенной безопасности, новые и улучшенные решения двойной VPN привлекли внимание рынка и быстро набирают популярность.Одно из таких выдающихся решений двойной VPN от Sufrshark обеспечивает дополнительный уровень безопасности.

Таблица различий: VPN уровня 2 и VPN уровня 3

ПАРАМЕТР	СЛОЙ 2 VPN	СЛОЙ 3 VPN
ФИЛОСОФИЯ	VPN уровня 2 виртуализируют уровень канала передачи данных (уровень 2), чтобы географически удаленные сайты выглядели так, как если бы они работали в одной сети LAN.	VPN уровня 3 виртуализируют сетевой уровень (уровень 3), чтобы маршрутизировать сети ваших клиентов через общедоступную инфраструктуру, такую ​​как Интернет или магистраль поставщика услуг.
ПЕРЕДАЧА ТРАФИКА	Устройства провайдера пересылают клиентский трафик на основе информации уровня 2.	Устройства провайдера пересылают клиентский трафик на основе информации уровня 3.
МАСШТАБИРУЕМОСТЬ	Как правило, VPN уровня 2 менее масштабируемы, чем VPN уровня 3.	Как правило, VPN уровня 3 более масштабируемы, чем VPN уровня 2.
ПОДКЛЮЧЕНИЕ НА УРОВНЕ 3	Заказчик устанавливает соединение уровня 3 (IP) с удаленными сайтами клиентов, а не с поставщиком услуг.	Заказчик обеспечивает подключение уровня 3 (IP) к периферийным устройствам сайтов провайдеров.
УЧАСТИЕ ПОСТАВЩИКА УСЛУГ	Поставщик услуг не участвует в IP-маршрутизации подсетей клиента.	Поставщик услуг участвует в IP-маршрутизации подсетей клиентов.
КОНТРОЛЬ МАРШРУТИЗАЦИИ	Предпочтительный подход, когда заказчик хочет, чтобы все управление маршрутизацией и политиками находилось под его контролем.	Предпочтительный подход, когда клиент не возражает против обмена информацией о маршрутизации с поставщиком услуг, а контроль политик не такой строгий.
ПРИМЕРЫ	LANE, IPLS, VPLS, EOMPLS, 802.1q Tunneling	MPLS VPN, IPSEC P2P

Загрузите таблицу различий здесь.

Надеюсь, вы поняли сравнение VPN уровня 2 и уровня 3 с помощью подробной таблицы, упомянутой выше. Также прочтите наши другие подробные руководства и вопросы для интервью —

.

VPN на основе политик и VPN на основе маршрутов

VPN Топ 100 вопросов на собеседовании

Site to Site VPN против VPN удаленного доступа

MPLS против VPN

Layer 2 VPN Manager

Metaswitch L2VPN Manager позволяет предоставлять услуги типа E-LAN ​​и E-LINE с использованием L2VPN на основе MPLS.L2VPN Manager действует как центральная база данных информации L2VPN на устройстве и владеет всеми мостами L2VPN. L2VPN Manager взаимодействует с серверами пересылки VPLS и VPWS в коммутаторах уровня 2 вместе с предложениями Metaswitch BGP, TPM и LDP для распределения маршрутов L2 VPN, настройки привязок псевдопроводов и отправки / получения запросов на снятие MAC-адресов. L2VPN Manager взаимодействует с локальными интерфейсами управления.

Используемый в сочетании с продуктами Metaswitch, показанными на схеме, DC ‑ L2VPN Manager поддерживает следующую функцию VPN уровня 2.

• Поддержка VPWS
  • VPWS со статическими метками PW.
  • VPWS с PW с сигнализацией LDP (RFC 4762).
  • VPWS с PW, сигнализируемыми LDP, и автоматическим обнаружением BGP (RFC 6074).
  • VPWS с PW с сигналом BGP и автоматическим обнаружением BGP (RFC 6624).
  • Изящный перезапуск для VPWS.
• Поддержка VPLS
  • VPLS со статическими метками PW.
  • VPLS с PW с сигнализацией LDP (RFC 4762).
  • VPLS с PW с сигналом LDP и автоматическим обнаружением BGP (RFC 6074).
  • VPLS с PW, сигнализируемыми BGP, и автоматическим обнаружением BGP (RFC 4761).
  • Эквивалентность VPLS MIB (draft-ietf-l2vpn-vpls-mib).
  • Изящный перезапуск для VPLS.
• Интеграция уровня 2
  • Множественное подключение клиентской сети к сети поставщика с использованием R / MSTP, ERPS, MC-LAG или обратного L2GP, включая распространение изменений топологии в сеть поставщика.
  • Запуск отслеживания IGMP в схемах подключения и псевдопроводных сетях VPLS для ограничения многоадресной лавинной рассылки.

DC-L2VPN Manager сам предоставляет следующие функции:

• Поддерживает центральную базу данных информации L2VPN, создает и владеет всеми доменами моста типа L2VPN.
• Для VPNS с использованием автоматического обнаружения BGP
  • получает и сохраняет маршруты от DC ‑ BGP
  • предоставляет маршруты к DC-BGP, соответствующие локальной конфигурации VPN
  • создает PW для псевдопроводов с сигналом BGP и псевдопроводов с сигналом LDP.
• Связывает псевдопроводы с доменами моста и связывает схемы подключения с доменами моста.
• Поддерживает плавный перезапуск L2 VPN.

БАЗА ЭТИКЕТКИ И СМЕЩЕНИЕ, ОБЪЯСНЕНИЕ! — NETWORK FUN-TIMES

Если вы изучаете сертификат продвинутого поставщика сетевых услуг, такой как JNCIP-SP от Juniper, то в какой-то момент вы познакомитесь с мельчайшими деталями псевдопроводов со стороны плоскости управления.

Сначала вы узнаете, что существует два разных способа создания псевдопроводов: с помощью BGP-сигналов (также известных как псевдопроводные сети Kompella, также известные как «VPN уровня 2» на языке Juniper) и с использованием сигналов LDP (они же псевдопроводные сети Martini, также известные как «Layer 2 Circuits»). на языке можжевельника).

Затем вы узнаете, что существуют и другие несуществующие псевдопроволоки, которые я придумал. Например, вы можете создать псевдопроволоку, очень громко закричав файлы в жестяную банку, затем запечатав банку, а затем бросив ее в море. Когда кто-то на другом конце света найдет банку и откроет ее, он услышит ваше сообщение, и виртуальная ссылка будет создана. (Это означает, что вы можете говорить в Microsoft Word как на втором языке и TCP / IP как на третьем.Этот вид псевдопроводов — которые помнят, не существует, я лгу вам здесь, я лгу вам в лицо — ратифицирован в RFC🐶🧁🍆🛎, который является первым RFC, на который ссылаются смайлики.

В любом случае забудьте, что я все это сказал. Вы ничего не видели, вы ничего не слышали.

Уникальная особенность L2VPN с сигнализацией BGP — это способ объявления меток VPN. Вы прочитаете о чем-то, что называется «основанием метки», и о чем-то, что называется смещением блока метки. Если вы хорошо разбираетесь в математике, вам, вероятно, будет проще понять.Но я плохо разбираюсь в математике. На самом деле я плохо разбираюсь в математике. Экспонаты A: мой банковский счет. Приложение Б: моя пенсия. Приложение C: подавляющее количество мемов, которые я ношу с собой все время, «на случай, если они мне понадобятся».

Что ж, если вы тоже не разбираетесь в старых цифрах, то этот пост для вас. Мы не только объясним, что означают эти слова, но и объясним, почему нас это волнует. Сегодня мы собираемся использовать конфигурацию Juniper, но поведение протокола одинаково для всех поставщиков. Так что расслабьтесь и наслаждайтесь поездкой, поскольку мы узнаем, как псевдопроводные сети в стиле L2VPN работают за кулисами!

БЫСТРЫЙ ОСВЕЖИТЕЛЬ: ЧТО ТАКОЕ ПСЕВДОВИР?

Псевдопровод соединяет вместе два и только два интерфейса — на разных маршрутизаторах.Все, что входит в один интерфейс, коммутируется через MPLS в сети провайдера и отправляется из интерфейса на другом конце.

В этом отношении псевдопровод — это, как следует из названия, псевдопровод, виртуальный кабель, который, как мы можем представить, проходит прямо через сеть нашего поставщика услуг. Конечный результат должен быть таким же, как если бы мы проложили много метров / километров кабеля между двумя PE. Если хотите, поменяйте там свои предпочтительные единицы измерения. Ноги, мили, лица лошадей: все, что делает вас счастливым.

Важно понимать, что если один физический интерфейс имеет множество логических субинтерфейсов, то это субинтерфейс, который имеет свой собственный псевдопровод к другому (логическому) интерфейсу в сети PE. Например, представьте, что физический интерфейс на PE-A имеет десять подчиненных интерфейсов. Если бы в нашей сети было много других PE, то на PE-A мы могли бы:

• Возьмите логический интерфейс ge-0/0 / 0.1 на PE-A и создайте псевдопровод к логическому интерфейсу на PE-B
• Возьмите логический интерфейс ge-0/0/0.2 на PE-A и создайте псевдопровод к логическому интерфейсу на PE-C
.
• Возьмите логический интерфейс ge-0/0 / 0.3 на PE-A и создайте псевдопровод к логическому интерфейсу на PE-D
• И так далее.

Это может показаться очевидным, но это будет важно позже.

Вышесказанное верно, будь то L2VPN (с сигналом BGP) или по каналу L2 (с сигналом LDP). Сигнализация не имеет значения: функциональный результат с точки зрения клиента точно такой же.

Кстати, не путайте: хотя фразы L2VPN и L2Circuit имеют очень специфические значения в экосистеме Juniper, имейте в виду, что сетевые инженеры также чрезвычайно часто используют один из этих двух терминов как взаимозаменяемые для описания концепции. псевдопроводов в целом.Что, безусловно, здорово и фантастично и определенно не вносит никаких проблем или путаницы в разговоры.

Затем вы можете добавить тот факт, что Cisco называет их Xconnects, что приводит в ужасную путаницу, когда вы слышите, как люди говорят о кросс-подключении в центре обработки данных, и оказывается, что они имеют в виду физический кабель, а не псевдопровод. Тем не менее, я уверен, что из-за этих разнообразных заблуждений многие люди получают оплачиваемую работу.

БЫСТРЫЙ ОСМОТР: ЧТО ТАКОЕ ЭТИКЕТКИ VPN?

В сетях MPLS VPN PE назначает метку VPN, чтобы определить, к какой VPN принадлежит входящий трафик.Например, PE-A может сказать PE-B: «Если вы хотите отправить мне трафик, принадлежащий этому псевдопроводу, пометьте его меткой 123456. Это скажет мне отправить трафик из интерфейса, принадлежащего этой VPN».

Теперь, учитывая, что псевдопровод соединяет два и только два интерфейса вместе, позвольте мне задать вам вопрос: если бы вы сами проектировали этот протокол, как бы вы написали RFC, объясняющий, как следует рекламировать метки? Я подумал об этом и, наверное, описал бы это примерно так:

«Каждый PE назначает локальную метку VPN этому псевдопроводу и объявляет ее удаленному PE.Процесс выбора используемой метки остается на усмотрение поставщика маршрутизатора. Когда удаленный PE получает это объявление метки, удаленный PE будет знать, что нужно добавить эту метку к любому трафику, который он отправляет по псевдопроводу ».

Просто, правда? И действительно, если мы говорим о псевдопроводах с LDP-сигналом, то, по сути, это работает. Раздел 5 RFC для псевдопроводов LDP описывает процесс, но это довольно просто.

Однако псевдопроводные сети с BGP-сигналом этого не делают.

По сути, вместо того, чтобы рекламировать одну единственную метку, псевдопроводные сети BGP объявляют диапазон меток через «блок меток» вместе с несколькими дополнительными битами информации, которые позволяют удаленному PE обрабатывать метку самостоятельно. Это очень сбивает с толку новых студентов, потому что они часто спрашивают: зачем вам нужен набор ярлыков в псевдопроводе? Есть только одно место, куда собирается трафик!

Однако оказалось, что у этого метода есть несколько преимуществ.

Во-первых, он позволяет нам настроить множество псевдопроводов, которые все поступают на один сайт, но объявляют только один блок меток для всех из них.Это позволяет нам отправлять одно объявление BGP для всех псевдопроводов, которые мы предварительно подготовили. Намного проще с рекламой! Позже мы увидим это в действии.

Во-вторых, сигнализация, используемая для L2VPN, точно такая же, как сигнализация для BGP VPLS. Мы тоже увидим это позже.

Представьте, что PE-A находится в VPLS с PE-B, PE-C, PE-D и PE-E. В этой ситуации PE-A может снова отправить одно объявление, содержащее блок меток VPN, которое другие PE могут затем использовать для определения того, какую метку использовать.

Этот метод намного более эффективен, чем отправка четырех объявлений на все четыре удаленных маршрутизатора, а затем получение этими четырьмя маршрутизаторами обработки этих четырех обновлений и отмены трех из них. Увеличьте масштаб до десятков сайтов для сотен клиентов, и станет ясно, почему отправка меньшего количества рекламы является преимуществом.

