| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:защита_канала_передачи_данных [2025/01/16 09:36] – i.sharapov | tssltd:защита_канала_передачи_данных [2025/01/16 15:15] (current) – i.sharapov |
|---|
| Защищенное соединение между устройствами можно условно разделить на две составляющие: служебный канал и канал для передачи полезной нагрузки. В зависимости от необходимости можно использовать один из двух сценариев: | Защищенное соединение между устройствами можно условно разделить на две составляющие: служебный канал и канал для передачи полезной нагрузки. В зависимости от необходимости можно использовать один из двух сценариев: |
| * служебный трафик и полезная нагрузка передаются через один и тот же канала передачи данных или один и тот же сетевой интерфейс; | * служебный трафик и полезная нагрузка передаются через один и тот же канала передачи данных или один и тот же сетевой интерфейс; |
| | {{ :tssltd:vpn_control_data_channel.jpg |}} |
| | |
| * служебный трафик и полезная нагрузка передаются по независимым каналам передачи данных, разные сетевые интерфейсы. | * служебный трафик и полезная нагрузка передаются по независимым каналам передачи данных, разные сетевые интерфейсы. |
| | {{ :tssltd:vpn_control_data_channel_2.jpg |}} |
| |
| В основе построения защищенного соединения используется клиент-серверная архитектура. Одно из устройств выступает в качестве сервера и ожидается подключения, второе устройство выступает в качестве клиента и инициирует подключение. После того, как защищенное соединение было установлено, с точки зрения передачи сетевого трафика неважно какое из устройств является серверов, а какое клиентом. | В основе построения защищенного соединения используется клиент-серверная архитектура. Одно из устройств выступает в качестве сервера и ожидается подключения, второе устройство выступает в качестве клиента и инициирует подключение. После того, как защищенное соединение было установлено, с точки зрения передачи сетевого трафика неважно какое из устройств является серверов, а какое клиентом. |
| При настройке защищенного соединения можно выбрать один из доступных типов инкапсуляции: L2, L3 или L4. | При настройке защищенного соединения можно выбрать один из доступных типов инкапсуляции: L2, L3 или L4. |
| |
| При шифровании к исходному сетевому пакету добавляется дополнительный заголовок, который включает в себя служебную часть и стандартные сетевые заголовки в зависимости от типа инкапсуляции. За счет выбора верного типа инкапсуляции можно сократить заголовок в сетевом пакете и увеличить производительность. | При шифровании к исходному сетевому пакету добавляется дополнительный заголовок, который включает в себя служебную часть (24 байта) и стандартные сетевые заголовки L2, L3 или L4 в зависимости от типа инкапсуляции. За счет выбора верного типа инкапсуляции можно сократить заголовок в сетевом пакете и увеличить производительность. Ниже представлена схема для инкапсуляции L4. |
| | {{ :tssltd:vpn_header_info_.jpg |}} |
| |
| | |
| * **Инкапсуляция L2**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой или любой из технологий L2VPN. | * **Инкапсуляция L2**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой или любой из технологий L2VPN. |
| | {{ :tssltd:vpn_header_info_l2_.jpg |}} |
| | |
| * **Инкапсуляция L3**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой, любой из технологий L2VPN и маршрутизируемой сетью за исключением устройств, на которых настроена трансляция сетевых адресов. | * **Инкапсуляция L3**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой, любой из технологий L2VPN и маршрутизируемой сетью за исключением устройств, на которых настроена трансляция сетевых адресов. |
| | {{ :tssltd:vpn_header_info_l3_.jpg |}} |
| | |
| * **Инкапсуляция L4**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой, любой из технологий L2VPN, маршрутизируемой сетью, в том числе с устройствами, на которых настроена трансляция сетевых адресов, сеть Интернет. | * **Инкапсуляция L4**: данный тип инкапсуляции подходит для случаев, когда устройства соединены темной оптикой, любой из технологий L2VPN, маршрутизируемой сетью, в том числе с устройствами, на которых настроена трансляция сетевых адресов, сеть Интернет. |
