راه اندازی EoIP VPN در میکروتیک

راه اندازی EoIP VPN در میکروتیک، در این مقاله به بررسی و راه اندازی پروتکل Tunneling انحصاری میکروتیک ( EoIP ) خواهیم پرداخت. مکانیزم عملکرد EoIP در لایه دوم از مدل OSI می باشد. این بدین معناست که می توان به واسطه EoIP دو شبکه را در لایه دو در بستر اینترنت به یکدیگر متصل نمود که قابلیتی بسیار ویژه در روتربرد های میکروتیک محسوب می گردد.

راه اندازی EoIP VPN در میکروتیک

فهرست مطالب

1. مقدمه
2. EoIP VPN چیست
3. پیاده سازی

EoIP VPN چیست

EoIP مخفف عبارت Ethernet over IP می باشد. در EoIP فریم های لایه دو درون Tunnel IP کپسوله ( Encapsulate ) می گردند. این یک پروتکل انحصاری در میکروتیک محسوب می گردد و صرفا در روتربرد های میکروتیک قابل پیاده سازی می باشد. پس از پیاده سازی EoIP VPN بین دو شعبه از طریق اینترنت، دو شعبه همانند یک شبکه متصل به یکدیگر و به صورت یک شبکه واحد قادر به برقراری ارتباط با یکدیگر می باشند. این ارتباط به صورت یک ارتباط لایه دو بین دو شعبه شکل خواهد گرفت و  دو شعبه خود را در یک Broadcast Domain خواهند یافت و این اتصال به مانند یک سوئیچ بین دو شعبه عمل خواهد نمود. EoIP فریم های لایه دو را درون پروتکل GRE کپسوله می نماید. EoIP همانند PPTP از GRE جهت کپسوله سازی بسته ها و فریم ها استفاده می نماید. چنانچه قصد داشته باشیم ارتباط لایه دو بین دو سایت و یا شعبه که از نظر جغرافیایی با یکدیگر فاصله دارند برقرار نماییم، EoIP یکی از راهکار های انکار ناپذیر خواهد بود. البته باید در نظر داشت که جهت برقراری چنین ارتباطی وجود روتربرد میکروتیک و همچنین ارتباط اینترنت در هر دو شعبه الزامی می باشد. همچنین این قابلیت نیز وجود دارد که EoIP را برو روی یک پروتکل Tunneling دیگر مانند IPIP، PPTP  و یا L2TP نیز پیاده سازی نمود.

پیاده سازی EoIP VPN در میکروتیک

جهت پیاده سازی EoIP VPN در میکروتیک توپولوژی زیر مفروض می باشد:

در این سناریو از دو روتر به عنوان شعبه اول ( Site1 ) و شعبه دوم ( Site2 ) استفاده می نماییم. پس از پیاده سازی دسترسی PC در شعبه اول به  PC موجود در شعبه دوم و بالعکس امکان پذیر خواهد بود. در نظر داشته باشید تجهیزات و کامپیوتر ها در هر دو سایت باید از یک رنج آدرس IP که در این سناریو آدرس شبکه ( 172.16.1.0/24 ) استفاده نمایند و چنانچه از DHCP Server در دو شعبه استفاده می نماییم باید در نظر داشته باشیم که در هر سایت شروع و پایان رنج آدرس های IP مدیریت شده باشد تا از آدرسی دهی های تکراری و اصطلاحا IP Conflict ها جلوگیری نماییم.

نکته: در این سناریو به دلیل اینکه یک محیط شبیه سازی شده است آدرس IP Public در دسترس نبود لذا بین روتر Site1 و Site2 از آدرس  (192.168.12.0/24) استفاده گردید ولی در محیط واقعی در اینترفیس های متصل به اینترنت می بایست آدرس public IP قرار گیرد. در این سناریو فرض بر این است که آدرس های شبکه  192.168.12.0 آدرس Public می باشند.

در این سناریو آدرس دهی اینترفیس ها از قبل انجام گرفته و صرفا مراحل مورد نیاز جهت پیاده سازی EoIP VPN ارائه خواهد گردید. چنانچه نیاز به یادگیری نحوه قرار دادن آدرس IP روی روتربرد های میکروتیک دارید، مقاله ( تنظیم آدرس IP روی میکروتیک )  به شما در انجام این فرایند کمک خواهد نمود.

هدف از برقراری EoIP VPN در این سناریو برقراری ارتباط لایه دو بین دو شعبه Site1 و Site2 می باشد که به صورت فرضی دو شعبه که از لحاظ جغرافیایی با یکدیگر فاصله دارند به یک سوئیچ لایه دو متصل شده اند . در مرحله اول می بایست ارتباط بین Site1 و Site2 را بررسی نماییم. این ارتباط در محیط واقعی یک ارتباط با آدرس Public IP می باشد که ما در این سناریو از آدرس IP در رنج شبکه 192.168.12.0 استفاده نمودیم . جهت بررسی یک پینگ از سمت Site1 به سمت Site2 ارسال می نماییم.

در مرحله بعدی می بایست اینترفیس های مربوط به EoIP را ایجاد نماییم. جهت انجام این کار در روتر Site1 از منوی نرم افزار Winbox بر روی گزینه Interfaces کلیک می نماییم. در پنجره باز شده بر روی + کلیک نموده و از زیر منوی آن گزینه EoIP را انتخاب می نماییم. در قسمت Local Address آدرس Public IP شعبه فعلی ( Site1 ) را که در این سناریو 192.168.1.1 می باشد را وارد می کنیم. در قسمت Remote Address آدرس Public IP شعبه دیگر را وارد می نماییم که در این سناریو 192.168.1.2 می باشد.

در قسمت Tunnel ID می بایست یک عدد که در هر دو شعبه یکسان باشد قرار می دهیم دقت داشته باشید که این عدد می بایست در هر دو روتربرد یکسان باشد تا Tunnel شکل گیرد. چنانچه قصد داشته باشیم امنیت بیشتری را برقرار نماییم از گزینه IPsec در پنجره می توان استفاده نمود. نکته بسیار مهم دیگر اینکه هنگام ارسال فریم های Ethernet در شبکه MTU این فریم های 1500 می باشد در شرایطی که EoIP در حالت پیش فرض MTU را بر روی 1458 قرار می دهد که با این اتفاق امکان انجام Fragmentation یا همان تکه تکه شدن وجود دارد. جهت رفع این مشکل می بایست MTU را بر روی 1500 مقدار دهی نماییم. با انجام این کار اتصال لایه دو بدون مشکل برقرار خواهد گردید.

در روتربرد Site2 نیز تنظیمات مانند تصویر فوق می بایست انجام گیرد با این تفاوت که Local Address و Remote Address جا به جا خواهند شد. پس از انجام مراحل ذکر شده در قسمت Interfaces مشاهده می نماییم که اینترفیس EoIP شکل گرفته و حرف R به معنای Running در کنار آن قرار گرفته. دقت داشته باشید در توپولوژی این سناریو کامپیوتر های متصل به روتربرد ها آدرس IP دارند اما اینترفیس های خود روتر هیچ آدرس IP نخواهند داشت. جهت اینکه کامپیوتر های دو شعبه بتوانند در چنین شرایطی با یکدیگر ارتباط برقرار نمایند می بایست یک اینترفیس Bridge در هر روتربرد ایجاد نمود و پورت های EoIP Tunnel و اینترفیس های روتربرد که به شبکه داخلی متصل هستند را درون آن قرار داد. در این سناریو اینترفیس Ether2 در هر دو شعبه به شبکه داخلی متصل می باشد. با انجام این کار یک سوئیچ منطقی بین دو شعبه شکل خواهد گرفت و ارتباط لایه دو آن ها با یکدیگر برقرار خواهد گردید. به منظور ایجاد Bridge در منوی نرم اقزار Winbox بر روی Bridge کلیک نموده و بر روی + کلیک می نماییم در پنجره باز شده صرفا بر روی OK کلیک می نماییم تا Bridge مورد نظر ایجاد گردد.

اکنون جهت قرار دادن پورت ها درون Bridge بر روی تب Ports کلیک نموده و انتخاب + پورت های EoIP و Ether2 که به شبکه داخلی متصل می باشد را درون Bridge قرار می دهیم.

در مرحله بعدی می بایست تنظیمات فوق در Site2 نیز انجام پذیرد و پس از انجام این مرحله در Site2 ارتباط دو شعبه به صورت کامل برقرار خواهد گردید.