ЭТО ЗВУК ОЧЕНЬ ТЕОРЕТИЧЕСКИЙ. ПОЧЕМУ МНЕ НУЖНО ЭТО ЗНАТЬ?

Теперь, возможно, вы задаетесь вопросом, зачем вам это нужно.Для большинства инженеров процесс рекламы этикеток не имеет большого значения. Это должны знать только люди, которые пишут код, который поддерживает выбранную вами ОС поставщика.

Но на самом деле есть действительно веская причина знать об этом: в этом посте мы увидим, что есть определенные биты конфигурации, которые напрямую связаны с тем, как генерируются метки — и если вы застряли, подключив псевдопровод к подойти, то понимание того, что происходит за кулисами, может сделать вас намного более успешным в создании L2VPN с первого раза.

Имея это в виду, мы собираемся настроить некоторые L2VPN сегодня, и мы уделим особое внимание совершенству уровня управления. Но сначала давайте разберемся с нашей сегодняшней топологией. Я настоятельно рекомендую открыть приведенное ниже изображение в новой вкладке, чтобы увидеть его должным образом и легко возвращаться к нему при чтении этого сообщения.

ПОСМОТРИМ МОЮ ЛАБОРАТОРИЮ СЕГОДНЯ!

Wowzeroonie, это похоже на большую лабораторию !! Но не волнуйтесь: если вы посмотрите на один угол, вы увидите, что он точно такой же, как и другие три угла.Другими словами, сначала это кажется сложным, но на самом деле все очень просто.

Синий прямоугольник посередине — это основная сеть моего интернет-провайдера, состоящая из шести маршрутизаторов. Гоша, разве они не красивы? PE6 — это наш отражатель маршрута, что делает его особенно красивым. Очень смелый, очень респектабельный. Возможно, вы хотите на нем жениться? Я тебя не виню. К сожалению, она уже замужем, так что хватит мечтать.

К каждому из

PE1, PE2, PE3 и PE4 подключено по четыре маршрутизатора CE (на стороне клиента). Обратите внимание, как цвет полей представляет тег VLAN на интерфейсе WAN:

• Два из них находятся в VLAN1000 (зеленый)
• Один из них находится в VLAN2000 (желтый)
• Один из них находится в VLAN3000 (красный)

Маршрутизаторы CE настроены с IP-адресами, но для сегодняшней лабораторной работы вам не нужно об этом беспокоиться.Так почему я нанес их на карту? Потому что в одной из следующих публикаций мы изменим эту лабораторную работу на VPLS VPN, и нам будет интересно поиграть с манипуляциями с тегами VLAN. О, мальчик, я знаю, как веселиться! Если это похоже на то, о чем вы хотели бы знать, следите за Твиттером, когда я буду делать новые сообщения .

Хорошо, я думаю, мы готовы сделать нашу первую псевдопроволоку. Если хотите, мы могли бы держаться за руки, как мы это делаем? Нет? Хорошо, достаточно честно.

СОЗДАЕМ ПРОСТОЙ L2VPN МЕЖДУ PE1 И PE2

Ниже приведена конфигурация L2VPN между CE под названием «1C_VLAN_2000» (подключена к ge-0/0/3.2000 на PE1), а CE называется «2C_VLAN_2000» (ge-0/0 / 3.2000 на PE-2).

Для простоты в этой лабораторной работе мы собираемся соединить вместе маршрутизаторы CE, которые имеют общий тег VLAN, но имейте в виду, что это, конечно, не обязательно: с небольшой дополнительной конфигурацией мы могли бы легко поменять местами теги VLAN на обоих концах. когда они входят или выходят из PE.

Прежде всего, мы настроим ge-0/0 / 3.2000, интерфейс на PE-1, обращенный к CE:

 набор интерфейсов ge-0/0/3 flexible-vlan-tagging
установить интерфейсы ge-0/0/3, инкапсуляция гибких-Ethernet-сервисов
установить интерфейсы ge-0/0/3 unit 2000 инкапсуляция vlan-ccc
установить интерфейсы ge-0/0/3 unit 2000 vlan-id 2000 

На маршрутизаторах MX я очень склонен везде использовать просто «гибкую-vlan-tagging» и «инкапсуляцию гибких-Ethernet-сервисов».Намного проще. Комбинация этих двух команд позволяет иметь трафик без тегов, с одним тегом и с двумя тегами на одном интерфейсе, а также позволяет иметь несколько семейств адресов на одном интерфейсе, будь то уровень 3 или уровень 2.

Обратите внимание, что инкапсуляция — «vlan-ccc». Это означает, что трафик маркируется VLAN. Это отличается от «ethernet-ccc», где VLAN считается частью полезной нагрузки, и поэтому псевдопровод будет нести множество различных VLAN.

(Хотя, если быть точным, интерфейс с инкапсуляцией vlan-ccc может также передавать несколько VLAN, используя команду «vlan-id-list».Главное, что нужно убрать, это то, что при инкапсуляции ethernet-ccc тег VLAN является лишь частью полезной нагрузки, тогда как в vlan-ccc тег VLAN анализируется, чтобы решить, к какому псевдопроводу принадлежит трафик. Спасибо моему приятелю Matt Dinham за указание на это!)

«CCC» означает кросс-коммутацию цепи. Это очень старый и унаследованный от Juniper собственный метод создания псевдопроводов. По причинам, которые я никогда полностью не понимал, метод инкапсуляции переносится на другие методы псевдопроводов, как здесь.

Аналогичная конфигурация существует и на интерфейсе PE-2.

Далее делаем L2VPN так:

 root @ Router_1_PE>  показать экземпляры маршрутизации конфигурации 
L2VPN_BETWEEN_1C_AND_2C {
тип экземпляра l2vpn;
интерфейс ge-0/0 / 3.2000;
Маршрут-отличитель 1.1.1.1:999;
цель vrf-target: 64512: 999;
протоколы {
l2vpn {
ethernet-vlan типа инкапсуляции;
site A {
сайт-идентификатор 1;
интерфейс ge-0/0/3.2000;
}}}} 

Если вы раньше не видели L2VPN, вы все равно можете узнать большую часть этой конфигурации от L3VPN. Например, мы устанавливаем цель маршрута и отличитель маршрута. Если вспомнить, что и L2VPN, и L3VPN объявляются через BGP, имеет смысл включить эти элементы в конфигурацию. Мы также определяем это как тип экземпляра «l2vpn» и помещаем соответствующий интерфейс в этот экземпляр маршрутизации.

(Здесь стоит упомянуть, что в Junos L2VPN с сигнализацией BGP создается как экземпляр маршрутизации, тогда как схема L2 с сигнализацией LDP настраивается в «протоколах l2circuit».)

Обратите внимание, что в приведенной выше конфигурации это «Сайт A». «А» — это просто какой-то текст; мы могли бы назвать это как угодно. Внутри сайта мы выбираем site-identifier равное 1. Это будет важно сейчас.

Я поместил точно такую ​​же конфигурацию в PE-2, за исключением использования другого распознавателя маршрута и установки идентификатора сайта равным 2. В этой конфигурации сайт называется сайтом B.

Обратите внимание, что я не настраивал идентификатор удаленного сайта. Ничего страшного: есть поведение по умолчанию, которое означает, что этот VPN все равно будет работать.Если вы на самом деле не устанавливаете remote-site-id, вот как это работает: он начинается с 1 и увеличивается на 1 в том порядке, в котором интерфейсы указаны в конфигурации. Если, конечно, вы не являетесь сайтом 1, в этом случае идентификатор удаленного сайта начинается с 2. И вот что здесь происходит: мы — сайт 1, поэтому подсчет начинается с 2.

«А теперь подожди секунду», — могли подумать вы, прочитав этот абзац. «В каком порядке перечислены интерфейсы? Я думал, это псевдопровод? Неужто интерфейс только один? »

Хороший вопрос, Гарри! Имейте это в виду, и мы еще вернемся к этому.

Результатом нашей конфигурации является реклама BGP, которая выглядит примерно так.

Обратите внимание, что это индикатор семейства адресов 25 (VPN уровня 2), но, что интересно, это Sub-AFI 65 (VPLS). На самом деле это не VPLS, но этот снимок экрана показывает, что передача сигналов между VPLS и L2VPN действительно одинакова!

Мы также видим отличитель маршрута: CE-ID (он же Site ID), основание блока метки, размер блока и смещение блока. Также есть цель маршрута, но она не показана на этом скриншоте

Вся эта информация будет использоваться PE на другом конце.Давай узнаем, как это сделать.

ПРОВЕРКА РАБОТЫ НАШЕГО L2VPN

Ниже вы можете видеть, что команда « show l2vpn connections » дает вам множество кодов, которые помогут вам устранить неполадки, по которым VPN не работает.

Забавная история: я знаю одного британского интернет-провайдера, который на самом деле использовал эти коды в качестве вопроса на техническом собеседовании для новых сотрудников. Они дадут им код и сразу же спросят, что он означает, ожидая, что они запомнят все коды.Я бы ответил на это так: если ваши L2VPN выходят из строя так часто, что вам пришлось запомнить эти коды ошибок , вы как организация делаете что-то серьезно неправильно.

В любом случае: я отфильтрую эти коды из остальной части вывода CLI, чтобы все было проще.

Ниже этих кодов вы видите фактическую информацию, которая нам нужна: строка, которая начинается с «Экземпляр: L2VPN_BETWEEN_1C_AND_2C», — это то место, где все начинается. Взгляните на биты, которые я пометил красным. Как только вы это прочтете, я объясню, что происходит.

 root @ Router_1_PE>  показать расширенные соединения l2vpn 
VPN-соединения уровня 2:
Легенда о статусе подключения (St)
EI - инкапсуляция недействительна NC - инкапсуляция интерфейса не CCC / TCC / VPLS
EM - несоответствие инкапсуляции WE - инкапсуляции интерфейса и экземпляра не совпадают
VC-Dn - виртуальный канал отключен NP - интерфейсное оборудование отсутствует
CM - несоответствие контрольного слова -> - установлено только исходящее соединение
CN - канал не подготовлен <- - установлено только входящее соединение
ИЛИ - вне диапазона Вверх - работает
OL - нет исходящей метки Dn - вниз
LD - локальный сайт отключен CF - сбой контроля допуска вызовов
RD - удаленный сайт отключен SC - конфликт идентификаторов локальных и удаленных сайтов
LN - локальный сайт не назначен LM - локальный идентификатор сайта не назначен минимум
RN - удаленный сайт не назначен RM - идентификатор удаленного сайта не указан
XX - неизвестный статус соединения IL - нет входящей метки
MM - несоответствие MTU MI - идентификатор Mesh-Group недоступен
BK - Резервное соединение ST - Резервное соединение
PF - Ошибка синтаксического анализа профиля PB - Профиль занят
RS - резервный удаленный сайт SN - статический сосед
LB - локальный сайт не лучший сайт RB - удаленный сайт не лучший сайт
ВМ - несоответствие идентификатора VLAN
Легенда о статусе интерфейса
Вверх - в рабочем состоянии
Dn - вниз
Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: A (1)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0/3.2000 2
Этикетка-основа Диапазон размера смещения Предпочтение
800514 1 2 2 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
2 rmt Up 17 янв 13:18:04 2021 1
Удаленный PE: 2.2.2.2, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800515, исходящая этикетка: 800014
Локальный интерфейс: ge-0/0 / 3.2000, Статус: Работает, Инкапсуляция: VLAN
  {snip}  

Некоторые вещи здесь говорят сами за себя: мы видим IP-адрес удаленного PE, мы видим тот факт, что он «работает», мы видим дату / время, когда он появился, и мы видим идентификаторы локального и удаленного сайта, которые мы настроен.Число под «местом подключения» — это то, что рекламируется на другом конце. Другими словами, PE-2 сообщает нам, что он подключен к Зоне 2.

Мы также видим входящую метку и исходящую метку. На PE-1 мы видим, что любой трафик с меткой 800515 исходит от PE-2, предназначен для этой VPN и, следовательно, должен выходить из локального интерфейса ge-0/0 / 3.2000.

Менее очевидна «основа этикеток». И действительно, не очень очевидно, что означают другие числа: смещение, участок, диапазон.Что там происходит?

Прежде чем я объясню это, это эквивалентный вывод для PE-2:

 root @ Router_2_PE>  показать расширенные соединения l2vpn | найти L2VPN_BETWEEN_1C_AND_2C 
Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: B (2)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0 / 3,2000 1
Этикетка-основа Диапазон размера смещения Предпочтение
800014 1 2 1 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
1 rmt Up 17 янв 13:18:03 2021 1
Удаленный PE: 1.1.1.1, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800014, исходящая этикетка: 800515
  {snip}  

(Кстати, пусть вас не вводит в заблуждение тот факт, что две метки расположены относительно близко друг к другу: «800014» и «800515». Это просто потому, что это действительно маленькая лаборатория, и обе коробки начинают разрабатывать метки. Часто в Junos вы обнаруживаете, что метки начинаются с 800000 и идут вверх по мере создания новых LSP и VPN.)

БАЗА ЭТИКЕТКИ И СМЕЩЕНИЕ

Вместо PE, рекламирующего одну единственную метку для представления псевдопроволоки, происходит следующее: объявляется начальная метка, а затем включается некоторая дополнительная информация, которая указывает, насколько велик диапазон, позволяя принимающему PE вычислить, какую метку он должен использовать в зависимости от идентификатора сайта.