| |
| После настройки защищенного соединения, с помощью дополнительных опций можно организовать один из следующих типов связности между сегментами сети. | После настройки защищенного соединения, с помощью дополнительных опций можно организовать один из следующих типов связности между сегментами сети. |
| |
| * **L2overVPN**: Данный тип связности можно использовать для подключения двух и более сегментов сети между собой, при необходимости прямой видимости устройств. Для настройки данного механизма необходимо перевести целевые интерфейсы и интерфейсы VPN в режим работы L2 (Bridge). Такая конфигурация позволяет передавать любой тип трафика за исключением некоторых протоколов, например, LACP (link aggregation control protocol). При такой конфигурации весь сетевой трафик, который приходит на входящий сетевой порт, полностью попадает в защищенное соединение и передается в пункт назначения. | * **L2overVPN**: Данный тип связности можно использовать для подключения двух и более сегментов сети между собой при необходимости прямой видимости устройств. Для настройки данного механизма необходимо перевести целевые интерфейсы и интерфейсы VPN в режим работы L2 (Bridge). Такая конфигурация позволяет передавать любой тип трафика за исключением некоторых протоколов, например, LACP (link aggregation control protocol) или PAGP (Port Aggregation Protocol). При такой конфигурации весь сетевой трафик, который приходит на входящий сетевой порт, полностью попадает в защищенное соединение и передается в пункт назначения. |
| | {{ :tssltd:l2overvpn.jpg |}} |
| | |
| |
| * **TransparentVPN**: Данный тип связности можно использовать для подключения двух и более сегментов сети между собой, при необходимости прямой видимости устройств. Для настройки данного механизма необходимо перевести целевые интерфейс и интерфейсы VPN в прозрачный режим работы (прозрачный мост). Такая конфигурация позволяет передавать любой тип трафика без исключений, в том числе протокол LACP (link aggregation control protocol). При такой конфигурации весь сетевой трафик, который приходит на входящий сетевой порт, полностью попадает в защищенное соединение и передается в пункт назначения. | * **TransparentVPN**: Данный тип связности можно использовать для подключения двух и более сегментов сети между собой, при необходимости прямой видимости устройств. Для настройки данного механизма необходимо перевести целевые интерфейс и интерфейсы VPN в прозрачный режим работы (прозрачный мост). Такая конфигурация позволяет передавать любой тип трафика без исключений, в том числе протокол LACP (link aggregation control protocol) или PAGP (Port Aggregation Protocol). При такой конфигурации весь сетевой трафик, который приходит на входящий сетевой порт, полностью попадает в защищенное соединение и передается в пункт назначения. |
| | {{ :tssltd:l2overvpn_2.jpg |}} |
| |
| * **Стандартный VPN**: Данный тип связности можно использовать для объединения двух и более сегментов сети между собой. После настройки защищенного соединения между устройствами необходимо с использованием механизма статической или динамической маршрутизации перенаправить нужный тип сетевого трафика в нужный туннель в зависимости от адреса назначения. | |
| |
| | * **Стандартный VPN**: Данный тип связности можно использовать для объединения двух и более сегментов сети между собой. После настройки защищенного соединения между устройствами необходимо с использованием механизма статической или динамической маршрутизации перенаправить нужный тип сетевого трафика в нужный туннель в зависимости от адреса назначения. |
| | {{ :tssltd:l2overvpn_3.jpg |}} |
| |
| </WRAP> | </WRAP> |
