Tunelowanie sieci wirtualnych czyli Q in Q na Router OS

Korzystając z usług biznesowych często nie przejmujemy się jak one działają, definiujemy parametry usługi, płacimy fakturę i liczymy na to, że nie wydarzy się żaden incydent. Jedną z takich usług właśnie jest transmisja danych w warstwie drugiej. Najczęściej ułatwia ona zestawienie łącza pomiędzy lokalizacjami aby ograniczyć problemy w dostępie do usług własnych lub zmniejszyć ilość urządzeń sieciowych na trakcie komunikacyjnym. Dostawca zapewnia, że w ramach usługi zrealizuje bezpieczne, odseparowane od Internetu i innych sieci klienckich połączenie punkt-punkt. I w tym momencie powinna nam się zapalić przynajmniej pomarańczowa lampka z pytaniem “a jak?”. Czyżby każdy klient otrzymywał dedykowane łącze specjalnie przygotowanym dla niego światłowodem? Oczywiście i takie metody wchodzą w grę ale to ekskluzywne rozwiązanie. W większości przypadków operator posłuży się protokołem 802.1ad definiującym w jaki sposób “zamknąć” ramki klienta w ramki w swojej infrastrukturze. Dodanie drugiego tagu do ramki ethernet’owej wprowadza dodatkowy poziom zarządzania, pozwalając na utworzenie kilku niezależnych sieci wirtualnych w ramach jednej nadrzędnej sieci. Taką technologię nazywamy Q in Q lub VLAN’em operatorskim.

Czytaj dalej „Tunelowanie sieci wirtualnych czyli Q in Q na Router OS”

Tunelowanie warstwy drugiej na Mikrotiku

Przepuszczanie ruchu warstwy drugiej przez tunel vpn nie jest szeroko rozpowszechnione. Stosowane jest raczej klasyczne rozwiązanie gdzie na końcu każdego tunelu znajduje się autoratywny segment sieci. Również nie wszystkie technologie wykorzystywane przy budowaniu wirtualnych sieci prywatnych mają taką możliwość. Niemniej przy okazji tworzenia konfiguracji site to site warto wiedzieć o takiej możliwości. Dzięki jakim protokołom będziemy w stanie przenieść warstwę drugą przez tunel? Przede wszystkim protokoły z grupy PPP – L2TP, SSTP, PPPoE, PPTP (ze wsparciem protokołu BCP) ale także dzięki autorskiemu rozwiązaniu Mikrotik – EoIP. Jakie korzyści z tego będziemy mieli? Możemy stworzyć jeden segment sieci w wielu lokalizacjach, możemy stworzyć wiele segmentów przenosząc informacje o tagach a co niemniej ważne zyskujemy możliwość zarządzania siecią z jednego centralnego punktu. Przygotujemy dwie konfiguracje sieciowe. Jedna będzie realizowana poprzez symulowanie połączenia między urządzeniami posiadającymi publiczne adresy IP (WAN-WAN). Druga natomiast z założeniem, że tylko jedna strona będzie miała publiczny adres IP (WAN-VPN).

Czytaj dalej „Tunelowanie warstwy drugiej na Mikrotiku”