Сначала меня это смущало. Зачем рекламировать ряд лейблов, если это всего лишь псевдопровод? У нас не так много сайтов.В конце концов, псевдопровод соединяет два и только два интерфейса вместе.

И действительно. Но вот идея: что, если бы наш Сайт 1 был узловым сайтом для локальной сети VPN? Вы можете представить себе ситуацию, когда клиент приходит к вам и говорит: «В течение следующего года мы собираемся вывести в Интернет сотню ленточных сайтов, и мы хотим, чтобы каждый сайт имел L2VPN непосредственно на центральном сайте. Мы позаботимся о маршрутизации между сайтами: нам просто нужны сервисы уровня 2 от вас ».

Скорее всего, соединение PE с центральным сайтом будет одним физическим WAN-каналом с сотней субинтерфейсов, что позволит вам создать сотню отдельных псевдопроводов к сотне лучевых сайтов.

Но как бы вы на самом деле настроили это на PE? Создание сотни отдельных экземпляров маршрутизации кажется сложной конфигурацией, не говоря уже о том факте, что вам нужно отправить сотню обновлений BGP для каждого субинтерфейса.

Вот здесь-то и пригодится основа этикеток.

Вместо того, чтобы настраивать сотню экземпляров маршрутизации, вы можете фактически поместить все интерфейсы в один единственный экземпляр маршрутизации. Все сто интерфейсов будут принадлежать сайту 1, но вы также можете заранее назначить каждому подчиненному интерфейсу собственный идентификатор удаленного сайта, чтобы все сайты были предварительно подготовлены.Половина работы выполняется за один заход, что дает вам свободу настраивать другие сайты в любое время.

Если вы сделаете это, произойдет кое-что интересное: вместо того, чтобы отправлять сотню отдельных рекламных объявлений меток, маршрутизатор PE может вместо этого объединить их все в одно объявление с гораздо большей «базой меток». Удаленные PE получают это объявление — и, используя небольшую математику, распределенные сайты могут решить, какую метку использовать, на основе их настроенного локального идентификатора сайта (идентификатор удаленного сайта с точки зрения концентратора).

На самом деле, у этой концепции есть название: она называется избыточное выделение ресурсов , и она описана в , разделе 1.2.6 проекта Kompella . Позже в этом посте мы настроим его, чтобы показать вам, как он выглядит.

И, как мы уже говорили ранее, точно такая же концепция используется PE VPLS для отправки одного единственного объявления всем другим PE, объявляя диапазон меток, который удаленные PE могут использовать для расчета, какую метку VPN им следует использовать.

ЧТО ТАКОЕ МАТЕМАТИЧЕСКАЯ ИНФОРМАЦИЯ, КОТОРАЯ ИСПОЛЬЗУЕТ РАСЧЕТ ЭТИКЕТКИ?

Конечно, я британец, поэтому я бы сказал «математика».Я изменил его в этом блоге, чтобы приспособить его к моей международной аудитории, но, пожалуйста, имейте в виду, что я абсолютно и бесспорно считаю, что вы все ошибаетесь, каждый из вас.

Мы видели в выходных данных выше и на скриншоте выше, что PE-1 отправил некоторую информацию PE-2, включая «основу метки» и «смещение». Используя довольно простую математику, мы можем вычислить, какую метку VPN должен использовать PE-2.

Расчет выглядит следующим образом:

Метка = База метки + (Идентификатор удаленного сайта — смещение)

В основном этот расчет говорит: «Вот диапазон этикеток.Вы можете определить, какой ярлык принадлежит вам, по идентификатору вашего сайта ». Не волнуйтесь, если вам непонятно, как это работает; Сейчас мы рассмотрим пример.

Имейте в виду, что это идентификатор удаленного сайта с точки зрения PE-1, маршрутизатора, отправляющего объявление BGP. Другими словами, это идентификатор локального сайта с точки зрения PE-2, который получает это объявление.

Смещение — это просто число, которое помогает принимающему маршрутизатору определить, какую метку использовать из диапазона меток, на основе его идентификатора сайта.Чтобы увидеть, как это работает, давайте вернемся к нашему выводу CLI, который был ранее, когда мы смотрели на « показывают l2vpn connections » на PE1, когда мы проверяли, что L2VPN работает. Вот что мы увидели:

 Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: A (1)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0 / 3,2000 2
Этикетка-основа Диапазон размера смещения Предпочтение
800514 1 2 2 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
2 rmt Up 17 янв 13:18:04 2021 1
Удаленный PE: 2.2.2.2, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800515, исходящая этикетка: 800014
Локальный интерфейс: ge-0/0 / 3.2000, Статус: Работает, Инкапсуляция: VLAN
  {snip}  

Мы видим базу ярлыка 800514. Мы также видим, что ярлык, который PE1 действительно ожидает получить от PE2, равен 800515. Давайте посмотрим, что здесь происходит:

Этикетка = Основание этикетки + (Удаленный CE-ID — смещение)

Этикетка = 800514 + (2-1)

Этикетка = 800514 + 1

Этикетка = 800515

Быстрая математика!

Обратите внимание, что в выходных данных выше я выделил тот факт, что th

Помните, что в нашей конфигурации экземпляра маршрутизации каждый сайт знает свой собственный локальный идентификатор сайта, но мы не настраивали явно идентификатор удаленного сайта.Вместо этого он просто работал с настройками по умолчанию. Это потому, что мы выбрали Сайт 1 и Сайт 2. Мы выбрали правильные числа, поэтому эта математика (и) оказалась успешной.

Имея это в виду: что произойдет, если я перейду на маршрутизатор 2 и изменю идентификатор сайта на 8, но я все равно оставил идентификатор удаленного сайта на обоих концах по умолчанию? Давай выясним!

ЭКСПЕРИМЕНТЫ ПО ИЗМЕНЕНИЮ ИДЕНТИФИКАЦИИ САЙТА

Я передаю эту конфигурацию в PE 2, который перезаписывает предыдущий идентификатор сайта:

 установить экземпляры маршрутизации L2VPN_BETWEEN_1C_AND_2C протоколы l2vpn site B site-identifier 8 

Когда мы проверяем, что делает маршрутизатор 1 с этим изменением, мы видим ниже, что VPN теперь не работает, с «типом» ИЛИ, которое, как вы можете видеть из списка кодов ошибок ранее, означает «вне диапазона».Обратите внимание, что это также привело к созданию новых меток VPN на обоих концах.

 root @ Router_1_PE>  показать расширенные соединения l2vpn | найти L2VPN_BETWEEN_1C_AND_2C 
Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: A (1)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0 / 3,2000 2
Флаги интерфейса: VC-Down
Этикетка-основа Диапазон размера смещения Предпочтение
800006 1 2 2 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
8 п.м.н. ИЛИ 

Мы видим в основном то же самое на PE-2:

 root @ Router_2_PE>  показать расширенные соединения l2vpn | найти L2VPN_BETWEEN_1C_AND_2C 
Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: B (8)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0/3.2000 1
Флаги интерфейса: VC-Down
Этикетка-основа Диапазон размера смещения Предпочтение
800012 1 2 1 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
1 п.м.н. ИЛИ 

Основываясь на том, что мы узнали минуту назад, возможно, вы догадаетесь, что означает «вне диапазона».

Если это все еще не ясно, важно запомнить поведение по умолчанию при вычислении идентификатора удаленного сайта: начать с 1 и увеличиваться на 1 для каждого интерфейса в VPN.

Мы нигде явно не настроили идентификатор удаленного сайта. Как оказалось, конфигурация на конце PE-2 в порядке: идентификатор локального сайта равен 8, но PE-2 по-прежнему правильно считает, что идентификатор сайта PE-1 равен 1. Мы не настраивали это на PE2: это просто разобрался. Мы видим это на выходе, выделенном красным выше на выходе PE-2, в цифре 1 рядом с именем интерфейса ge-0/0 / 3.2000.

Что касается PE-1, он автоматически определил, что идентификатор удаленного сайта должен — ДОЛЖЕН — быть 2. Мы видим это в выходных данных «ge-0/0/3.2000 2 ″, которые я поставил красным выше на выходе PE-1. Если бы другой PE сейчас подскочил, заявив, что он является сайтом 2, этот новый VPN подойдет идеально.

Однако: в выходных данных мы также видим, что PE1 получил рекламу от чего-то, претендующего на звание сайта 8. Это самая последняя строка выходных данных PE1 — строка, в которой написано «connection-site 8».

Что ж, PE1 не был к этому готов! Он создал базу ярлыков, которая состоит из двух ярлыков (размер: 2), из которых на самом деле используется только одна.Если появится сайт с более высоким номером, он просто не будет работать: он, в самом прямом и буквальном смысле, находится за пределами диапазона ярлыков.

О нет! Какая печальная история! Но перестань плакать — я сказал перестань плакать !! — потому что есть простое решение.

УСТРАНЕНИЕ ПРОБЛЕМЫ: ДОБАВЛЕНИЕ ЯВНЫХ ИДЕНТИФИКАТОРОВ УДАЛЕННЫХ САЙТОВ

Давайте теперь сравним выходные данные с ошибками, приведенные выше, с выходными данными, когда они были исправлены.

Давайте вернемся к каждому PE и добавим идентификатор удаленного сайта:

на маршрутизаторе 1:

 установить экземпляры маршрутизации L2VPN_BETWEEN_1C_AND_2C протоколы l2vpn site Интерфейс ge-0/0/3.2000 идентификатор удаленного сайта 8 

на маршрутизаторе 2:

 установить экземпляры маршрутизации L2VPN_BETWEEN_1C_AND_2C протоколы l2vpn site B interface ge-0/0 / 3.2000 remote-site-id 1 

VPN снова работает! Теперь мы видим большой успех на Маршрутизаторе 1 — и, боже мой, посмотрите это смещение метки.

 root @ Router_1_PE>  показать расширенные соединения l2vpn | найти L2VPN_BETWEEN_1C_AND_2C 
Экземпляр: L2VPN_BETWEEN_1C_AND_2C
Местный сайт: A (1)
Количество локальных интерфейсов: 1
Количество локальных интерфейсов до: 1
ge-0/0/3.2000 8
Этикетка-основа Диапазон размера смещения Предпочтение
800012 7 2 2 100
вектор состояния: 0
соединение-сайт Тип Ст Время последний раз # Вверх транс
8 rmt Up 17 янв 13:26:22 2021 1
Удаленный PE: 2.2.2.2, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800013, исходящая этикетка: 800016
Локальный интерфейс: ge-0/0 / 3.2000, Статус: Работает, Инкапсуляция: VLAN
История подключений:
17 янв 13:26:22 2021 г. изменен маршрут PE
17 января 13:26:22 2021 Out lbl Обновление 800016
17 января 13:26:22 2021 In lbl Обновление 800013
17 января 13:26:22 2021 loc intf up ge-0/0/3.2000 

По-прежнему выделено только две метки, но это смещение метки позволяет Зону 8 выполнить расчет, необходимый для получения правильной метки для своего сайта:

Этикетка = Основание этикетки + (Удаленный CE-ID — смещение)

Этикетка = 800012 + (8-7)

Этикетка = 800012 + 1

Этикетка = 800013

Хороший урок, который можно извлечь из всего этого, заключается в том, что у вас есть два варианта в вашей конфигурации: либо указать явные идентификаторы удаленного сайта, либо убедиться, что вы используете только 1 и 2 в качестве своих сайтов.

Это возвращается к тому, что я говорил об этом, казалось бы, теоретическом. На самом деле, я видел МНОГО людей, которые не понимали, почему их L2VPN не подходит, и оказалось, что они «проявили изобретательность» с идентификаторами сайтов, не понимая, как эта информация используется при создании псевдопровод.

Избавьте себя от хлопот и примите мой совет: используйте идентификаторы удаленных сайтов.

НЕСКОЛЬКО ИНТЕРФЕЙСОВ В ОДНОМ L2VPN: ПЕРЕГРУЗКА В ДЕЙСТВИИ

На данном этапе вам может быть интересно, как на самом деле выглядит конфигурация «ступица и спица» — модель с «переподпиской».Что ж, даже если тебе это не интересно, я тебе покажу.

Мы собираемся создать экземпляр маршрутизации с 35 интерфейсами. Вы спросите, почему 35? Это очень конкретное число! Вы правы, и через мгновение вы поймете, почему.

Как я упоминал ранее, если бы вы сделали это в реальном мире, сайт концентратора почти наверняка жил бы за счет одного физического канала WAN. Но это совсем не требование, и действительно, в моей конфигурации ниже я использую несколько интерфейсов на своем ящике.

Напомним еще раз о топологии. Вы помните, как у меня четыре маршрутизатора PE? Пришло время включить их всех в игру.

На этот раз PE-2, PE-3 и PE-4 будут размещать удаленные сайты. Идентификаторы сайта следующие:

• PE2 размещает сайт B, он же сайт 20
• PE3 размещает сайт C, он же сайт 30
• PE4 размещает сайт D, также известный как сайт 40

Теперь, как вы можете себе представить, отображение вывода 35 интерфейсов немного загружено. Поэтому я удалил некоторые из них ниже, но вы можете щелкнуть здесь, чтобы увидеть полный неотредактированный результат .