| Устройства <wrap em>МКСЗ «Diamond Next»</wrap> могут установить между собой защищенное соединение в режиме точка-точка для защиты канала передачи данных. Устройства могут быть разных моделей. Необходимо учитывать, что каждая модель в зависимости от аппаратных характеристик обладает разными скоростными параметрами. Такой тип соединения подходит для объединения двух и более объектов между собой. При этом подразумевается, что одно устройство является главным (основным), а все остальные устройства дополнительными. Классическая топология для такого режима - звезда. | Устройства <wrap em>МКСЗ «Diamond Next»</wrap> могут установить между собой защищенное соединение в режиме точка-точка для защиты канала передачи данных. Устройства могут быть разных моделей. Необходимо учитывать, что каждая модель в зависимости от аппаратных характеристик обладает разными скоростными параметрами. Такой тип соединения подходит для объединения двух и более объектов между собой. При этом подразумевается, что одно устройство является главным (основным), а все остальные устройства дополнительными. Классическая топология для такого режима - звезда. |
| |
| | В зависимости от поставленных задач, устройства могут соединяться разными типами туннелей: "**L2overVPN**" или "**Стандартный VPN**". Для случая "**Стандартного VPN**" для направления сетевого трафика через защищенное соединение можно использовать либо статическую маршрутизацию, либо один из протоколов динамической маршрутизации. Для случая "**L2overVPN**" можно использовать механизм стандартного или прозрачного бриджа. |
| | |
| | Доступна возможность построение нескольких защищенных соединений между двумя устройствами для обеспечения сетевой связности каждого из сегментов через свое защищенное соединение. Также доступна возможность одновременного построения между устройствами защищенных соединений двух разных типов: "**L2overVPN**" и "**Стандартного VPN**". |
| | |
| | На рисунке ниже представлен пример схемы подключения двух объектов: главный офис и несколько дополнительных офисов. |
| |
| | {{ :tssltd:vpn_point-to-multipoint.jpg |}} |
| |
| </WRAP> | </WRAP> |
| |
| ==== Защищенное соединение в режиме точка-точка (fullmesh, partial-mesh) ==== | ==== Защищенное соединение в полносвязаном режиме (fullmesh, partial-mesh) ==== |
| |
| <WRAP indent> | <WRAP indent> |
| |
| Устройства <wrap em>МКСЗ «Diamond Next»</wrap> могут установить между собой защищенное соединение в режиме точка-точка для защиты канала передачи данных. Устройства могут быть разных моделей. Необходимо учитывать, что каждая модель в зависимости от аппаратных характеристик обладает разными скоростными параметрами. Такой тип соединения подходит для объединения двух и более объектов между собой. При этом роли устройств могут быть распределены произвольным образом. | Устройства <wrap em>МКСЗ «Diamond Next»</wrap> могут установить между собой защищенное соединение в режиме полносвязной и частично-связной топологиях для защиты канала передачи данных. Устройства могут быть разных моделей. Необходимо учитывать, что каждая модель в зависимости от аппаратных характеристик обладает разными скоростными параметрами. Такой тип соединения подходит для объединения трех и более объектов между собой. При этом роли устройств могут быть распределены произвольным образом. |
| | |
| | Для полносвязаной топологии рекомендуется использовать соединения тип туннеля - "Стандартный VPN".Для направления сетевого трафика через защищенное соединение можно использовать либо статическую маршрутизацию, либо один из протоколов динамической маршрутизации. |
| | |
| | Для схемы с полносвязной топологией подразумевается, что каждое устройство связано с остальными через независимые защищенные соединения. Такой подход позволяет оптимизировать движение сетевого трафика через защищенный сегмент сети. Использование протоколов динамической маршрутизации позволяет добавить в схему элементы отказоустойчивости и балансировки нагрузки. |
| | |
| | {{ :tssltd:vpn_full-mesh.jpg |}} |
| |
| </WRAP> | </WRAP> |
| Данный тип соединения аналогичный предыдущим типам. Устройства подбираются с учетом максимальной пропускной способностью. | Данный тип соединения аналогичный предыдущим типам. Устройства подбираются с учетом максимальной пропускной способностью. |
| |
| </WRAP> | </WRAP> |
| | |
| | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
