آشنایی با پروتکل های تانلینگ لایه دو، مفاهیم BCP و MLPPP در میکروتیک

در این مطلب شما را با پروتکل های تانلینگ لایه دو و مفاهیم BCP و MLPPP در میکروتیک آشنا خواهیم کرد. پیاده سازی VPN بطور کلی از دو طریق امکان پذیر می‌باشد: Remote Access VPN و VPN Site-to-Site.

شمای کلی Remote Access VPN

همانطور که از مفهوم عبارت Remote Access VPN مشخص است، در این حالت روتر مرکزی یا سرویس دهنده به عنوان VPN Server تنظیم می شود و شعبه ها یا کاربران به روتر VPN Server متصل می شوند.

شمای کلی VPN Site-to-Site

در این سناریو هر دو روتر مرکز و شعبه برای برقراری تانل Site to Site نیاز به آی پی ولید استاتیک دارند.

تانل‌های Site to Site VPN و Remote Access VPN به دو صورت لایه 2 و لایه 3 قابل پیاده سازی می باشند، که هردو در ماهیت و مدل سرویس هایی که در حالت لایه 2 و لایه 3 ارائه می دهند یکسان می باشند، برای مثال تفاوت های Site to Site VPN لایه دو و Site to Site VPN لایه 3 در جدول زیر توضیح داده شده اند:

در جدول پایین برخی از پروتکل هایی که میکروتیک از آن پشتیبانی می‌کند به نمایش در آمده است.

آپشن هایی که برای لایه دو در دسترس هستند، EoIP Bridging و PPP + BCP می‌باشند. برای PPP + BCP نیز به پروتکل تانل، BCP و PPP از نوع مولتی لینک نیاز داریم. در ادامه مفاهیم Bridging ، BCP و MLPPP را توضیح خواهیم داد.

پروتکل های PPP زیر برای برقراری ارتباط به نحوه زیر عمل می کنند:

L2TP/IPsec، از پروتکل‌های VPN هستند که از امنیت بسیاری بالایی برخوردار بوده و کلاینت برای متصل شدن به آن به udp پورت 1701، ESP پورت 50 و IKE udp پورت 500 نیاز خواهند داشت. از این رو کلاینت ها باید برای دسترسی به آن‌ها از جدیدترین سیستم عامل برخوردار باشند. L2TP/IPsec نسبت به SSTP به شکل قابل توجهی سریع‌تر است.

مفهوم Bridging

اگر بخواهیم بریجینگ (Bridging) را به شکلی ساده بیان کنیم باید گفت که امکان ادغام دو اینترفیس جداگانه به یک اینترفیس logical می باشد. Bridge ها بسیار شبیه به سوئیچ ها هستند و بعد از سیستم عامل نسخه 6.41 امکان پشتیبانی از (hardware offloading hw-offload) نیز به Bridge اضافه گردید. Bridging برروی یک شبکه لایه 3 شبکه برای گسترش سرویس های لایه 2 از نقطه A به نقطه B می تواند مفید باشد.

Point to Point Protocol (PPP) + BCP

پروتکل نقطه به نقطه (Point-to-Point یا PPP) همراه با BCP است. برای استفاده از آن تنها به یک router که مستقیماً متصل باشد نیاز خواهیم داشت، (dst-nat نیز می تواند باشد) و کلاینت ها می توانند IP های استاتیک یا داینامیک داشته باشند. همچنین تانل ها می توانند از طریق دستگاه های ریموت ایجاد شوند. برای پیاده سازی BCP نیازی به راه اندازی تانل بر روی تانل دیگر نمی باشد و تنظیمات تک مرحله ای انجام می شود و احراز هویت (Authentication) و رمزگذاری (Encryption) را نیز ارائه می دهد.

BCP چه کاربردی دارد

BCP این امکان را می‌دهد تا پکت های اترنت را از طریق لینک PPP، Bridge نمائید.

تنظیمات BCP بر روی میکروتیک

Bridge باید دارای MAC address ست شده‌ و یا اینترفیسی که همانند Ethernet هست، باشد. زیرا لینک های PPP دارای MAC address نیستند.

