Forum

Mpls Vpn & Sd-Wan &...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Mpls Vpn & Sd-Wan & Open Vpn

Seckin Cizer
(@seckincizer)
Üye

Merhaba

8 Sube 1 Merkezimiz mevcut.8  Sube, Merkeze,Merkezde kurdugumuz "Openvpn Server" 'a baglı idi .Merkezin hızı 60 Mbps,şubeler ise 40 Mbps

Her subede simetrik Metro Ethernet kullanıyoruz.

Merkezde ,2 adet Masaüstü uygulaması (.exe) ile calısan program mevcut.

Merkezdeki kullanıcılar bunu kendi masaüstlerindeki her iki programın kısa yoluyla rahatlıkla kullanabiliyorlar.

Fakat şubelerde bu mümkün değil.Latency sorunları,Masaüstü uygulaması olması vb.

 

Bunun  üzerine 2 ay önce İsp ile görüşüp deneme amaçlı 1 şubemize "Mpls Vpn" kurdurduk.Merkeze ve şubeye koydukları bir router ile iki bölgeyi birbirine karşılıklı bagladık.Hız konusunda çok memnun kaldık.,Masaüstü uygulalamaları çok büyük bir sorun çıkmadan kullanılabiliyor.

Bunun en önemli sebeplerinden biri ise Merkezin internet trafiginden izole olarak şubenin buraya gelmesi diye düşünüyorum.Ekte yolladım.

1

Belirli bir süre sonra tek veri tabanına gececeğiz.Şubelerdeki Db lerin hepsi merkezden kullanılacak.Bu yüzden tüm şubelerin ,merkeze geleceği alt yapıyı ekiplerle beraber görüşüyoruz konuşuyoruz.

Mpls Vpn 'de gözlemlerimi sizlerle de paylaşmak isterim. ;

Artıları;

  1. Hız, Kapalı Devre olması(!)

Eksileri;

  1. İsp'e bagımlı olmak(Merkezden şubeye farklı bir route eklemem gerekti.İsp tarafında route'yi eklettim.)
  2. Mpls'den geçen trafigin İsp'nin tarafında Clear geçmesi(Bunun çözümü olarak buradan Kendi Open Vpn inimi geçirmek isterim ama yavaşlar mı endişelerim var)

 

Sizlerin bu gözlemlerimle ilgili eklemek istedigi birşey var mı ? Yapınızda Şubeleri baglarken Mpls ilemi ilerliyorsunuz? Yoksa bizim ilk topolojideki gibi Kendi Vpn 'ininizi mi kuruyorsunuz .

Mpls vpn'i önerir misiniz.Büyük bankalar vb bildigim kadarıyla bunu kullanıyor diye duymuştum?

 

Diğer sorum ise ; SD-Wan teknolojisi Hakkında.

Yeni bir teknoloji diye duydum. Uygulamalara öncelik verilen Bir Software Defined -Wan cihazı konumlandırılıyor(Satın almamız gerekiyor) bildiğim kadarıyla.

 

E Peki bu şekilde ise ,bizim daha önce yaptığımıza nazaran (Ekteki resim ilk topoloji) farkı ,sadece uygulamalara öncelik verilmesi oluyor ? Yanlış düşünüyor olabilirim.?

Sd-Wan teknolojisi kullanan varsa tecrübelerini paylaşırsa çok memnun olurum. Memnun musunuz ? Mpls'e tercih eder misiniz ? Sorun yaşıyor musunuz ? İsp 'ye bagımlılık biraz düşüyor sank burda ?

  • Güvenlik
  • Süreklilik
  • Yedeklilik
  • Hız

Kriterlerine tecrübelerinize göre öneriniz ne yönde olabilir.

Vereceğiniz bilgiler için şimdiden hepinize çok teşekkür ederim.

 

Saygılarımla

 

 

 

 

Alıntı
Topic starter Gönderildi : 19/07/2021 19:33
Mehmet Sait YILMAZ
(@mehmetsaityilmaz)
Üye

Bence mpls , 20 şubeli bir yapı yönettim merkeze mpls ile geliyordu gayet başarılı,stabil ve hızlı. Benim hattımı dinler gibi bir endişeniz varsa zaten o ayrı bir konu, Aradaki bağlantıyı başka ve bir vpn tüneli ile şifrelendiği zaman mutlaka bir yavaşlama olacaktır. Tüm hattı şifrelemek yerine uygulamaları uçtan uca şifreleme bakabilirsiniz rdp yapıyorsanız rdp bağlantısınız vs.. gibi. 

sd-wan tarafında hat yedekliği kritk uygulamalarızda iletişim problemleri yaşanmaması yük dengeleme gibi konularda bir araşınız varsa size çözüm olacaktır.

