На текущий момент имеется Cisco 2801 c модулем VPN и локальная сеть, так же имеется большое количество внешних подсетей, трафик в которые ходит через VPN. В качестве шлюза сети используется M$ ISA(в наследство досталась), основная задача - оптимизировать управление трафиком и избавиться от исы и перевести весь роутинг на шлюз под управлением Linux.

Текущее состояние дел.

Трафик, который предназначен для шифрования и передачи по VPN приходит на внутренний интерфейс, далее согласно таблиц маршрутизации уходит в отдельный VLAN предназначенный исключительно для VPN-трафика, на циске этот трафик забирается ACL и направляется в туннель и шифруется. Схема достаточно идеальная, если бы не разветвленная топология сети, где помимо основных каналов еще используются и резервные. Так же для некоторых сетей используется NAT. К сожалению ИСА не может создавать больше чем 2 VLANa и НАТить она как хочется тоже не умеет(или я не знаю как это делать) от этого начинаются все проблемы. Приходится трафик, который уходит во внешние подсети отправлять на шлюз по умолчанию, который роутит все в инет, при этом забирать траф аксес-листами на циске, натить его и только потом отправлять в туннели. На внешнем интерфейсе применяются политики безопасности для трафика приходящего из вне и уходящего в инет, которые по-мимо своих основных обязанностей лезут еще и к НАТ трафику. Вообщем такой вот гемморой.

Что хочется:

Максимально оптимизировать управление всем внешним трафиком на роутере, отойти от схемы НАТа на циске, избавиться раз и навсегда от ИСЫ.

Мои примерные соображения на этот счет.

1) Для каждого туннеля создать отдельные подинтерфейсы на циске и через dot1q передавать с внутреннего роутера трафик напрямую минуя роутинг по умолчанию.
2) Для каждого туннеля создать отдельный вилан на внутренем роутере и через него управлять трафом(в том числе и НАТить при надобности) 
Пока что так.

Собственно к чему весь топик: Хочется услышать идеи по сабжу и правильным ли путем я иду, так же хочется услышать обоснованную критику и предложения.

Текущая схема прилагается снизу, там же и возможное решение.

Присоединённый файл ( Кол-во скачиваний: 9 )
 router_topologhy.jpg 83,73 Kb

Так. Для начала, либо схема не подходит под описание, либо описание под схему, либо я не допонял что-то из этого.

Объясняю еще раз. Текущая схема на примере.

Есть удаленная сеть например 10.10.100.0/24 которая доступна через туннель1. Пакет приходит на основной роутер сети, далее он маршрутизируется в VLAN предназначенный для VPN туннелей, этот VLAN через dot1q терминируется на циске на одном подинтерфейсе, и потом уже забирается все аксес-листами в сам туннель, при этом роутинг настроен таким образом, чтобы возвращать пакеты именно в этот интерфейс. 

Если пакет не подходит ни под одну запись в таблице маршрутизации, он идет по маршруту по умолчанию в инет. Если его нужно натить, то он тоже идет по маршруту по умолчанию и натится и уходит в туннель. 

Что еще объяснить?

Добавлено через 2 минуты и 59 секунд
Идея, есть грубо говоря несколько туннелей, на каждый из них зведен отдельный интерфейс VLAN на внутреннем роутере и по такому же на внешнем роутере, между ними действует своя маршрутизация и пакеты не уходят на маршрутам по умолчанию, а идут сразу в туннель.

Я не просил рассказывать мне как работает маршрутизатор. Я просил подробнее описать (и изобразить тоже) текущую схему сети. Потом поговорим о будущей.

Добавлено через 1 минуту и 33 секунды
Делайте акцент та том, что куда уходит сейчас и что куда должно уходить потом. Шифруется оно там потом или что - это не важно.

Так я собственно все и нарисовал, схема достаточно простая, все объяснил в первом посте, пример работы привел во втором, если что-то еще нужно опиши конкретно что именно.

VPN-клиенты где расположены?

Настроены постоянные VPN-каналы типа site-to-site. По сути своей пользователи сети не знают куда они именно ходят и каким образом они туда попадают. Как таковых клиентов нет.

Хорошо, пусть так. С какого интерфейса идёт VPN трафик?

fa0/0.1 - Internet
fa0/1.1 - Интерфейс для Internet трафика
fa0/1.2 - VPN интерфейс.

Чем отличается второе от первого? На схеме можете отметить эти интерфейсы?

Отличие в том этих виланов, что на fa0/1.1 сбрасывается весь трафик по-умолчанию(и на интернет в том числе), а на fa0/1.2 только тот, который должен идти в туннели. 

Присоединённый файл ( Кол-во скачиваний: 4 )
 router_topologhy_2.jpg 71,52 Kb

Так. А в туннели вы ходите с внутренней сети через ису, да?