MLPPP یا PPP Multi Link

RFC 1990 که توسط کارگروه مهندسی اینترنت (IETF) منتشر شده است و عمدتاً برای سیستم هایی که از شبکه دیجیتالی خدمات یکپارچه (ISDN) استفاده می کنند، بکار برده می شود. پروتکل (Multi-Link Point to Point MP، Multi-Link PPP، MultiPPP) و یا MLPPP نیز به آن گفته می شود روشی برای تقسیم، ترکیب و ترتیب دهی داده ها بر بستر چندین دیتا لینک logical یا یک لینک PPP است.

چرا به MLPPP نیاز داریم؟

از آنجایی که بخش بندی و جمع آوری مجدد پکت ها می تواند برخی از اپلیکیشن ها را از بین ببرد، MLPPP می تواند کاربردی باشد و در موارد گوناگون به کار برده شود. به عنوان مثال VoIP از طریق UDP و DHCP به چندین اسم دیگر تبدیل می شود.

در شکل بالا می‌توان نتیجه گرفت که MTU اینترفیس بر روی تانل‌های PPP از MTU استاندارد اینترفیس Ethernet کوچکتر است.

تانل های لایه 2 بر بستر شبکه های لایه 3 نیازمند انتقال اترنت از طریق تانل های VPN می باشند. MTU و overhead تانل نمی توانند از کل فریم عبور کنند به همین جهت ما نیازمند راهی هستیم تا بتوان تمامی دیتا را از طریق تانل بصورت بخش بخش دریافت نمود.

MLPPP می‌تواند این مشکل را به صورت زیر حل نماید.

فعال سازی MLPPP بر روی میکروتیک

شما باید گزینه (Maximum Received Reconstructed Unit) که بطور اختصار MRRU نام دارد یا حداکثر واحد بازسازی شده دریافتی را تعیین کنید.

تنظیمات PPP + BCP سمت سرور

در وهله‌ی اول، اینترفیس bridge را ایجاد نمائید.

سپس اینترفیس LAN را به bridge اضافه کنید.

در قدم بعدی، یک IP Pool را برای VPN نقطه به نقطه ایجاد نمائید.

بعد از آن، پروفایل PPP را از طریق اختصاص دادن bridge بر روی پروفایل ایجاد کنید.

در مرحله‌ی بعدی، PPP secret را از طریق پروفایلی که در مرحله‌ی قبلی ساخته بودید، ایجاد نمائید.

و در نهایت سرور L2TP VPN را با PPP مولتی لینک فعال کنید.

تنظیمات PPP + BCP سمت کلاینت

در مرحله‌ی نخست، اینترفیس bridge را ایحاد نمائید.

سپس، اینترفیس LAN را به آن اضافه کنید.

در قدم بعدی، پروفایل PPP را از طریق اختصاص دادن bridge به پروفایل ایجاد کنید.

در نهایت، اینترفیس کلاینت L2TP را با PPP مولتی لینک (پروفایلی که bridge برروی آن مشخص شده است) بسازید.

EoIP چیست؟

Ethernet over Internet Protocol که به طور اختصار EoIP نام دارد، یکی از پروتکل های RouterOS میکروتیک است. EoIP فریم اترنت را درپکت های gre که IP Protocol 47 می باشد قرار می دهد.

پیکربندی EoIP

در قدم اول، اینترفیس bridge را ایجاد نمائید.

سپس، یک تانل EoIP که به HQ می‌رود را ایجاد کنید.

و در نهایت، اینترفیس LAN و تانل EoIP خود را به عنوان پورت های Bridge به Bridge اضافه نمائید.

رمزگذاری که برای EoIP استفاده می‌شود IPsec است اما هیچگونه مکانیزم احراز هویتی برای آن وجود ندارد. در حالت کلی، EoIP مستلزم آن است تا هردو نقطه مستقیماً به اینترنت متصل باشند. در مواردی که امکان آن وجود ندارد، تانل را از طریق دیگر پروتکل‌های تانل مانند L2TP, PPTP و غیره می‌توانید ایجاد نمائید.

برای استفاده از EoIP باید کانفیگ بیشتری را انجام دهید و به packet overhead بیشتری نیز خواهد داشت. کانفیگ EoIP به آسانی قابل انجام است اما حفظ و نگهداری از آن به مراتب سخت‌تر و دشوارتر است و شما باید بین هر روتر کلاینت و سرور یک تانل با Tunnel ID مستقل ایجاد کنید.