پیاده سازی سناریو لایه دو از طریق EOIP over SSTP

در این مقاله قصد داریم تا نحوه‌ی Bridge کردن دو شبکه private بر روی بستر اینترنت را بین دو شبکه Main Office و Branch Office مورد بررسی قرار دهیم.

ابتداء، اصلی ترین پروتکل های VPN Tunneling را بیان می‌کنیم که عبارتند از:

PPTP (Point‐to‐Point Tunneling Protocol)

L2TP (Layer 2 Tunnel Protocol)

SSTP (Secure Socket Tunneling Protocol)

Open VPN

IKEv2 (Internet Key Exchange (version 2))

VPN (Virtual Private Network)

RouterOS میکروتیک می‌تواند از پروتکل های مختلفی پشتیبانی کند که عبارتند از: PPTP, SSTP, L2TP, OVPN, IPIP, GRE, VPLS و EOIP (پروتکل اختصاصی RouterOS میکروتیک می‌باشد.)

اترنت بر بستر IP که بطور اختصار با EOIP نشان داده می‌شود، پروتکل اختصاصی RouterOS میکروتیک می‌باشد. EOIP یک tunnel اترنت را بین دو روتر و از طریق اتصال IP ایجاد می‌کند و می‌تواند بر بستر tunnel ‌های IPIP، PPTP و یا هر اتصال دیگری که قابلیت انتقال IP را داراست، اجرا (RUN) شود. زمانیکه فانکشن Bridging روتر فعال است تمامی ترافیک پروتکل های اترنت همانند کابل و اینترفیس فیزیکی اترنت که بین دو روتر قرار گرفته اند، bridge خواهند شد. مانند زمانی که هر دو روتر از طریق اینترفیس فیزیکالی و کابلی به یکدیگر متصل می‌شوند.

مرجع شماره گذاری اعداد در اینترنت (IANA) این امکان را می‌دهد تا از مک‌آدرس در بازه‌ی 00:00:5E:80:00:00 - 00:00:5E:FF:FF:FF استفاده شود. بطور کلی منابعی مانند: PPPOE، DHCP، Application Server و غیره در Branch Office از طریق Main Office در دسترس می‌باشند.

در ادامه، با نحوه Bridge لن ها بر بستر اینترنت بین Main Office و Branch Office آشنا خواهید شد.

در سناریوی زیر میخواهیم دو نتورک Main Office و Branch Office با سابنت های متفاوت را با استفاده از تانل EOIP over SSTP به صورت لایه دو به یکدیگر متصل کنیم. بعد از برقراری تانل، رنج آی پی شبکه Branch Office با Main Office یکسان خواهد شد. شمای کلی مراحل راه اندازی به ترتیب در زیر به نمایش درآمده‌اند:

میکروتیک هر دو شبکه به اینترنت متصل شده است.

روی شبکه Main رنج ای پی 192.168.10.0/24 تعریف شده است.

در مرحله اول بین هر دو روتر تانل SSTP برقرار می کنیم.

SSTP Tunnel

SSTP مخفف Secure Socket Tunneling Protocol می‌باشد که می‌تواند یک تانل PPP را با استفاده از پروتکل امنینی TLS 1.0 بر روی بستر شبکه برقرار کند. استفاده از TLS بر بستر پورت 443 TCP این امکان را می‌دهد تا SSTP به صورت مجازی از تمامی فایروال‌ها و سرورهای پروکسی عبور کند.

در مرحله بعد، تانل EOIP را راه اندازی می کنیم.

در حقیقت تانل EOIP برروی تانل SSTP برقرار می شود.

Overhead تانل EOIP در حالتی که بر روی SSTP یا PPPTP برقرار شود به صورت زیر خواهد بود:

Overhead تانل EOIP برروی SSTP حداقل 154 Byte است که مجموعاً شامل 120 byte SSTP + 14 byte Ethernet + 20 byte IP است.

در صورتی که بر روی تانل SSTP سرتیفیکیت تعریف شده باشد طول RSA Key باید حداقل 472 Bits باشد.

Overhead تانل EOIP برروی PPTP حداقل 42 Byte است که شامل 8 Byte GRE + 14 Byte Ethernet + 20 Byte IP می شوند.

مزایای و معایب EOIP

از مزایای آن می‌توان به نصب و پیاده سازی آسان و راحت، قابل حمل بودن (Portable) و امنیت بالا اشاره نمود. در مقابل، افزایش Overhead، نیاز داشتن به پهنای باند زیاد و منحصر بودن آن به RouterOS میکروتیک از معیاب آن می‌باشد.

کانفیگ EOIP به چه صورت انجام می‌شود؟

در قدم اول، تانل SSTP را ایجاد کنید.

سپس SSTP Server را در حالت فعال (enable) قرار دهید (برای Branch Office).

یوزرنیم و پسورد SSTP را اضافه نمایید.

اکنون برای کانفیگ کلاینت SSTP به شکل زیر عمل کنید.

از قسمت PPP > Interface و منوی +، کانکشن SSTP Client را انتخاب کنید و مطابق تصویر در قسمت Connect To، آی پی آدرس روتر SSTP Server و در قسمت user و Password همان نام کاربری و رمز عبور ایجاد شده در SSTP Server را وارد نمایید.

تانل EOIP را ایجاد کنید.

تانل EOIP را در Main Office فعال (enable) کنید. توجه داشته باشید که Local Address و Remote Address همان آی‌پی آدرس تانل SSTP می‌باشند که در مراحل قبل تعریف شده بود:

برای Branch Office نیز همان مراحل را طی نمایید. یعنی، تانل EOIP را در Branch Office ایجاد نمایید و مانند شکل پایین، تانل EOIP را فعال (enable) کنید. توجه داشته باشید که Local Address و Remote Address آی‌پی آدرس تانل SSTP می‌باشند.

بعد از برقراری تانل EOIP، آی پی آدرس دو سر تانل مانند تصویر زیر می باشد:

اینترفیس Bridge را برای Main Office و Branch Office ایجاد کنید و اینترفیس های لوکال را توسط تانل EOIP برای هر دو طرف، Bridge نمایید.

لیست آدرس های موجود در Address List روتر Main Office به صورت زیر می باشد.

روی روتر Branch Office نیز اینترفیس های لوکال را با تانل EOIP، Bridge نمایید.

اکنون Branch Office و Main Office در یک broadcast دامین لایه دو قرار دارند و می‌توانید IP Address ها را از شبکه‌ای‌ که هر دو سایت در آن قرار دارند تنظیم نمایید.

در پایان تست، DHCP request بر بستر EOIP را می‌توانید از طریق شکل زیر انجام دهید. همانطور که دستور ipconfig نشان می دهد سیستم کلاینت از روتر Branch آی پی دریافت کرده است.