Сначала я добавляю все интерфейсы в свой экземпляр маршрутизации. Я поместил свои три настоящих интерфейса вверху.

 изменить экземпляры маршрутизации OVERPROVISIONED_LAYER_2_VPN
установить интерфейс ge-0/0 / 1.1000
установить интерфейс ge-0/0 / 3.2000
установить интерфейс ge-0/0 / 4.3000
установить интерфейс ge-0/0 / 0.2
установить интерфейс ge-0/0 / 0.3
установить интерфейс ge-0/0 / 0.4
установить интерфейс ge-0/0 / 0.5
установить интерфейс ge-0/0 / 0.6
установить интерфейс ge-0/0 / 0.7
  {... и так далее ...} 
установить интерфейс ge-0/0/0.35 

Затем основные движущиеся части L2VPN:

 установить тип экземпляра l2vpn
установить отличитель маршрута 1.1.1.1:999
установить цель vrf-target: 64512: 999
установить протоколы l2vpn тип инкапсуляции ethernet-vlan
установить протоколы l2vpn site A site-identifier 1 

И, наконец, я связываю все локальные интерфейсы с идентификаторами удаленных сайтов.

 установить протоколы l2vpn site A interface ge-0/0 / 1.1000 remote-site-id 30
установить протоколы l2vpn site Интерфейс ge-0/0/3.2000 удаленный-сайт-идентификатор 20
установить протоколы l2vpn site A interface ge-0/0 / 4.3000 remote-site-id 10
установить протоколы l2vpn site A interface ge-0/0 / 0.2 remote-site-id 2
установить протоколы l2vpn site A interface ge-0/0 / 0.3 remote-site-id 3
установить протоколы l2vpn site A interface ge-0/0 / 0.4 remote-site-id 4
установить протоколы l2vpn site A interface ge-0/0 / 0.5 remote-site-id 5
установить протоколы l2vpn site A interface ge-0/0 / 0.6 remote-site-id 6
  {... и так далее ...} 
установить протоколы l2vpn site Интерфейс ge-0/0/0.35 идентификатор удаленного сайта 35 

Если вы явно указываете идентификатор удаленного сайта, то интерфейсы могут располагаться в любом порядке. Однако, если вы явно не указываете идентификатор удаленного сайта, порядок интерфейса имеет решающее значение. Помните процесс, описанный ранее: начните с идентификатора сайта 1 и поднимитесь на 1 для каждого интерфейса в конфигурации.

ПЕРЕГРУЗКА: РЕЗУЛЬТАТЫ

Помните, что из этих 35 интерфейсов только три в настоящий момент подключены к PE.И эти три псевдопровода отлично подходят. Ура!

32 фальшивых сайта не появляются, но меня действительно интересует, как выглядит база ярлыков, когда у вас так много сайтов? Давай выясним.

Ниже приведено много результатов. Для краткости я отредактировал множество интерфейсов, которые не работают, но заметил, что первые три интерфейса ниже являются поддельными сайтами и имеют статус VC-Down. Что касается остальной части вывода, прочтите ее, обратите внимание на биты, выделенные красным, а затем проверьте мое объяснение.

 root @ Router_1_PE>  показать расширенные соединения l2vpn | найти OVERPROVISIONED_LAYER_2_VPN 
Экземпляр: OVERPROVISIONED_LAYER_2_VPN
Местный сайт: A (1)
Количество локальных интерфейсов: 34
Количество локальных интерфейсов до: 3
ge-0/0 / 0,2 2
Флаги интерфейса: бит состояния VC-Down
ge-0/0 / 0,3 3
Флаги интерфейса: бит состояния VC-Down
ge-0/0 / 0,4 4
Флаги интерфейса: бит состояния VC-Down

  {И так далее.Всего 32 интерфейса   неработающие
это. Я удалил их все   из этого вывода, но вы можете видеть
полный неотредактированный вывод   этой команды , нажав здесь .
Ниже представлены три реальных живых интерфейса.} 

ge-0/0 / 4.3000 10
ge-0/0 / 3,2000 20
ge-0/0 / 1.1000 30
Этикетка-основа Диапазон размера смещения Предпочтение
800000 1 32 32 100
вектор состояния: 7F BF EF FB
Этикетка-основа Диапазон размера смещения Предпочтение
800256 33 4 3 100
вектор состояния: E0
соединение-сайт Тип Ст Время последний раз # Вверх транс
10 пкт Up 17 янв 22:14:28 2021 1
Удаленный PE: 2.2.2.2, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800009, исходящая этикетка: 800018
Локальный интерфейс: ge-0/0 / 4.3000, Статус: Работает, Инкапсуляция: VLAN
История подключений:
17 янв 22:14:28 2021 PE маршрут изменен
17 января 22:14:28 2021 Out lbl Обновление 800018
17 января 22:14:28 2021 In lbl Обновление 800009
17 янв 22:14:28 2021 loc intf up ge-0/0 / 4.3000
20 пт Up 17 янв 22:14:28 2021 1
Удаленный PE: 3.3.3.3, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800019, исходящая этикетка: 800002
Локальный интерфейс: ge-0/0 / 3.2000, Статус: Работает, Инкапсуляция: VLAN
История подключений:
17 янв 22:14:28 2021 PE маршрут изменен
17 января 22:14:28 2021 Out lbl Обновление 800002
17 января, 22:14:28, 2021 г., фунт Обновление 800019
17 янв 22:14:28 2021 loc intf up ge-0/0 / 3.2000
30 пм Up 17 янв 22:14:28 2021 1
Удаленный PE: 4.4.4.4, согласованное контрольное слово: Да (ноль)
Входящая этикетка: 800029, исходящая этикетка: 800002
Локальный интерфейс: ge-0/0 / 1.1000, Статус: Работает, Инкапсуляция: VLAN
История подключений:
17 янв 22:14:28 2021 PE маршрут изменен
17 января 22:14:28 2021 Out lbl Обновление 800002
17 января, 22:14:28, 2021 г., фунт Обновление 800029
17 янв 22:14:28 2021 loc intf up ge-0/0 / 1.100 

Превосходно: здесь мы видим, что рекламируем целый ряд лейблов.

Интересно: кажется, что блоки меток могут иметь длину до 32 меток, после чего объявляется вторая база меток. Вот почему я выбрал 35 интерфейсов: чтобы подчеркнуть этот факт. Если бы у нас было 100 интерфейсов, нам потребовалось бы всего четыре объявления BGP для рекламы всех 100 лейблов!

Давайте посчитаем (и) на одной из этих псевдопроводов, чтобы проверить это. Как насчет сайта 20, от которого мы ожидаем получить 800019. Я выделил это красным выше. Если вы уже знакомы с расчетом, вы, вероятно, понимаете, почему это подтверждается:

Этикетка = Основание этикетки + (Удаленный CE-ID — смещение)

Этикетка = 800000 + (20-1)

Этикетка = 800000 + 19

Этикетка = 800019

Отлично! Вот и все.Теперь вы можете ясно видеть, что только с этими двумя рекламными ярлыками мы смогли рекламировать ярлыки, которые должны использоваться всеми 35 сайтами, когда они отправляют трафик на PE1.

КАК ЭТО МОЖЕТ БЫТЬ НЕПРАВИЛЬНЫМ?

Я работал в ряде организаций, где — по причинам, о которых я до сих пор не знаю — стандартный процесс заключался в том, чтобы не использовать идентификаторы удаленных сайтов. Лично я считаю, что отказ от настройки идентификатора удаленного сайта — это путь к неприятностям и проблемам.Во-первых, если псевдопровод не появится, менее опытный инженер может не понять, почему их схема явно «вне диапазона», только потому, что они выбрали идентификатор локального сайта 2 и идентификатор удаленного сайта 7 «. потому что это мои любимые номера ».

Во-вторых, если у вас есть несколько интерфейсов в экземпляре маршрутизации, каждый без идентификатора удаленного сайта, все, что нужно для создания катастрофы, — это прийти отважного инженера и изменить порядок интерфейсов в имени «наведения порядка».Вы легко можете представить, как кто-то приходит и думает: «О, эти интерфейсы не отсортированы по номерам. Впрочем, ничего, я это исправлю! ». И вдруг система мониторинга загорается красивым красным светом.

Избавьте себя от этих хлопот: определите идентификаторы удаленных сайтов.

ЗАКЛЮЧИТЕЛЬНАЯ ИНФОРМАЦИЯ О «СМЕЩЕНИИ».

В завершение этого поста позвольте мне поблагодарить двух человек. Во-первых, мой отличный коллега Бьянка Лолеа , который заметил что-то странное в выводе « show route table mpls.0 “:

Мы были очень сбиты с толку, когда обнаружили это «Смещение: 4» в таблице меток MPLS. Похоже, это не имело никакого отношения к смещению, о котором мы говорили в этом блоге. Мы потратили много-много времени на то, чтобы разобраться с этим. Почему смещение в таблице mpls.0? В этой таблице должен быть строго перечень ярлыков и того, что с ними делать. Здесь происходит что-то странное.

К счастью, могучая Ясмин Лара , мой коллега по Juniper Ambassador, сумела решить эту проблему: речь идет о том, что по умолчанию «Контрольное слово» оговаривается.Несмотря на название, на самом деле это не «слово». Вместо этого между меткой VPN и началом пакета добавляются дополнительные четыре байта. Эти четыре байта служат ряду функций, и о том, что именно эти функции, мы оставим на другой день. На данный момент все, что вам нужно знать, это вывод, приведенный выше, сообщает маршрутизатору, что пакет действительно начинается на четыре байта от обычного начального места.

Хорошая работа Бьянке за то, что она его заметила; Хорошая работа Ясмин за разработку ответа! Если вы видите это сами, не запутайтесь: слово «смещение» в данном контексте означает нечто иное.

ЭТО ЭТО!

Как вы используете L2VPN в своей организации? Есть какие-нибудь интересные истории о том, как они используются? Дай мне знать в комментариях!

Между тем, если вам понравился этот пост, то отличный способ поддержать мою работу — поделиться им в ваших любимых социальных сетях. Чем больше людей читают мой блог, тем больше я вдохновляюсь на написание еще большего количества сообщений.

И, конечно же, если вы хотите знать, когда я пишу новые сообщения, подписывайтесь на меня в Twitter или подписывайтесь на меня в LinkedIn .В настоящее время я участвую в захватывающем соревновании: мой десятитысячный подписчик выигрывает купон на 200 фунтов стерлингов в магазине по моему выбору. Правильно: минус двести фунтов. Чтобы прояснить, я хочу сказать, что если вы мой десятитысячный последователь, вы должны купить мне подарочный сертификат на 200 фунтов стерлингов. Это твой приз. Удачи!!

Как настроить L2 VPN

Обзор

UKCloud для VMware обеспечивает функциональность VPN уровня 2 (L2) как часть своего пакета Advanced Management (за дополнительную плату).С помощью L2 VPN вы можете растянуть один и тот же широковещательный домен L2 через туннель SSL через два пограничных шлюза на разных сайтах, что означает, что вы можете легко перемещать свои рабочие нагрузки между сайтами без необходимости менять IP-адреса.

L2 VPN — это расширение функциональности SSL на периферии. Он позволяет настроить туннель между двумя сайтами, расширяя логический коммутатор на оба сайта. Туннель означает, что виртуальные машины (ВМ) остаются в одной подсети, если они перемещаются между двумя сайтами, что позволяет расширить центр обработки данных на несколько сайтов.Пограничный сервер NSX на одном сайте может предоставлять все услуги виртуальным машинам на другом сайте.

Функциональность

UKCloud L2 VPN охватывает три сценария:

• Подключение L2 между регионами UKCloud

• Подключение вашего собственного локального сайта (с vSphere и NSX) к UKCloud

• Возможность подключения L2 с любого удаленного сайта (без vSphere и NSX) к UKCloud

Прежде чем начать

Перед включением L2 VPN примите во внимание следующее:

• У вас должен быть приобретен пакет Advanced Management для вашего UKCloud для службы VMware

• Эта служба занимает один из выделенных вами IP-адресов (первичный или вторичный)

• L2 VPN можно включить только в маршрутизируемой сети Org VDC

• Вы не можете использовать SSL VPN на любом пограничном шлюзе, на котором запущен L2 VPN

• У вас могут возникнуть проблемы с IPsec VPN

• Невозможно использовать балансировщики нагрузки, использующие HTTPS, на адресах первичного или вторичного пограничного шлюза после включения L2 VPN

• Вам необходимо изменить любые существующие правила NAT и брандмауэра, используя первичный или вторичный IP-адрес пограничного сервера для HTTPS

• Если на вашем удаленном сайте нет vSphere или NSX, вам необходимо развернуть автономную границу в качестве клиента L2 VPN (см. Развертывание автономной границы в качестве клиента L2 VPN )

Настройка L2 VPN

Для настройки L2 VPN необходимо настроить VPN-сервер L2 на конечной границе и VPN-клиент L2 на исходной границе.Затем необходимо включить службу L2 VPN как на сервере, так и на клиенте. Если один из сайтов, которые вы хотите растянуть, не поддерживается NSX, вы можете развернуть автономную границу в качестве клиента L2 VPN на этом сайте (см. Развертывание автономной границы в качестве клиента L2 VPN ).

