|
Kirish vpn
|
bet | 6/15 | Sana | 11.09.2024 | Hajmi | 2,74 Mb. | | #270890 |
Bog'liq Ergashev Tursunmurod diplom ishivpn 0
interface ge0/0
ip address 10.1.1.2/30
tunnel-interface
encapsulation ipsec
color public-internet
!
interface ge0/1
ip address 14.3.2.2/30
tunnel-interface
encapsulation ipsec
color mpls
!
ip route 0.0.0.0/0 10.1.1.1
ip route 0.0.0.0/0 14.3.2.1
!
Keling, 2.2-rasmda ko'rsatilgan misol bilan buni batafsil ko'rib chiqaylik. vEdge-1 paketlarni ge0/0 interfeysidan olingan IPsec tunnellari orqali yo'naltirganda, u pastki qavatda keyingi hop 10.1.1.1 bilan standart marshrutdan foydalanadi, chunki keyingi hop manzil ge0/0 (10.1.1.2/30) IP manzili bilan bir xil quyi tarmoqda.
Boshqaruv VPN 512
Cisco SD-WAN-da sukut bo'yicha VPN 512 tarmoqdan tashqari boshqaruv uchun sozlangan. U yoqilgan va qutidan chiqishga tayyor.
Xizmat VPN
Izolyatsiya qilingan tarmoq domenini yaratmoqchi bo'lsak va ushbu domendagi ma'lumotlar trafigini saytdagi boshqa foydalanuvchi tarmoqlaridan ajratmoqchi bo'lsak, vEdge routerlarida yangi VPN xizmatini yaratamiz. Ushbu VPN 0 (Transport) va 512 (Boshqaruv) dan farqli raqam bilan belgilanadi. Tarmoq segmenti yaratilgandan so'ng siz ushbu VPN doirasida interfeyslarni bog'laysiz, marshrutlash protokollarini va VRRP va QoS kabi boshqa tarmoq xizmatlarini yoqasiz. Shuni ta'kidlash kerakki, foydalanuvchi segmentlari bilan bog'liq interfeyslar WAN transportiga ulanmasligi kerak.
2.3-rasm. Cisco SD-WAN VPN’lari
Xavfsiz segmentatsiya
Cisco WAN chekka qurilmasidagi har bir interfeys ma'lum bir VPNda sozlanishi kerak. VPN-dagi interfeyslar yoki marshrutlash misollari orqali o'rganilgan barcha prefikslar alohida marshrutlash jadvalida saqlanadi. Ushbu tarmoq ma'lumotlari vSmart kontrolleriga e'lon qilinganda, har bir prefiks VPN-ID bilan bog'lanadi. Bundan tashqari, vSmart kontrolleri har bir prefiksning VPN kontekstini saqlaydi.
2.4-rasm. Cisco SD-WAN VPN Labels
Ushbu mexanizm VRF (Virtual marshrutlash va yo'naltirish) bilan an'anaviy 3-qatlam izolyatsiyasiga juda o'xshaydi. Shuning uchun alohida marshrut jadvallari bitta qurilmada tarmoq segmentatsiyasini ta'minlaydi. Biroq, savol bu izolyatsiya qilingan marshrutlash ma'lumotlarini qoplamali domen bo'ylab qanday to'ldirishdir. Paketni yo'naltirish darajasida WAN chekka marshrutizatorlari har bir IP paketiga yangi VPN yorlig'i maydonini kiritadilar. Ushbu yorliq paketlar tegishli bo'lgan tarmoq segmentlarini aniqlaydi. Jarayon 4-rasmda ko'rsatilgan. WAN chekka routerda yangi VPN sozlaganimizda, u unga tegni bog'laydi. Keyin WAN Edge qurilmasi ushbu yorliqni VPN-ID bilan birga OMP orqali vSmart kontrolleriga reklama qiladi. Keyin nazoratchining o'zi ushbu VPN-ID xaritasini tarmoqdagi boshqa WAN Edges qurilmasiga qayta taqsimlaydi. Tarmoqdagi masofaviy WAN chekkalari MPLS-dagi yorliqlarni almashtirishga o'xshab, tegishli VPN-lar uchun trafik yuborish uchun ushbu teglardan foydalanadi.
|
| |