CevapAlıntı
Gönderildi : 19/07/2021 21:18
Seckin Cizer
(@seckincizer)
Üye

Merhaba Mehmet Bey

Teşekkür ederim.

Şubelerden merkeze gelişleri 0.0.0.0 olarakmı ekletip ekletmediginizi hatırlıyor musunuz ?
Bunu şunun için sordum.

İlk etapta,sadece merkez subnetimi route eklettim.
Sonrasında merkezdeki ilave subnetimi ekletme ihtiyacım oldu.
ve o subnetide paylaşmak zorunda kaldım onlarla.
Sonra şubeden merkeze 0.0.0.0 diye eklettim.Yani sizce bu dogru mu ?
Mpls leri nasıl yedeklediniz? İsp ile mi yoksa kendiniz mi ?

20 şubede sanırım merkezden nete çıkardınız ?
Yapımızda Vlan'a geçmeyi planlıyorum.Merkezde yapacagım Vlan'da eger bir vlandaki terminal şube  ile haberleşmesi gerekir ise sanırım yine isp ile görüşmek zorundayım route için ? 🙁
Bu kısımlarda nasıl ilerlediniz.

Bu ileti 2 ay önce 2 defa Seckin Cizer tarafından düzenlendi
CevapAlıntı
Topic starter Gönderildi : 20/07/2021 16:36
Mehmet Sait YILMAZ
(@mehmetsaityilmaz)
Üye

0.0.0.0 ekletmekten ne kast ettiğinizi tam anlamadım ama mpls yapısında her noktanın farklı bir ip bloğu olur mesela merkez 172.16.1.0/24 ise bir diğer şube 172.16.2.0/24 gibi gider MPLS networku zaten sizin merkez fw de sonlanacağın için ( router'dan sonra ) siz zaten kendi fw de yazacağınız kurallar merkezde oluşturacağınz vlanlar fw sonlanıyorsa mpls tarafı ile görüştürebilirsiniz, ANCAK eğer merkezdeki vlanları fw değilde l3 switch ( omurga ) yada routerda yönetiyorsanız o zaman oradaki cihazlardan üzerinde kurul yazmanız gerekiyor.

Bu ileti 2 ay önce Mehmet Sait YILMAZ tarafından düzenlendi
CevapAlıntı
Gönderildi : 20/07/2021 23:00
Seckin Cizer
(@seckincizer)
Üye

@mehmetsaityilmaz 

Merhaba

Cevabınız için çok teşekkür ederim. 

Şöyle:

Merkez ip:192.168.2.0/24 ve 192.168.4.0/24

Şube:192.168.64.0/24

Isp, şubede ilk etapta 2.0/24 route sini ve mpls cihaz route larını ekledi. 

Sonrasında merkezde 192.168.4.56 ile bu şubenin haberleşme ihtiyacı doğdu. 

Isp ye  sonrasında şube routerinda 192.168.4.56 route sini eklettirdim.

Acaba böyle eklettirmektense 

Şubede O.0.0.0 eklettirsem ( şubeden gelen trafiği  hedef ne olursa olsun 2.0   4.0  5.0 vb merkeze yönlendir) dahamı uygun olur acaba.

Çünkü şu anda kendileri route tablosuna bakıp şubenin 192.168.4.56 ile haberleşmesi gerektiğini biliyorlar. Çokmu paranoyagim  🙂 kusura bakmayın lütfen. 

Subedeki mpls devrelere yedekleme yaptınız mı peki ,herkes merkezden mi çıkıyordu 

Son olarak merkezdeki vlan ları sonlandırma için l3 sw mi sizce uygun yoksa fw mi?

Şimdiden çok teşekkür ederim sabrınız için 

 

 

Bu ileti 2 ay önce Seckin Cizer tarafından düzenlendi
CevapAlıntı
Topic starter Gönderildi : 21/07/2021 00:02
Mehmet Sait YILMAZ
(@mehmetsaityilmaz)
Üye

Hocam 0.0.0.0 diye ekleymek öyle mpls yapısı gereği böyle bir olabileceğini duymadım. Bence böyle kuşlularımız olmamalı bulut kullananların microsoft bizi takip ediyor vs.. mpls kullananların telekom bizi takip ediyor gibi.. 