Настройка сети

1. Создайте маршрутизируемую сеть виртуального ЦОД на исходном и целевом сайтах.

   Для получения более подробных инструкций см. Как создать маршрутизируемую сеть VDC .

   Примечание

   Чтобы растянуть подсеть на два сайта, убедитесь, что вы используете желаемое адресное пространство в обеих сетях.

2. Для каждой сети выберите сеть и на вкладке / странице Общие щелкните Изменить

3. В диалоговом окне Редактировать сеть выберите вкладку Подключение .

4. Из списка Interface Type выберите Subinterface , чтобы подключить сеть в качестве подинтерфейса к магистральному интерфейсу на подключенном шлюзе, затем щелкните Save .

5. Чтобы иметь возможность перемещаться, ваши виртуальные машины должны иметь доступ к вашей новой сети, поэтому вам необходимо подключить их к ней.

Создание сертификатов

1. На панели мониторинга виртуального центра обработки данных VMware Cloud Director выберите виртуальный ЦОД, который содержит граничный шлюз назначения .

2. На левой панели навигации в разделе Сеть выберите Ребра .

3. Выберите граничный шлюз назначения и щелкните Services .

4. Выберите вкладку Сертификаты .

5. Щелкните + CA Certificate .

6. Добавьте сертификат, который будет использоваться для сервера L2 VPN, затем щелкните Keep .

7. Повторите этот процесс для пограничного шлюза источника .

Настройка VPN-сервера L2 на граничном шлюзе назначения

Сервер L2 VPN — это конечный шлюз назначения , к которому должен быть подключен клиент.

1. На странице Edge Gateway для пограничного шлюза назначения выберите вкладку VPN , затем вкладку L2 VPN .

2. Для L2VPN Mode выберите Server .

3. На вкладке Server Global из списка Listener IP выберите первичный или вторичный IP-адрес внешнего интерфейса пограничного сервера NSX.

4. В поле Listener Port введите порт, который будет использоваться для L2 VPN.Порт по умолчанию — 443 .

5. Выберите алгоритм шифрования , который будет использоваться для связи между сервером и клиентом.

6. В разделе Сведения о сертификате службы щелкните Изменить сертификат сервера .

7. Выберите опцию Проверить сертификат сервера , выберите сертификат, который вы создали ранее, затем нажмите ОК .

8. Щелкните Сохранить изменения .

9. Выберите вкладку Server Sites .

10. Нажмите кнопку + .

11. В диалоговом окне Добавить одноранговый сайт укажите сведения для однорангового сайта, чтобы другие сайты могли подключаться к серверу L2 VPN, затем щелкните Сохранить .

12. Щелкните Сохранить изменения .

Настройка VPN-клиента L2 на исходном пограничном шлюзе

Клиент L2 VPN — это граничный шлюз источника , который инициирует обмен данными с граничным пунктом назначения (сервером L2 VPN).

1. На странице Edge Gateway для пограничного шлюза source выберите вкладку VPN , затем вкладку L2 VPN .

2. Для L2VPN Mode выберите Client .

3. В поле Server Address введите адрес VPN-сервера L2, который вы установили в предыдущем разделе. Адрес может быть именем хоста или IP-адресом.

4. В поле Server Port введите порт, который будет использоваться для L2 VPN.Порт по умолчанию — 443 .

5. Выберите алгоритм шифрования для связи с сервером.

6. Щелкните Select Sub-Interfaces и выберите подчиненные интерфейсы, которые нужно распространить на сервер.

7. В поле Egress Optimization Gateway Address , если шлюз по умолчанию для виртуальных машин одинаков на двух сайтах, введите IP-адреса шлюза вспомогательных интерфейсов или IP-адреса, на которые трафик не должен проходить через туннель.

8. В разделе Сведения о пользователе введите учетные данные пользователя для подключения к серверу L2 VPN.

9. Щелкните Сохранить изменения .

Завершение настройки L2 VPN

1. Настройте оптимизацию TCP.

2. Настройте правила брандмауэра и NAT на конечных и исходных пограничных шлюзах, чтобы разрешить прохождение трафика между сервером L2 VPN и клиентом L2 VPN.

3. Включите L2 VPN на граничном шлюзе назначения .

   а. На странице Edge Gateway для пограничного шлюза назначения выберите вкладку VPN , затем вкладку L2 VPN .

   г. Для L2VPN Mode выберите Server .

   г. Выберите вариант Включено .

    ! [Включить L2 VPN] (images / vmw-vcd91-l2vpn-enable.png)
     

   г. Нажмите Сохранить изменения .

4. Повторите описанные выше шаги, чтобы включить L2 VPN на исходном шлюзе (настройка L2VPN Mode на Client ).

Развертывание автономной периферии в качестве VPN-клиента L2

Если исходный сайт не поддерживается NSX, вы можете развернуть автономную границу в качестве клиента L2 VPN.

1. Загрузите NSX-l2vpn-client.ovf и разверните автономную границу.

   Дополнительные сведения см. В следующей статье VMware: Настройка автономного пограничного сервера в качестве VPN-клиента второго уровня.

2. Создайте группу портов и преобразуйте ее во вспомогательный интерфейс.

3. Теперь вы можете настроить L2 VPN, выполнив следующие шаги, используя автономный край в качестве пограничного шлюза источника .

Примечание

Убедитесь, что вы изменили существующие правила NAT для использования других адресов.

Обратная связь

Если вы обнаружите проблему с этой статьей, нажмите Improve this Doc , чтобы внести изменения самостоятельно или поднять проблему на GitHub.Если у вас есть идея, как мы могли бы улучшить какие-либо из наших услуг, отправьте электронное письмо по адресу [email protected].

MPLS L2 VPN — Общие сведения о сетевых уровнях и VPN

Общие сведения о MPLS L2VPN

MPLS L2 VPN (виртуальные частные сети второго уровня) обладают некоторыми уникальными характеристиками и стимулируют использование MPLS или многопротокольной коммутации по меткам. В этом руководстве по MPLS L2 VPN объясняются основы сетевых уровней и ключевые различия MPLS L2 VPN.

Общие сведения о сетевых уровнях

В сетях уровни основаны на стандартной модели ISO OSI. Согласно этой модели, сетевые уровни:

Layer One — физический носитель, на котором работает сеть. Частная линия — это услуга уровня 1, поскольку она физически соединяет конечные точки сети.

Layer Two — уровень канала передачи данных. Этот уровень содержит уровень протокола, который обеспечивает передачу данных между элементами сети.Ethernet — один из таких протоколов передачи данных.

По словам Эрика Бозича, вице-президента по продуктам и маркетингу оптового подразделения CenturyLink,

Layer Two обеспечивает конфиденциальность и безопасность, но вводит некоторое совместное использование ресурсов / полосы пропускания. Поставщики услуг, такие как CenturyLink, могут предоставлять «частные линии Ethernet», где не используется общая полоса пропускания, но также предлагают варианты для общих сетевых ресурсов, которые безопасны в том смысле, что нет доступа к протоколам уровня 3, но могут стать перегруженными из-за не только полосы пропускания. посвящен одному заказчику.VPN могут быть предоставлены на уровне 2 или на уровне 3.

Layer Three — сетевой уровень. Он обрабатывает такой трафик, как IP или Интернет-протокол. VPN уровня 3 могут иметь или не иметь ядро ​​MPLS. VPN уровня 3 обычно запускаются через общедоступный Интернет, что делает их быстрым и дешевым в развертывании, но включает в себя более высокие риски безопасности и более высокий риск проблем с задержкой и перегрузкой.

MPLS находится между вторым и третьим уровнями и сохраняет некоторые характеристики каждого уровня.Это известно как технология уровня 2.5.

«Это добавляет некоторую гибкость доступным опциям транспорта уровня 1 и 2. Это очень эффективно и легко масштабируется, — сказал Божич.

Уровни модели OSI. Изображение из Федеральной комиссии по связи.

MPLS L2 VPN: внедрение развертываний

«VPN уровня 2 стали мощным стимулом для развертывания MPLS», — говорит Джо Уайтхаус, директор по маркетингу подразделения сетевых технологий MetroSwitch, крупного поставщика MPLS для OEM-производителей.

По словам Эрика Бозича из CenturyLink, одной из наиболее привлекательных функций MPLS является возможность управления и контроля QoS (качества обслуживания). Клиенты подписываются на определенную полосу пропускания, и «тогда они получают возможность сказать, если есть перегрузка на этом сетевом канале, какой тип трафика проходит или задерживается в очереди для доставки позже, чтобы поддерживать потоки трафика», — сказал Божич.

«Уровень совместного использования повысился, но они сохранят конфиденциальность, когда вы попадете в общедоступный Интернет», — добавил он.

Согласно Juniper Networks, в рамках MPLS L2 VPN сеть провайдера предоставляет транспортные услуги только между конечными узлами клиента (CE). Маршрутизация и пиринг происходят между устройствами CE, в результате чего сеть провайдера игнорирует внутреннюю организацию сети клиента (оверлейная сеть). В VPN уровня 3, напротив, CE взаимодействуют между собой и обмениваются информацией о маршрутизации с подключенными периферийными устройствами поставщика (PE), а сеть предоставляет услуги распределения маршрутов и транспорта (одноранговая сеть).

«Если целью клиента является использование сети провайдера только для передачи данных, лучше подходит модель уровня 2, поскольку IP-адресация и обслуживание CE остаются в сфере ответственности клиента. Это более характерно для крупных предприятий », — говорится в официальном документе Juniper Networks о виртуальных частных сетях (2010 г.). «Модель уровня 3 подходит, если оператору сети требуется настроить и поддерживать IP-адресацию для клиента, что более типично, когда клиент представляет собой компанию среднего размера.”

Похожие сообщения

Введение в VPN уровня 2

Layer 2 VPN изначально были реализованы с использованием технологий Layer 2, таких как Frame Relay и ATM. Однако произошел значительный сдвиг в технологии; Сети поставщиков услуг (SP) переходят от сетей с коммутацией каналов к сетям с коммутацией пакетов. Этот сдвиг в первую очередь связан с расширением возможностей получения дохода и улучшенным управлением текущими сетевыми ресурсами.В целом VPN уровня 2 помогают снизить затраты для провайдера, поскольку стоимость управления отдельными сетями (TDM, FR, ATM, IP) намного выше как с точки зрения капитальных затрат, так и с точки зрения OPEX, чем стоимость управления одной более крупной агрегированной сетью.

SP

могут поддерживать как VPN уровня 2, так и VPN уровня 3 MPLS в рамках единой инфраструктуры, поскольку сети с поддержкой MPLS позволяют бесшовную интеграцию сервисов уровня 2 и уровня 3. VPNS уровня 2 предоставляет несколько преимуществ, например

• Объединение нескольких сетей уровня 2 в корпоративной среде или среде SP в одну базовую сеть с услугами уровня 2, работающими через общее ядро ​​IP / MPLS.Это позволяет поставщику услуг предоставлять прозрачные услуги конечным клиентам.
• Возможность беспрепятственно расширять локальные сети в качестве частных виртуальных локальных сетей в сети SP и предоставлять многоточечные услуги Ethernet.

VPN уровня 2 определяется как VPN, включающая коммутируемые соединения между конечными точками абонентов через совместно используемую сеть. На рис. 11-1 показан провайдер на базе MPLS, который предлагает услуги VPN уровня 2.

Рисунок 11-1. VPN уровня 2

VPWS и VPLS

Virtual Private LAN Service (VPLS) и Virtual Private Wire Service (VPWS) — это решения VPN с коммутацией пакетов, которые объединяют услуги уровня 2 и уровня 3.

VPLS разработан для приложений, требующих многоточечного или широковещательного доступа. Он использует архитектуру уровня 2, чтобы предложить многоточечные сети VPN Ethernet, которые соединяют несколько сайтов через городскую сеть (MAN) или глобальную сеть (WAN).

В VPWS две технологии псевдо-проводов, которые обеспечивают услуги уровня 2 точка-точка, следующие:

• AToM — псевдопроводная технология, использующая сети с поддержкой MPLS для предоставления услуг уровня 2.
• L2TPv3 — технология псевдопроводов для сетей без поддержки MPLS или чисто собственных сетей на основе IP.Это подробно рассмотрено в главе 10.

И AToM, и L2TPv3 поддерживают транспортировку Frame Relay, ATM, управления каналом передачи данных высокого уровня (HDLC), PPP и трафика Ethernet по ядру MPLS или IP.

На рис. 11-2 (стр. 451) показаны различные псевдопроводные технологии, используемые в сетях VPN уровня 2.

Рисунок 11-2. Уровень 2 VPN Модель

Эталонная модель псевдопроводов

AToM

использует эталонную модель псевдопроводов, показанную на рисунке 11-3, для транспортировки трафика уровня 2 по магистрали MPLS.Эталонная модель Pseduo Wire основана на работе группы IETF PWE3 (Pseudo-Wire Emulation Edge to Edge), которая обеспечивает основу для эмуляции проводов от края до края в пакетной сети провайдера.

Рисунок 11-3. Эталонная модель псевдопроводов

Псевдопровод — это логическое соединение между двумя оконечными устройствами провайдера (PE), которое соединяет две оконечные службы псевдопроводов (PWES) одного типа. PWES может быть одним из следующих, используемых между устройством PE и CE:

• Ethernet, VLAN или 802.1Q туннелирование (QinQ)
• ATM VC или VP
• Frame Relay, ВК
• HDLC
• ППС

PE-маршрутизаторы настроены как конечные точки псевдопроводного соединения. После формирования псевдопровода блоки PDU уровня 1 или уровня 2 инкапсулируются на входном устройстве PW (псевдопроводе). Затем инкапсулированный PDU отправляется по PW на выходное устройство PW, где заголовки L2 или L3 восстанавливаются, а кадры отправляются в исходном формате на другое устройство CE.

Терминология AToM

В сетях VPN на базе AToM часто используется следующая терминология:

• Присоединительный контур (AC)
• Сеть с коммутацией пакетов (PSN)
• Эмулированный ВК

На рис. 11-4 показана используемая терминология AToM.

Рисунок 11-4. Эталонная модель псевдопроводов

Схема присоединения (AC) — это физическая или виртуальная цепь (VC), которая присоединяет CE к PE.AC может быть, помимо прочего, VC (например, Frame Relay или ATM), портом Ethernet, VLAN, каналом HDLC или соединением PPP.

Сеть с коммутацией пакетов (PSN) использует IP или MPLS в качестве механизма пересылки пакетов. Конечные точки псевдопровода — это два маршрутизатора PE, подключенные к AC одного типа. PWE3 — это механизм, который имитирует основные атрибуты службы (например, Frame Relay или ATM PVC) через PSN.

Эмулированный виртуальный канал используется для обеспечения соединения уровня 2 между двумя устройствами CE.Эмулируемые схемы используют три уровня инкапсуляции:

• Заголовок туннеля — он реализован как метка MPLS или метка LSP, которая изучается через LDP внутри магистрали провайдера. Это первая или внешняя метка в стеке меток MPLS. Метка реализована таким образом, что PDU может транспортироваться от входящего PE к выходному устройству PE.
• Поле демультиплексора — эта метка предназначена для идентификации отдельных каналов в туннеле. Это реализовано как метка VC, которая является второй или внутренней меткой в ​​стеке и изучается через направленный сеанс LDP между маршрутизаторами PE.
• Эмулированная инкапсуляция VC — это реализовано как 32-битное управляющее слово и идентифицирует информацию внутри вложенного PDU уровня 2.

Блоки протокольных данных (PDU), полученные от сайтов клиентов, инкапсулируются на входящем маршрутизаторе PE. В архитектуре AToM инкапсуляция подразумевает прикрепление определенного стека меток и специального управляющего слова. Инкапсулированный PDU клиента затем переключается по метке через магистраль поставщика услуг на удаленный PE. PDU псевдопровода содержит все данные и управляющую информацию, которые при необходимости хранятся в управляющем слове, что необходимо для предоставления услуги уровня 2.Некоторая информация может быть сохранена как состояние при настройке псевдопровода — например, отображение между меткой и исходящим интерфейсом.

Как работает банкомат

В сети на основе MPLS, предоставляющей услуги AToM, кадры уровня 2 принимаются на входном интерфейсе входящего маршрутизатора PE. Этот кадр уровня 2 инкапсулируется в пакет MPLS с использованием стека меток входящим маршрутизатором PE. Входящий PE инкапсулирует кадр в стек меток MPLS и туннелирует его через магистраль к выходному PE.На рисунке 11-5 показана работа AToM в сетях SP.

Рисунок 11-5. Туннельный LSP и направленный LDP

Выходной PE декапсулирует пакет и воспроизводит кадр уровня 2 на соответствующем выходном интерфейсе. Как упоминалось ранее, кадры AToM передаются по магистрали MPLS с использованием стека меток из двух меток. В структуре AToM внешняя метка называется меткой туннеля. Эта внешняя метка передает пакет от входящего PE к правильному выходному маршрутизатору PE.Эта метка внешнего туннеля используется для LSP PE-to-PE.

Вторая метка (внутренняя метка), известная как метка VC, используется выходным PE-маршрутизатором для пересылки пакета на соответствующий выходной интерфейс. Эта процедура в некоторой степени похожа на MPLS VPN, где выходной маршрутизатор PE использует метку VPN. Протокол IGP, аналогичный реализации MPLS VPN, требуется в магистрали провайдера между маршрутизаторами PE, чтобы они могли обмениваться метками VC. Однако в L2 VPN, в отличие от MPLS VPN, расширенные сообщества в BGP не используются для переноса меток VC.

В случае AToM обмен метками VC достигается путем установления направленного сеанса LDP с множеством переключений между маршрутизаторами PE. Выходной PE-маршрутизатор отправляет сообщение сопоставления меток LDP, которое указывает значение метки для использования для класса эквивалентности пересылки VC (VC-FEC). VC FEC — это новый тип элемента LDP, определенный для этой цели. Обмен информацией VC использует процедуры рассылки незапрошенных меток в нисходящем направлении. Это значение метки затем используется входящим PE-маршрутизатором в качестве второй метки в стеке меток, накладываемой на кадры указанного VC-FEC.

Процедура сопоставления меток LDP

Эмулируемый VC — это туннель LSP между входящим и выходным PE. Эмулированный виртуальный канал состоит из двух однонаправленных LSP, используемых для транспортировки PDU уровня 2 в каждом направлении. Двухуровневый стек меток, состоящий из метки туннеля (верхняя метка) и нижней метки (метка VC), используется для переключения пакетов между входящим и выходным PE. Метка VC предоставляется входящему PE выходным PE конкретного LSP для направления трафика на конкретный выходной интерфейс на выходном PE.Метка VC назначается выходным PE во время установки VC и представляет собой привязку между выходным интерфейсом и заданным идентификатором VC. VC идентифицируется уникальным и настраиваемым идентификатором VC ID, который распознается как входящим, так и выходным PE. Во время настройки VC входящий и выходной PE обмениваются привязками меток VC для указанного идентификатора VC. На рисунке 11-6 показана процедура сопоставления меток LDP, которая имеет место в сети AToM на основе MPLS.

Рисунок 11-6. Процедура сопоставления меток LDP

Следующая процедура установки VC между маршрутизаторами PE не зависит от транспорта:

Шаг 1.	Транспортный маршрут L2 MPLS введен на входящий интерфейс на PE1 (mpls инкапсуляции VCID удаленного PE-IP-адреса xconnect).
Шаг 2.	PE1 запускает удаленный сеанс LDP с PE2, если он еще не существует.
Шаг 3.	Подходит физический уровень входящего интерфейса на PE1. PE1 распознает VC, настроенный для входного интерфейса, по которому пересылаются PDU уровня 2, полученные от CE1, и, следовательно, выделяет локальную метку VC и связывает ее с идентификатором VC ID, настроенным для входного интерфейса.
Шаг 4.	PE1 кодирует эту привязку с помощью TLV-метки VC и TLV FEC VC и отправляет ее PE2 в сообщении сопоставления меток.
Шаг 5.	PE1 принимает сообщение сопоставления меток от PE2 с TLV FEC VC и TLV метки VC. В TLV FEC VC идентификатор VC совпадает с локально настроенным идентификатором VC. Метка VC, закодированная в TLV метки VC, является исходящей меткой VC, которую PE1 собирается использовать при пересылке PDU уровня 2 в PE2 для этого конкретного VC.
Шаг 6.	PE1 может получить сообщение запроса метки от другого PE с определенным TLV FEC VC в любое время во время РАБОЧЕГО состояния. PE1 проверяет идентификатор VC, закодированный в элементе FEC, и отвечает партнеру сопоставлением метки с локальной меткой VC, соответствующей идентификатору VC.
Шаг 7.	После шагов с 1 по 6 LSP между PE1 и PE2 является восходящим и однонаправленным.PE2 теперь выполняет шаги с 1 по 6, как это было с PE1. После того, как оба обмениваются метками VC на конкретный идентификатор VC, идентификатор VC считается установленным.
Шаг 8.	Когда VC отключен по какой-либо причине, например, соединение CE-PE отключается или конфигурация VC удаляется с одного PE-маршрутизатора, PE-маршрутизатор должен отправить сообщение об отзыве метки своему удаленному партнеру LDP, чтобы отозвать ВК лейбл это рекламировал ранее.

Туннель PSN и распространение меток VC

В этом разделе рассматриваются операции пересылки уровня управления и данных, которые происходят в сети поставщика, предоставляющей услуги AToM.

Работа плоскости управления

На рис. 11-7 показана магистральная сеть MPLS, которая предоставляет услуги AToM сайтам клиента A, CE1-A и CE2-A.

Рисунок 11-7. Плоскость управления — туннель PSN и рассылка меток VC

Чтобы установить LSP между маршрутизаторами PE, PE1 и PE2, для трафика уровня управления от PE1 к PE2, процесс распространения метки IGP или LDP начинается, когда PE1 объявляет всплывающую метку (implicit-null) для своего собственного адреса обратной петли (10.10.10.101). Магистральный маршрутизатор P1-AS1 объявляет значение метки L1 маршрутизатору PE2. Это показано на этапах 1a и 1b на рисунке 11-7. LSP от PE1 к PE2 теперь установлен.

Также будет создан направленный сеанс LDP между маршрутизаторами PE1 и PE2 для обмена меткой VC. Для предоставления услуг AToM любой паре PE требуется подобный направленный сеанс LDP. Маршрутизатор PE1 выделяет локальную метку VC1 как метку VC для определенного канала. Метка VC, VC1, объявляется маршрутизатору PE2 с использованием направленного сеанса LDP между PE1 и PE2.Маршрутизатор PE2 теперь формирует стек меток. Самая верхняя метка, метка туннеля, имеет значение L1 и пересылает пакеты в PE1.

Работа плоскости данных

На рисунке 11-8 показана операция пересылки в плоскости данных для трафика, исходящего от CE2-A к CE1-A.

Рисунок 11-8. Работа плоскости данных

Данные уровня 2 от CE2-A принимаются PE2. PE2 накладывает метку на пакет данных с помощью метки туннеля L1 и метки VC VC1.PE2 использует внешнюю или туннельную метку L1 для пересылки пакетов данных в PE1. На P1 метка туннеля L1 выталкивается, и результирующий пакет пересылается на PE1. PE1 использует внутреннюю метку или метку VC, VC1 для пересылки пакетов на правильный исходящий интерфейс на PE1.

Процедура снятия ярлыка VC

Если PE-маршрутизатор обнаруживает условие, которое влияет на нормальное обслуживание, он должен отозвать соответствующую метку VC, используя протокол LDP. На рис. 11-9 (стр. 458) показана сеть AToM на основе MPLS, в которой отказ канала между PE2 и CE2-A приводит к тому, что PE2 отправляет сообщение об отзыве метки VC PE1.

Рисунок 11-9. Процедура снятия ярлыка ВК

Слово управления

Входящий PE-маршрутизатор будет использовать стек меток для инкапсуляции кадров уровня 2 в MPLS, удаляя все преамбулы, контрольные суммы кадров, а также некоторую информацию заголовка. Важная информация заголовка передается по магистрали MPLS в управляющем слове или заголовке-прокладке. Управляющее слово также используется для порядковой нумерации, чтобы гарантировать последовательную доставку, если это необходимо.

Нулевой порядковый номер указывает на то, что последовательность не выполняется. Небольшие пакеты могут нуждаться в дополнении, если минимальная максимальная единица передачи (MTU) среды больше фактического размера пакета. Управляющие биты, переносимые в заголовке кадра уровня 2, возможно, потребуется транспортировать в полях флагов.

Управляющее слово не является обязательным. Некоторые протоколы уровня 2 используют это, а другие нет. Обе конечные точки (входящий PE и выходной PE) должны, конечно, согласиться использовать или не использовать контрольное слово.Когда используется контрольное слово, оно передается после стека меток, но перед PDU уровня 2.

Управляющее слово составляет 32 бита. Он разделен на 4 поля. Первое поле — это 4 зарезервированных бита, которые всегда должны быть установлены в 0. Следующее поле — это 4-битное поле флага. Флаги используются по-разному в зависимости от пересылаемого протокола уровня 2. Следующие 2 бита всегда устанавливаются в 0 при передаче. Третье поле — это 6-битовое поле, которое используется только в том случае, если PDU уровня 2 короче минимального пакета MPLS и требуется заполнение.Если заполнение не требуется, поле длины не используется. Четвертое поле — это 16-битный порядковый номер. Нумерация последовательностей используется только в протоколах уровня 2, что гарантирует упорядоченную доставку. Специальное значение 0 в поле последовательности указывает на отсутствие гарантированной последовательной доставки.

Когда AToM используется для Frame Relay через MPLS, заголовок Frame Relay удаляется, а биты FECN, BECN, DE и C / R (CRC) переносятся в поле флага контрольного слова. Когда AToM используется для ATM через MPLS, первый флаг в поле флага контрольного слова указывает, транспортируются ли AToM кадры AAL5 или необработанные ячейки ATM.Остальные три флага используются для явного индикатора перегрузки при пересылке (EFCI), приоритета потери ячеек (CLP) и C / R.

Если один из этих флагов установлен в любой из ячеек ATM, транспортируемых в пакете MPLS, то соответствующий флаг устанавливается в контрольном слове.

2. VPN на основе Ethernet уровня 2 — проект SoftEther VPN

2.1. Полная виртуализация Ethernet

Ключевой концепцией метода реализации VPN с помощью SoftEther VPN является полная виртуализация сегментов Ethernet, коммутаторов Ethernet уровня 2 и адаптеров Ethernet.Чтобы создать хорошую сеть VPN, SoftEther VPN виртуализирует Ethernet, который широко используется во всем мире.

Чтобы понять преимущества SoftEther VPN, сначала ознакомьтесь с основными сведениями об Ethernet и его ограничениях. И вы поймете, как SoftEther VPN решает эту проблему, чтобы установить частную связь между удаленными сайтами.

SoftEther VPN инкапсулирует Ethernet через HTTPS для передачи кадров через Интернет.

Ethernet — стандарт LAN

Как вы знаете, Ethernet — это технология для использования в локальных сетях (LAN). Ethernet — очень удобный и надежный стандарт для соединения нескольких компьютеров вместе. С помощью Ethernet вы можете пользоваться многими сетевыми программами, такими как совместное использование файлов, совместное использование принтеров и доступ к объемам данных в РСУБД (системах управления реляционными базами данных). Сегодня нет компаний, у которых в офисе нет локальных сетей с Ethernet.

Стандартное формирование сети, использующей Ethernet, — это модель «ступица и спица».В центре расположены концентраторы (так называемые коммутаторы Ethernet), и каждый компьютер имеет кабель к концентратору. Тогда все компьютеры смогут обмениваться данными. Преимущество Ethernet в том, что вы можете очень легко понять модель. Это определенная причина, по которой Ethernet получил распространение по всему миру. Компьютеры и концентраторы, подключенные для обеспечения свободного обмена данными, составляют сегмент Ethernet. Его также называют «сегментом уровня 2» или «широковещательным доменом».

Ethernet имеет ограничение на расстояние

Но вы не можете использовать Ethernet за стенами офиса или здания.Обычно вы знаете, что соединять компьютеры можно только в комнате или здании. Но вы не можете заставить компьютер на сайте A связываться с другим компьютером на сайте B только через Ethernet. Причина, по которой вы не можете этого сделать, заключается в том, что Ethernet необходимы проводные сетевые кабели Ethernet для соединения между устройствами. Сетевые кабели можно прокладывать только в здании. Вы не можете прокладывать кабель между двумя или более разделенными зданиями, потому что вы не можете прокладывать кабели через дорогу. Конечно, есть и другие ограничения Ethernet, например максимальная длина кабеля.И эти ограничения не могут быть устранены путем использования других физических носителей в качестве недавно изобретенных расширений Ethernet, таких как Wi-Fi и оптические кабели.

«Ethernet» полностью отличается от «Интернета». Интернет — это взаимосвязанная сеть, состоящая из множества частных сетей и ISP, объединенных вместе. Несомненно, что мы можем платить провайдерам недорогие деньги за подключение к Интернету. Вы можете подключить к Интернету оба офиса в Токио и Пекине. И компьютеры в каждом офисе теперь имеют доступ к Интернету.Но все же вы не можете пользоваться никаким программным обеспечением, написанным для внутреннего использования в локальной сети между двумя сайтами, даже если они подключены к Интернету. Вы можете сделать только следующее: например, для обмена электронными письмами, использования программного обеспечения Skype и Messenger для обмена короткими сообщениями или голосами, а также для доступа к тому же программному обеспечению для групповой работы для обмена расписаниями и т. д. Вы можете сделать это, если у вас есть два сайта, и оба сайта имеют каждое подключение к Интернету. Но вы не можете получать никакой другой прибыли, получаемой от программного обеспечения для локальной сети, например, совместного использования файлов, совместного использования печати, протоколов баз данных, CRM, ERP и других приложений, разработанных для определенных целей.Опять же, Ethernet — это не Интернет. Интернет не может стать альтернативой Ethernet. Даже если вы подключите оба сайта к Интернету, два сайта вообще не образуют единый сегмент Ethernet. Если вы хотите использовать приложение для локальной сети, вы должны построить один сегмент Ethernet, чтобы окружить все ваши компьютеры.

Расширьте свой сегмент Ethernet за пределы любого расстояния с помощью SoftEther VPN

SoftEther VPN — это инструмент для создания сегмента Ethernet между двумя или более удаленными местами с использованием технологии туннелирования через Интернет.

К настоящему времени вы понимаете преимущества Ethernet и разницу между Ethernet и Интернетом, а также ограничения, возникающие из-за этой разницы. Но вы, вероятно, задаетесь вопросом, можно ли расширить сегмент Ethernet на другие объекты за пределами любого расстояния, например, за пределы проезжей части между двумя зданиями. Если бы это было возможно, можно было бы использовать любые приложения для использования локальной сети между двумя или несколькими сайтами.

Вы можете обнаружить, что некоторые телекоммуникационные компании предоставляют такую ​​услугу удаленной связи, как «Wide Area Ethernet Service».Вы можете установить один сегмент Ethernet между двумя или более зданиями с такими услугами. Но такая услуга по выделенной линии стоит намного дороже, чем стоимость Интернета (например, в 100 раз больше). И вы не можете использовать это решение абсолютно, если ваши регионы хотя бы одного из ваших сайтов не поддерживаются в качестве зоны обслуживания.

Тогда вам понадобится другое решение. К счастью, сегодня стоимость подключения сайта к Интернету очень низкая. Вы можете легко поддерживать подключение двух или более сайтов к Интернету.Затем, если вы установите SoftEther VPN на каждом сайте, вы можете соединить каждый сегмент всех сайтов друг с другом, чтобы создать единый сегмент Ethernet. Перед установкой VPN-туннеля сеть каждого сайта должна иметь свой собственный сегмент Ethernet. Каждый сегмент полностью отделен от всех остальных сегментов. Однако после создания туннеля VPN каждый сегмент объединяется и объединяет их в единый «виртуальный» сегмент. После этого вы можете запускать любые протоколы между каждым удаленным сайтом независимо от физического расстояния.Вы можете использовать эту технику как для целей удаленного доступа, так и для соединений типа «сеть-сеть».

Виртуализация коммутаторов, адаптеров и кабелей Ethernet

Для достижения вышеуказанной цели SoftEther VPN виртуализирует коммутаторы, кабели и адаптеры Ethernet.

Коммутатор Ethernet, также известный как концентратор или коммутатор уровня 2, представляет собой устройство для обмена пакетами между узлами Ethernet. Коммутатор имеет внутри себя FDB (базу данных пересылки), чтобы определить соответствующий порт назначения исходящего пакета для пакета, пришедшего из входящего порта.Это поведение называется «переключением», это основная функция переключателей.

Сетевой кабель Ethernet

, известный как медный кабель Cat5e или Cat6, представляет собой устройство для соединения между устройствами Ethernet, такими как коммутаторы Ethernet и адаптеры Ethernet. Адаптеры Ethernet также называются «NIC (Network Interface Card)» и устанавливаются на компьютер. В настоящее время в материнскую плату компьютера обычно встроен адаптер Ethernet («Встроенный» адаптер). При необходимости в шину PCI или USB компьютера можно вставить дополнительные адаптеры.

SoftEther VPN виртуализирует коммутацию Ethernet и эмулирует ее. Виртуальный коммутатор Ethernet в программном обеспечении называется «Virtual Hub». А SoftEther VPN виртуализирует адаптер Ethernet и эмулирует его. Виртуальный адаптер Ethernet в программном обеспечении называется «Виртуальным сетевым адаптером». SoftEther VPN также виртуализирует сетевой кабель Ethernet и эмулирует его. Сетевой кабель виртуального Ethernet в программном обеспечении называется «сеансом VPN» или «туннелем VPN».

Для понимания SoftEther VPN важны три перечисленных выше элемента.Например, если вы хотите создать VPN с удаленным доступом для приема VPN-подключений от удаленного сайта к локальной сети компании, вы создадите виртуальный концентратор на сервере VPN в локальной сети компании. Этот виртуальный концентратор создает сегмент Ethernet. И вы соединяете вместе виртуальный концентратор и физический сетевой адаптер на сервере. Затем оба сегмента виртуального концентратора и существующая физическая локальная сеть теперь объединены и объединены в один сегмент Ethernet. Затем программное обеспечение VPN-клиента устанавливается на удаленные клиентские ПК, например, портативный компьютер.Программное обеспечение VPN-клиента может создать виртуальный сетевой адаптер на клиентском ПК. Вы создадите настройку подключения, чтобы подключить VPN-клиент к виртуальному концентратору на VPN-сервере в вашей компании. Когда вы инициируете соединение, между виртуальным сетевым адаптером и виртуальным концентратором будет установлен новый сеанс VPN. Эта ситуация очень похожа на ситуацию, когда вы подключаете один конец кабеля Ethernet к физическому концентратору, а другой конец — к физическому адаптеру Ethernet на компьютере.С функциональной и логической точки зрения оно идентично физическому соединению Ethernet. После того, как вы установили VPN-соединение, вы можете отправлять и получать любые протоколы, подходящие для Ethernet. Все пакеты передаются по виртуальному кабелю, так называемому сеансу VPN или туннелю VPN.

Как только вы поймете архитектуру использования SoftEther VPN, вы также сможете понять, что потенциальные возможности использования SoftEther VPN практически безграничны. В приведенном выше примере показан способ создания VPN с удаленным доступом, но вы можете применить этот метод для создания любой другой формы VPN.Создать VPN типа «сеть-сеть» очень просто. Единственное отличие от VPN с удаленным доступом заключается в том, что противоположный конец VPN-сервера — это не VPN-клиент, а VPN-мост.

Виртуальный концентратор — это программно реализованный коммутатор Ethernet. Он обменивается пакетами между устройствами.

Вы можете создать множество виртуальных концентраторов на SoftEther VPN-сервере. Каждый виртуальный концентратор изолирован от других.

Вы можете создать множество виртуальных сетевых адаптеров на клиентском ПК с помощью SoftEther VPN Client.
Каждый виртуальный сетевой адаптер рассматривается как «настоящий» адаптер Ethernet, как если бы он был подключен к ПК.

2.2. Передача любых пакетов Ethernet через VPN

Поскольку SoftEther VPN туннелирует Интернет и устанавливает сеанс VPN между удаленными узлами с полными возможностями для передачи любых пакетов Ethernet, SoftEther VPN имеет неограниченную прозрачность протокола, как и физические сегменты Ethernet. Как вы знаете, существует множество протоколов, которые можно использовать в Ethernet.Например, IPv4 (TCP, UDP, ICMP, ESP, GRE и т. Д.), IPv6 (следующее поколение IP), NetBEUI, IPX / SPX, PPPoE, RIP, STP и так далее. Все протоколы могут передаваться по туннелю с помощью SoftEther VPN.

Унаследованные VPN, такие как L2TP, IPsec или PPTP, могут передавать практически только IPv4. Потому что эти протоколы VPN могут нести только верхний уровень равный или больший, чем уровень-3. Напротив, SoftEther VPN может передавать любые пакеты, равные или превышающие уровень 2.

Вы можете извлечь выгоду из этого преимущества.Вы можете использовать любые устаревшие и новейшие протоколы в сеансе VPN SoftEther VPN, что невозможно для других VPN. Если ваша компания использует определенный протокол для управления производственным оборудованием, вы можете использовать его в сеансе SoftEther VPN. Для использования такого протокола в VPN уровня 2 не требуется никаких модификаций программного обеспечения.

В отличие от устаревших сетей VPN IPsec или PPTP, протокол SoftEther VPN может передавать любые типы пакетов.
Вы можете пользоваться любыми приложениями, ориентированными на локальную сеть, без каких-либо модификаций.

2.3. Преимущества VPN уровня 2 для пользователей удаленного доступа

Почти все устаревшие продукты VPN с IPsec, PPTP или L2TP должны определять виртуальную IP-подсеть внутри VPN-сервера, поскольку эти протоколы фактически являются протоколами VPN уровня 3. Если в существующей локальной сети вашей компании IP-подсеть 192.168.3.0/24, вы не можете подключить удаленный компьютер напрямую к этой IP-подсети. Сначала вам нужно создать виртуальную IP-подсеть, например 192.168.100.0/24 на VPN-сервере. Затем вы можете подключить клиентский компьютер VPN к серверу VPN.А VPN-сервер всегда обрабатывает маршрутизацию между двумя разными IP-подсетями. Этот метод удаленного доступа к VPN сложен, поскольку иногда администратору сети приходится разрабатывать и изменять политику маршрутизации локальной сети. Это может вызвать проблемы. Например, многие протоколы и приложения разработаны с учетом того, что любые широковещательные IP-пакеты могут передаваться между узлами. В случае устаревшей VPN такие приложения не могут нормально работать. Хорошим примером является протокол обмена файлами Windows, о котором все знают.Этот протокол, известный как CIFS (Common Internet File System) или SMB (Server Message Block), фактически зависит от метода разрешения имени компьютера с помощью широковещательных пакетов IP. Никакие широковещательные IP-пакеты не могут транслироваться за исключением различий IP-подсетей. Таким образом, такой механизм просмотра компьютера в Windows не работает в устаревших сетях VPN. Чтобы исправить эту проблему, вам потребуются дополнительные затраты, например создание WINS или DNS-сервера для просмотра имен Windows. Более того, чем упомянуто выше, у вас могут возникнуть проблемы с удаленным использованием любых протоколов, поскольку устаревшие протоколы VPN не обеспечивают прозрачности для любых типов пакетов.Некоторые устаревшие устройства VPN, такие как Cisco, решили эту проблему, пытаясь использовать механизм Proxy-ARP. Но это редкий случай и несовместимость с любой ситуацией.

SoftEther VPN дает вам преимущество, заключающееся в том, что вы можете передавать любые пакеты между клиентским ПК VPN и сегментами локальной сети VPN-сервера. Вы создаете сеанс VPN уровня 2 между VPN-клиентом и VPN-сервером, и у вас не будет проблем с использованием любых приложений, которые были разработаны для использования внутри локальной сети. Потому что обстоятельства такого сеанса VPN точно такие же на логическом уровне, что и ситуация, когда вы подключаете адаптер Ethernet на портативном ПК к порту коммутатора Ethernet в компании.Можно сказать, что SoftEther VPN реализует виртуальный и очень длинный сетевой кабель через Интернет. Благодаря этой характеристике вы можете использовать свой портативный компьютер из любого места и в любое время точно так же, как если бы вы сидели прямо перед рабочим столом компании.

SoftEther VPN-клиент ведет себя так же, как компьютер, физически подключенный к локальной сети.
Например, в отличие от VPN на уровне 3, клиентский компьютер Windows в вашем доме будет перечислять компьютеры
в офисной сети.

2.4. Преимущества VPN уровня 2 между сайтом

Не только создание VPN с удаленным доступом, но и возможность установить надежную связь между или несколькими сайтами. Это называется «Site-to-Site VPN». Вы можете использовать такую ​​ссылку в качестве выделенной линии, даже если физический нижний уровень представляет собой дешевое подключение к Интернету, предоставляемое поставщиками услуг Интернета. Неважно, какие носители подключаются к Интернету. После того, как вы установили VPN-соединение между сайтами, после этого каждый на обоих сайтах может передавать любые типы пакетов с одной стороны на другую.

При использовании устаревших сетей VPN, таких как IPsec или L2TP, вы не можете соединить два или более сайтов с помощью туннеля второго уровня. Вы должны установить туннель уровня 3 из-за ограничений таких устаревших протоколов VPN. Тогда всегда возникают почти такие же проблемы, как и в случае создания VPN с удаленным доступом с наследием. IP-подсети должны быть разными для каждого сайта. Например, в Токио должно быть 192.168.1.0/24, в Пекине — 192.168.2.0/24, а в Шанхае — 192.168.3.0/24. Вы не можете использовать какие-либо протоколы, зависящие от широковещательного пакета, такие как функции просмотра имен Windows File Sharing, реализованные на SMB или CIFS.И вы также не можете использовать какие-либо протоколы, отличные от IP. Не только такие ограничения, но также вы должны спроектировать отдельные IP-подсети на каждом сайте. IP-подсеть сайта не может перекрываться с другими сайтами. Если вы небольшая компания, это может привести к дополнительным расходам, потому что такое определение IP-подсетей требует наличия соответствующих специалистов, чтобы предотвратить любые проблемы. А если вы большая компания и хотите связать много сайтов между собой, это будет кошмар. Вы должны управлять множеством подсетей, стараясь не допускать конфликтов с любыми другими подсетями.Унаследованный VPN требует от нас особых усилий для удовлетворения требований устаревших VPN, если вы хотите использовать его для создания VPN типа «сеть-сеть».

Но если вы используете SoftEther VPN для соединения VPN типа «сеть-сеть», это очень просто и сократит ваши усилия, чтобы избежать нескольких проблем, которые могут возникнуть при использовании устаревших VPN. Как упоминалось ранее, связь между сайтами всегда имитируется как сетевой кабель Ethernet на большие расстояния. Вам не нужно разрабатывать что-то особенное, чтобы удовлетворить ваше простое требование, связанное с подключением удаленных сайтов.Вы можете просто продумать и спроектировать свою сеть с помощью VPN, точно так же, как вы проектируете традиционную топологию сети Ethernet с режимом концентратора и луча. Все ваши знания, известные вам как здравый смысл, можно использовать в сеансе VPN, состоящем из SoftEther VPN. Вы можете представить себе ситуацию, когда есть три сайта; В Токио, Пекине и Шанхае, а также на каждом сайте есть коммутатор Ethernet. Между ними можно подключить сетевые кабели Ethernet. Затем каждый компьютер каждого сайта получает доступ к любому компьютеру других сайтов.В этом примере очень просто установить VPN типа «сеть-сеть». Вы можете подключать виртуальные сеансы VPN между сайтами вместо физических сетевых кабелей Ethernet. Вы будете наслаждаться VPN-общением между сайтами без каких-либо изменений каких-либо настроек серверных компьютеров и так далее. Все виды серверных сервисов и приложений для связи между клиентом и ПК будут работать хорошо, без разницы между тем, внутри одного сайта и за его пределами.

VPN типа «сеть-сеть» можно рассматривать как «очень длинный кабель Ethernet между удаленными сайтами».

2,5. Виртуальные концентраторы, каскады и локальные мосты

Сервер SoftEther VPN и мост SoftEther VPN используют концепции виртуальных концентраторов, каскадов и локальных мостов.

Виртуальный концентратор

Виртуальный концентратор — это объект на сервере VPN и мосте VPN, который имитирует поведение коммутаторов Ethernet в реальном мире. Виртуальный концентратор имеет собственную базу данных FDB (Forwarding Database). Многие из сеансов VPN будут подключены к виртуальному концентратору. Тогда каждая конечная точка сеансов VPN может отправлять и получать любые пакеты Ethernet.

Любой виртуальный концентратор может принимать соединения как от клиентов VPN, так и от других виртуальных концентраторов. VPN-клиент — это программа, которая запускается на клиентском компьютере пользователя.

Виртуальный концентратор имеет множество подключенных сеансов VPN и базу данных пересылки (FDB) для изучения MAC-адресов.

Подобно физическим коммутаторам Ethernet, Virtual Hub автоматически изучает MAC-адреса каждого сеанса VPN.

Каскадное соединение

На сервере SoftEther VPN вы можете создать несколько виртуальных концентраторов по своему усмотрению (до 4096).Каждый виртуальный концентратор создает собственный сегмент Ethernet и полностью отделен от других концентраторов, даже если они расположены на одном компьютере с VPN-сервером. Это похоже на ситуацию, когда на одном столе есть несколько коммутаторов Ethernet. Каждый коммутатор Ethernet не связан между собой, поэтому каждый сегмент Ethernet независим. Но если вы подключите сетевой кабель Ethernet между любыми портами каждого коммутатора, сегменты Ethernet будут объединены, как и вы. Таким же образом вы можете создать связь между виртуальными концентраторами на одном компьютере, если это необходимо.Это называется «Каскадное соединение» или просто «Каскад». Каскад — это популярный технический термин для Ethernet. Если установлено каскадное соединение, то каждый сегмент Ethernet на каждом виртуальном концентраторе теперь объединяется в один сегмент.

И вы также можете создать каскадное соединение между удаленными серверами VPN. Итак, если у вас есть VPN-сервер на обеих сторонах Токио и Пекина, и каждый VPN-сервер имеет виртуальный концентратор, вы можете установить каскадное соединение между двумя концентраторами. Затем каждый Хаб теперь объединен в один сегмент.Компьютер, который принадлежит Токийскому хабу, теперь может связываться с другим компьютером, который принадлежит Пекинскому хабу.

Вы также можете определить несколько каскадных подключений на виртуальном концентраторе.

Определите каскадное соединение с графическим интерфейсом пользователя. Это очень просто.

Местный мост

Только ситуация существования виртуальных концентраторов, каскадов и VPN-клиентов не так удобна, потому что на каждом компьютере должен быть установлен VPN-клиент, и они должны подключаться к виртуальному концентратору для взаимного обмена данными между компьютерами.При таком использовании любые компьютеры, находящиеся за пределами сегмента виртуального концентратора, не могут участвовать в круге общения. Это возможно, но не годится для использования компанией VPN.

Функция локального моста может использоваться для расширения сегмента Ethernet в виртуальных концентраторах на внешние физические сегменты Ethernet.

Local Bridge — это технология, объединяющая сегмент виртуального Ethernet и сегмент физического Ethernet. У вашей компании есть существующий сегмент Ethernet на психическом коммутаторе Ethernet.Чтобы реализовать удобный удаленный доступ к VPN или VPN типа «сеть-сеть», вам необходимо каким-то образом соединиться между сегментом Ethernet на виртуальном концентраторе и сегментом Ethernet на физическом коммутаторе Ethernet. Ответ — использовать локальный мост. Локальный мост может быть создан с целью создания двух сегментов для взаимного обмена пакетами Ethernet. Если у вас есть локальный мост между физическим сегментом Ethernet и сегментом виртуального концентратора, то все компьютеры, которые подключаются к виртуальному концентратору, могут связываться со всеми компьютерами в существующей физической сети.На практике локальные мосты должны применяться между виртуальным концентратором и сетевым адаптером Ethernet, который подключен к физическому коммутатору Ethernet. Итак, чтобы использовать локальный мост, вам понадобится выделенный физический адаптер Ethernet. (Фактически, адаптер Ethernet может использоваться совместно с другими целями, такими как физическая передача пакетов в Интернет для поддержания сеанса VPN, но настоятельно рекомендуется подготовить специальный адаптер из-за проблем с производительностью.)

Таким образом, локальный мост является ключевой функцией для выполнения требований создания как VPN с удаленным доступом, так и VPN типа «сеть-сеть».

Локальный мост — это функция для связи между виртуальными и физическими сегментами.

Комбинация локального моста и каскадного подключения позволяет создавать широко распространенные сети VPN типа «сеть-сеть».
Можно связать множество веток по всему миру.

Чтобы определить локальный мост, выберите виртуальный концентратор и физический адаптер Ethernet и просто нажмите кнопку.

2.6. IEEE802.1Q VLAN поддерживает

Некоторые крупные предприятия применяют IEEE802.1Q VLAN для разделения IP-подсетей на одном физическом оборудовании Ethernet, чтобы снизить как административные расходы, так и затраты на кабельную проводку. Это также может уменьшить необходимое количество портов на каждом коммутаторе Ethernet.

SoftEther VPN — это технология VPN уровня 2, которая полностью поддерживает передачу пакетов VLAN с тегами IEEE802.1Q. Это очень полезная функция, если у вашей компании много сегментов Ethernet на каждом сайте.Благодаря технологии VLAN IEEE802.1Q все пакеты Ethernet из каждого сегмента могут быть мультиплексированы путем присоединения тега VLAN к каждому пакету. SoftEther VPN может передавать любые тегированные пакеты VLAN в случае VPN типа «сеть-сеть». Таким образом, ваша компания может распространить тегированные сегменты VLAN на другие сайты.

В качестве дополнительной функции, связанной с поддержкой передачи VLAN, SoftEther VPN также имеет функцию автоматической вставки и удаления тега VLAN в пакете. Его можно настроить индивидуально для политики безопасности каждого пользовательского объекта.Таким образом, вы можете создать политику, такую ​​как пользователь-A может иметь доступ только к VLAN 123, а пользователь-B может получить доступ только к VLAN 456. Все необработанные пакеты от пользователя будут прозрачно добавлены тегом указанного идентификатора VLAN, и все будут помечены в соответствии с пользователю будет отфильтрован, а тег будет удален прозрачно.

Виртуальный концентратор может вставлять или удалять тег IEEE802.1Q VLAN. Настройки VLAN для каждого пользователя или группы.

Определите «идентификатор VLAN (IEEE802.1Q) »политика безопасности на пользователя или на группу.

Виртуальный концентратор изучает ассоциацию MAC-адресов и идентификаторов VLAN.

2.7. Функция коммутатора виртуального уровня 3

Вы можете создать не только виртуальный коммутатор уровня 2 (виртуальный концентратор) на сервере VPN, но также можете создать коммутатор виртуального уровня 3 на сервере VPN. Коммутатор уровня 3 — это объект, который ведет себя так же, как IP-маршрутизатор. Текущая версия SoftEther VPN поддерживает только протокол IPv4 на любых коммутаторах уровня 3.Как и в случае с виртуальными концентраторами, вы можете создать несколько коммутаторов виртуального уровня 3 на сервере VPN.

Виртуальный коммутатор уровня 3 имеет несколько виртуальных интерфейсов, и каждый интерфейс может быть подключен к виртуальным концентраторам на одном сервере VPN. Затем вы можете организовать маршрутизацию подсети IPv4 для виртуальных концентраторов. Если вы хотите создать несколько отдельных виртуальных концентраторов по какой-либо причине, например, для обеспечения безопасности или удобства управления, но вы хотите разрешить их маршрутизацию с помощью традиционных механизмов маршрутизации IPv4, это простой способ создать виртуальные коммутаторы уровня 3 для выполнения ваших задач.