Это сообщение отредактировал(а) ZeeLax - 16.4.2008, 12:22

Да, именно так и ходим, но с учетом корявости ИСЫ и урезанными возможностями (как файрвол она то работает хорошо) принято решение заменить ее на шлюз под Linux'ом. Если схематично изобразить все это то получится следующее:

Пользователь --> ИСА(VPN VLAN)  --> циска  --> Интернет  --> роутер периметра другой сети  --> внутренний шлюз  другой сети --> целевой сервер(рабочая станция) 

А из VPN-сетей нужен выход в интернет?

Нет, в интернет эти сети выходят через свои пограничные роутеры, через мой шлюз никто в инет ходить не будет и не должен.

Предлагаю такой вариант.
Внутреннюю сеть подключаем цисковому маршрутизатору (ведь только ей надо ходить в впн и наоборот, так?). Дефолт у него - линуксовый маршрутизатор. В линуксовый маршрутизатор подключаем только циску и интернетный канал. Кого нужно - натим на нём.

Это сообщение отредактировал(а) ZeeLax - 16.4.2008, 21:50

Это не выход, уже думал об этой схеме, ньюанс еще в том, что в туннели некоторые нужно запускать трафик через NAT, так что тут нужно решение именно такое, чтобы NAT был до циски, вопрос весь в том, чтобы оптимизировать управлением всем этим хозяйством.

Добавлено через 6 минут и 43 секунды
Не походит еще и по той причине, что на линуховом маршрутизаторе будет стоять прокся и прозрачное проксирование с ведением статистики 

Тогда внутреннюю сеть в линух, инет туда же и циску туда же. А на циске рассказать, что в такие-то туннели натим, в такие-то - нет.

Я больше склонен к классической схеме циска <--> Linux <--> локалка. 

Тут вопрос в большей части во взаимодействии щлюза и внешнего роутера, то что натить надо на линуксе - это не обсуждается, в большей мере вопрос в том, каким образом это все удобнее отправлять на циску, делать ли для каждой сети которая идет через НАТ отдельный вилан и туда все засовывать, или же натить уже на циске.

Ничего в ней классического нет. К тому же, инет в этой схеме куда подключаться будет?


Что такое "внешний шлюз" и "роутер"?


Что именно, это? Трафик локалки? Трафик в VPN-сети? Давайте выражаться чётко, чтобы как можно меньше тратить времени на понимание вопроса/ответа.

Хорошо, объясню по-подробнее, Инет <--> Cisco <--> Linux <--> локалка



Не путаем местами "внешний шлюз" c "внешний роутер", другими словами имелся ввиду роутер периметра сети, ну это чтобы уж совсем было понятно. Под словом "Шлюз" понимался ВНУТРЕННИЙ ШЛЮЗ(PROXY) для локальной сети, т.е. та машина, которая будет выступать в качестве gateway для рабочих станций пользователей сети. (см. схему в первом посте).


Что именно, это? Трафик локалки? Трафик в VPN-сети? Давайте выражаться чётко, чтобы как можно меньше тратить времени на понимание вопроса/ответа.

Вообще имеется ввиду трафик локалки, мы о нем говорим, в данном контексте, когда идет речь об физическом соединении грубо говоря "eth0 <--> fa0/1", трафик из локалки ходит через транк, так вот я и спрашиваю, каким образом лучше сделать оставить как есть и весь трафик адресованный в туннели роутить через один вилан, или же для каждого туннеля создать свой отдельный вилан, а для дефолтного трафика - отдельный. Вопрос в большей части стоит в контексте простоты гибкости управления и сбора статистики, а так же в контексте расширения возможностей с приростом количества туннелей.

Вариант с созданием кучи влановых подинтерфейсов считаю лишней тратой времени и ресурсов. Да и гибкость у него на нуле. Причины следующие:

• каждый подинтерфейс это - нагрузка на процессор и область отображения в памяти, которая также конечна
• направлять трафик каждой VPN-сети в свой влановый подинтерфейс (роут-мапом или чем-то ещё подобным) опять же, трата ресурсов
• при добавлении туннеля, нужно соответствующим образом настроить часть маршрутизатора, отвечающую за VPN, потом создать подинтерфейс на интерфейсе, смотрящем с линукс, потом на линукс-маршрутизаторе создать подинтерфейс (для двух прошлых шагов надо ещё выделить номер виртуальной локальной сети), создать ещё один роут-мап - много и долго
• а смысл?

Если подинтерфейсов всего два - для интерент трафика и для трафика в VPN-сети, то жить уже легче. Опять же, вполне можно обойтись одним интерфейсом, разрулив каждую сеть (пачку сетей) в соответствующий интерфейс.
Линк в интернет всё же не вижу смысла держать на цисковом маршрутизаторе, т.к. доступ к нему необходим только линуксовому маршрутизатору - зачем лишний хоп?