Bence firmanıza veya kurumuzun ihtiyaçlarını karşılıuyorsa onlara konformu bir çalışma alanı sağlıyorsa odaklanılması nokta bu bence. Sonuçta tüm çabamız kurumumuz ve şirketimizi çalışanlarının konforlarını arttırmak, şirket yada kurumun verimliliği arttırmak.

Hocam özetle MPLS kullanmanızı tavsiye ederim, uzun yıllardır kullanıyoruz. Hızlı, konforlu bir iletişim sağlıyor, sorun yaşadığınızda hızlıca çözüyorlar, router vs.. işleri ile uğraşmıyorsunuz firma kendi yapıyor.

CevapAlıntı
Gönderildi : 21/07/2021 12:16
Seckin Cizer
(@seckincizer)
Üye

Mehmet bey verdiğiniz bilgiler icin cok teşekkür ederim. 

Diğer arkadaslardanda fikir ve tecrübelerini yazmalarını bekliyor olacağım. 

CevapAlıntı
Topic starter Gönderildi : 21/07/2021 12:21
Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

Merhaba,

MPLS tabiki teknolojisi itibari ile Ipsec VPN'e göre çok daha iyi bir bağlantı yöntemidir. Burada ISP ile ilk kurulumları yaptıktan sonra pekte bir değişiklik yapmanız gereken bir durum yok, tüm şubelerinizden 0.0.0.0/0 default route gönderirseniz zaten ek bir tanım yapmanız gerekmez.

Ipsec VPN'de kullandığınız algoritmaya göre 5% - 8% performans kaybı şifreleme kaynaklı yaşamanızın yanı sıra, toplam internet hattının kullanım yoğunluğuna göre hattın satüre olması vb. durumlar performans adına olumsuzdur.

SD-WAN ise ISP bağımsız çalışmak istediğiniz durumda ve her şubede min 2 hat kullanmak istediğiniz durumlarda tercih edebilirsiniz. Burada çok fazla seçeneğiniz olduğu gibi yönetimde sizin elinizde olur. SD-WAN olduğunda MPLS iptal diye birşey de yok, birinci devre MPLS olabilir, ikinci devre 4G yada DSL olabilir...kurgu size kalmış.

MPLS 'te dikkat etmeniz gereken birkaç önemli konu, tüm şubelerden gelecek toplam trafiği karşılayacak kadar merkez tarafında hattınız olması gerekiyor. Merkez tarafta RL yedekli bir mimari tercih edebilirsiniz.

yB

CevapAlıntı
Gönderildi : 22/07/2021 14:35
Seckin Cizer
(@seckincizer)
Üye
Gönderen: @yilmazbarcin

Merhaba,

MPLS tabiki teknolojisi itibari ile Ipsec VPN'e göre çok daha iyi bir bağlantı yöntemidir. Burada ISP ile ilk kurulumları yaptıktan sonra pekte bir değişiklik yapmanız gereken bir durum yok, tüm şubelerinizden 0.0.0.0/0 default route gönderirseniz zaten ek bir tanım yapmanız gerekmez.

Ipsec VPN'de kullandığınız algoritmaya göre 5% - 8% performans kaybı şifreleme kaynaklı yaşamanızın yanı sıra, toplam internet hattının kullanım yoğunluğuna göre hattın satüre olması vb. durumlar performans adına olumsuzdur.

SD-WAN ise ISP bağımsız çalışmak istediğiniz durumda ve her şubede min 2 hat kullanmak istediğiniz durumlarda tercih edebilirsiniz. Burada çok fazla seçeneğiniz olduğu gibi yönetimde sizin elinizde olur. SD-WAN olduğunda MPLS iptal diye birşey de yok, birinci devre MPLS olabilir, ikinci devre 4G yada DSL olabilir...kurgu size kalmış.

MPLS 'te dikkat etmeniz gereken birkaç önemli konu, tüm şubelerden gelecek toplam trafiği karşılayacak kadar merkez tarafında hattınız olması gerekiyor. Merkez tarafta RL yedekli bir mimari tercih edebilirsiniz.

yB

Yılmaz Bey çok teşekkür ederim cevabınız için

Mpls devresi üzerinden İpsec Vpn basar isem performans ile ilgili verdiginiz bilgi için teşekkür ederim.
Yazılımlarımız maalesef Web tabanlı değil. O yüzden 5 % - 8 % performans kaybı bizi direkt olumsuz etkileyebilir.

