एक जिज्ञासु हब्रैचेक्टेल के कटौती के तहत उन लोगों की पीड़ा का वर्णन करने के लिए इंतजार कर रहा है जिन्होंने एक समय में dmvpn के साथ tsiska पर पैसे बचाए थे।
और जो आया भी।
प्रश्न पृष्ठभूमि
कुछ साल पहले, जब घास हरियाली थी, और% company_name% बस अपना व्यवसाय शुरू कर रही थी और उसकी 2 शाखाएँ थीं,
यह
वीआईएटीए नेटवर्क ओएस को एक एकल रूटिंग प्लेटफॉर्म के रूप में उपयोग करने का निर्णय लिया गया था, और वीपीएन समाधान के रूप में स्थिर ओपनवीपीएन साइट-टू-साइट टनल।
इस निर्णय का एक कारण आईएसआर को अनुकूलित करने की समृद्ध संभावना थी।
बैकअप उपायों में से एक के रूप में, प्रत्येक फ़ाइल में 2 राउटर स्थापित किए गए थे।
इस तरह के कई साथियों के साथ एक स्टार के आकार की टोपोलॉजी को उचित माना जाता था।
हार्डवेयर उपकरण का उपयोग करना चाहिए था
- esxi के साथ पूर्ण सर्वर - बड़े प्रतिष्ठानों के लिए
- परमाणु वाले सर्वर - छोटे लोगों के लिए।
अचानक, वर्ष के दौरान शाखाओं की संख्या बढ़कर 10 हो गई, और एक और डेढ़ - 28 तक।
व्यवसाय से फ़र्मक्वेस्ट की निरंतर धारा ने ट्रैफ़िक वृद्धि और नए नेटवर्क और अनुप्रयोग सेवाओं के उद्भव को उकसाया।
उनमें से कुछ अलग सर्वर के बजाय लिनक्स राउटर वर्चुअल मशीनों पर बस गए।
फ़ंक्शनलिटी वायट को याद किया जाने लगा, बड़ी संख्या में पैकेजों ने समग्र स्थिरता और सेवाओं के प्रदर्शन को प्रभावित किया।
इसके अलावा, वीपीएन के साथ कई समस्याएं थीं।
1. उस समय, एक बिंदु पर समाप्त होने वाली लगभग 100 स्थिर सुरंगें थीं।
2. भविष्य में, 10 शाखाओं का एक और उद्घाटन हुआ।
इसके अलावा, वर्तमान कार्यान्वयन में ओपेनवोन,
1. गतिशील रूप से उत्पन्न साइट-टू-साइट सुरंगों के निर्माण की अनुमति नहीं देता है।
2. यह बहुपरत नहीं है, जो 1-2 अपलिंक सुरंगों के साथ राउटर के प्रोसेसर पर एन्क्रिप्शन के साथ 1-2 कोर (हमारे मामले में 8-16 से) का अधिभार देता है और सुरंग के अंदर यातायात के लिए अजीब परिणाम की ओर जाता है।
3. क्लॉज 2 उन राउटरों के लिए विशेष रूप से विशिष्ट है जिनके प्रोसेसर में एईएस-एनआई समर्थन की कमी थी।
आप gre + ipsec का उपयोग कर सकते हैं, जो प्रदर्शन की समस्याओं को दूर करेगा - लेकिन सुरंगें होंगी, उनमें से सैकड़ों।
यह बहुत दुखद था, मैं हार्डवेयर एन्क्रिप्शन के साथ tsisk के साथ गर्म होना चाहता था और dmvpn का उपयोग करना चाहता था।
या पहले से ही वैश्विक एमपीएलएस वीपीएन।
आदेश में नहीं किया जा रहा है।
कुछ करना आवश्यक था
- 1-2x प्रोसेसर सर्वर मस्तिष्क और esxi की एक स्वादिष्ट राशि के साथ शाखाएं बन गईं
- राउटर विघटित हो गए और सभी तृतीय-पक्ष सेवाएं शुद्ध लिनक्स के साथ समर्पित आभासी मशीनों में चली गईं
- कुछ खोजों के बाद, वर्चुअलाइज्ड x86 राउटरोस को रूटिंग प्लेटफॉर्म के रूप में चुना गया था।
मिकरोटिक को पहले से ही परिचालन का अनुभव था, x86 के तहत हमारे कार्यों पर प्रदर्शन और स्थिरता के साथ कोई समस्या नहीं थी।
लोहे के समाधान पर, विशेष रूप से - RB7 ** और RB2011 ** पर - यह अधिक मज़ेदार था
संभावित रूप से, इस तरह के समाधान ने क्षेत्र में कार्यक्षमता में वृद्धि दी
- मार्ग पुनर्वितरण
- pbr + vrf
- mpls
- फुंसी
- क्ष
साथ ही कुछ अन्य।
समस्या यह थी कि राउटरोस (जैसे व्याट) मल्टीप्ल वीपीएन का समर्थन नहीं करता है।
फिर से यह दुखी हो गया, वे पूरी तरह से लिनक्स फुलमेश समाधानों की ओर खुदाई करने लगे।
अलग, वैसे, अपने
लेख के लिए ValdikSS
habrayuzer के लिए धन्यवाद।
समीक्षा की गई: peervpn, tinc, campagnol, GVPE, Neorouter, OpenNHRP, Cloudvpn, N2N
एक परिणाम के रूप में, हम एक समझौता समाधान के रूप में, tincvpn पर बसे।
मुझे वास्तव में विदेशी इनकैप्सुलेशन विधियों के साथ gvpe भी पसंद था, लेकिन इसने कई आईपी (विभिन्न ISPs से) को दूरस्थ सहकर्मी को निर्दिष्ट करने की अनुमति नहीं दी।
शर्म की क्या बात है, टिंसी भी सिंगल-थ्रेडेड थी।
समाधान के रूप में, एक गंदे हैक का उपयोग किया गया था:
1. प्रत्येक दो सदस्यों के बीच मेष 1 में नहीं, बल्कि एन सुरंगों में उगता है, जो तब आउटगोइंग ट्रैफिक बैलेंसिंग के साथ एक बॉन्ड-इंटरफ़ेस में संयोजित होते हैं।
2. परिणामस्वरूप, हमारे पास पहले से ही एन प्रक्रियाएं हैं जो पहले से ही विभिन्न कोर के बीच वितरित की जा सकती हैं।
निर्दिष्ट योजना का उपयोग करते समय, प्रयोगशाला में
- 8 टिन-इंटरफेस, निर्दिष्ट योजना के अनुसार एक बॉन्ड में एकत्रित
- विभिन्न कोरों के लिए प्रक्रियाओं को बाध्य करना
- 1 x xeon 54 **, 55 ** (पुराने पीढ़ी के प्रोसेसर बिना ऐस-नी समर्थन के)
- ऐस128 / शा 1,
- ट्रांसपोर्ट प्रोटोकॉल के रूप में udp।
- सुरंग के अंदर और बाहर दोनों का उपयोग किए बिना qos।
वीपीएन प्रदर्शन एक गिगाबिट चैनल पर लगभग 550-600 एमबीपीएस था।
हम बच गए।
क्या हुआ:
1. अंतिम निर्णय को "vpn-pair" नाम दिया गया था।
2. एक esxi होस्ट पर स्थित दो आभासी मशीनों के होते हैं और एक आभासी इंटरफ़ेस द्वारा एकजुट होते हैं।
1 - राउटरोस, जो विशेष रूप से रूटिंग मुद्दों से संबंधित है
2 - पाला और थोड़ा doped टिंच के साथ शुद्ध linux।
वीपीएन पुल के रूप में कार्य करता है।
टिंचर कॉन्फ़िगरेशन प्रयोगशाला एक के समान है, जबकि बंधन-इंटरफ़ेस को माइक्रोटीक के लिए एक आभासी लिंक के साथ ब्रिज किया गया है।
नतीजतन, सभी राउटर में एक सामान्य एल 2 है, आप ओस्पफ उठा सकते हैं और आनंद ले सकते हैं।
3. प्रत्येक शाखा में 2 वीपीएन-जोड़े होते हैं।
... जारी रखने के लिए ...नोट
1. सिद्धांत रूप में, सिनको को वाइट्टा में एकीकृत किया जा सकता है, इसके लिए एक पैच भी लिखा गया था (1 इंटरफ़ेस के साथ विकल्प के लिए)
लेकिन एक आपातकालीन पैच (या प्लेटफ़ॉर्म को अपडेट करने के बाद) में इस तरह के बंडल के व्यवहार का अनुमान लगाना मुश्किल है और इस तरह के प्रयोग एक बड़े नेटवर्क के लिए अवांछनीय हैं।
2. "matryoshka" विकल्प पर भी विचार किया गया था।
उनके 2 निर्देश थे:
- एकीकृत वर्चुअलाइजेशन (KVHD) के माध्यम से vpn-Bridge के साथ लिनक्स x86 मिकरोटिक और लिनेक्स-वीएम के लिए समर्थन की खरीद।
खराब प्रदर्शन के कारण नहीं लिया।
नेस्टेड वर्चुअलाइजेशन (esxi -> राऊटरोस -> kvm -> linux)।
एससीआई 5.1 में वीटी-एक्स / ईपीटी इम्यूलेशन के लिए समर्थन की कमी, (केवीएम मशीन शुरू करने के लिए आवश्यक) के कारण यह नहीं हुआ।