Siz peki trafiğin dinlenmesine karşı kuşkularınız oluşuyor mu ? Bu yüzden de Mpls'ler üzerinden İpsec Vpn geçirdiniz mi ?

Şu an için tek bir şubede Mpls deniyoruz. Sadece Merkezdeki Veri tabanı uygulamalarını kullanacak trafik, buradan geçiyor. Şube, internetine kendi üzerindeki Metro Devresi üzerinden(Merkeze hiç gelmeden çıkıyor). Tabii maliyetli oluyor.

Siz şubelerin internete çıkışı olarak merkeze gelip çıkmasını mı önerirsiniz yoksa kendi lokallerinden çıkmasını mı daha benimsersiniz ?Siz nasıl uyguluyorsunuz ?

Sd-Wan ile ilgili olarak sanırım otomatik yedek devreye geçişleri sağlıyor. Peki bunun için her lokasyon'a Sd-Wan cihazı gerekecek mi ?

İsp,  bize "Sizin Mpls devresini 4.5 G ile yedekleriz otomatik" derler. Fakat Kontrol onlarda oluyor Sd-Wan ile farkı bu sanırım ?Siz yedekliliği Mpls devrelerde  nasıl sağlıyorsunuz ?  Geçişler otomatik mi oluyor ?Veya öneriniz ne olur ?

Bilginiz dahilindeyse ;Devlet Daireleri , büyük bankalar Merkez Şube yapısında Mpls'mi kullanırlar ?

En çok merak ettiğim, 50 Terminal veya daha az terminal olan şubelerinizde de Vlan yapmaya gerek duydunuz mu ?

Şimdiden çok teşekkür ederim.

Saygılarımla

Bu ileti 2 ay önce Seckin Cizer tarafından düzenlendi
CevapAlıntı
Topic starter Gönderildi : 22/07/2021 16:18
Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

merhaba,

MPLS yapısı gereği kapalı devre bir iletişim yöntemidir, sizin MPLS bulutunuza dışarıdan kimse giremez. Ancak hizmeti veren ISP nin router'ları üzerinden geçen trafik izlenebilir, ama Türkiye 'de daha önce örneğini duymadım, tüm operatörlere güvenebilirsiniz bu konuda.

Routing konusunda, tüm MPLS bölgelerinizden 0.0.0.0/0 routing 'ini merkeze yönlendirip merkezdeki firewall'a sokup oradan source interface mpls destination internet olarak kuralları yazarak kontrol sizde olarak internet erişimini yaptırmanızı ben tavsiye ederim. Kontrol ve yönetim kolaylığı. Ayrıca log tutmak için sadece bu merkezdeki firewall 'dan syslog olarak alarak kayıt edebilirsiniz.

SD-WAN birkaç seneye kadar herkesin birinci tercihi olacağına inanıyorum. SD-WAN için şubelerinizde evet 1 cihaz konumlandırmanız gerekiyor. Burada en çok yapılan hata, aynı ISP'nin MPLS + 4,5 G internet i birlikte kullanılıyor. daha önceki örneklerde çok defa gördük ISP'de sorun olduğunda tüm şebekesi etkilenebiliyor. Bu yüzden SD-WAN yapıyorsanız MPLS-ME A ISP 'den, 4,5G Mobil B ISP'den, Bakır ADSL-VDSL C ISP'den alarak kurulan yapılar en doğru ve kararlı yapılar oluyor.

Kamu ve Bankalar ile ilgili altyapılara bu case'de girmeye gerek yok, doğru örnekleme de olmaz.

VLAN yapısı çok farklı bir konu ve detaylı bir bilgi vermemişsiniz. Kısaca eğer şubelerinizdeki insanlar hedefte farklı sunuculara erişme durumu varsa şubelerinizde vlan yapılandırmanız iyi olur, herkes aynı hedefe gelecekse ve şubede ayrıca bir sunucu vb. yoksa tek vlan yapabilirsiniz. SD-WAN cihazı üzerinden DHCP ile VLAN'ları yönetebilirsiniz.

SD-WAN için kendiniz yatırım yapacaksanız Fortinet 'in giriş seviyesindeki cihazlarını deneyebilirsiniz, benim faworim 60E DSL/J , bu ürüne direk adsl-vdsl kablosunu arada bridge modem olmadan saplayabilirsiniz, ek olarak üzerine ME , devre, 4,5G devre sonlandırabilirsiniz.

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_DSL_Series.pdf  

 

yB

CevapAlıntı
Gönderildi : 01/08/2021 08:13
Paylaş: