[Çözüldü] Mpls Vpn & Sd-Wan & Open Vpn

Bence mpls , 20 şubeli bir yapı yönettim merkeze mpls ile geliyordu gayet başarılı,stabil ve hızlı. Benim hattımı dinler gibi bir endişeniz varsa zaten o ayrı bir konu, Aradaki bağlantıyı başka ve bir vpn tüneli ile şifrelendiği zaman mutlaka bir yavaşlama olacaktır. Tüm hattı şifrelemek yerine uygulamaları uçtan uca şifreleme bakabilirsiniz rdp yapıyorsanız rdp bağlantısınız vs.. gibi. 

sd-wan tarafında hat yedekliği kritk uygulamalarızda iletişim problemleri yaşanmaması yük dengeleme gibi konularda bir araşınız varsa size çözüm olacaktır.

Merhaba Mehmet Bey

Teşekkür ederim.

Şubelerden merkeze gelişleri 0.0.0.0 olarakmı ekletip ekletmediginizi hatırlıyor musunuz ?
Bunu şunun için sordum.

İlk etapta,sadece merkez subnetimi route eklettim.
Sonrasında merkezdeki ilave subnetimi ekletme ihtiyacım oldu.
ve o subnetide paylaşmak zorunda kaldım onlarla.
Sonra şubeden merkeze 0.0.0.0 diye eklettim.Yani sizce bu dogru mu ?
Mpls leri nasıl yedeklediniz? İsp ile mi yoksa kendiniz mi ?

20 şubede sanırım merkezden nete çıkardınız ?
Yapımızda Vlan'a geçmeyi planlıyorum.Merkezde yapacagım Vlan'da eger bir vlandaki terminal şube  ile haberleşmesi gerekir ise sanırım yine isp ile görüşmek zorundayım route için ? 🙁
Bu kısımlarda nasıl ilerlediniz.

0.0.0.0 ekletmekten ne kast ettiğinizi tam anlamadım ama mpls yapısında her noktanın farklı bir ip bloğu olur mesela merkez 172.16.1.0/24 ise bir diğer şube 172.16.2.0/24 gibi gider MPLS networku zaten sizin merkez fw de sonlanacağın için ( router'dan sonra ) siz zaten kendi fw de yazacağınız kurallar merkezde oluşturacağınz vlanlar fw sonlanıyorsa mpls tarafı ile görüştürebilirsiniz, ANCAK eğer merkezdeki vlanları fw değilde l3 switch ( omurga ) yada routerda yönetiyorsanız o zaman oradaki cihazlardan üzerinde kurul yazmanız gerekiyor.

@mehmetsaityilmaz 

Merhaba

Cevabınız için çok teşekkür ederim. 

Şöyle:

Merkez ip:192.168.2.0/24 ve 192.168.4.0/24

Şube:192.168.64.0/24

Isp, şubede ilk etapta 2.0/24 route sini ve mpls cihaz route larını ekledi. 

Sonrasında merkezde 192.168.4.56 ile bu şubenin haberleşme ihtiyacı doğdu. 

Isp ye  sonrasında şube routerinda 192.168.4.56 route sini eklettirdim.

Acaba böyle eklettirmektense 

Şubede O.0.0.0 eklettirsem ( şubeden gelen trafiği  hedef ne olursa olsun 2.0   4.0  5.0 vb merkeze yönlendir) dahamı uygun olur acaba.

Çünkü şu anda kendileri route tablosuna bakıp şubenin 192.168.4.56 ile haberleşmesi gerektiğini biliyorlar. Çokmu paranoyagim  🙂 kusura bakmayın lütfen. 

Subedeki mpls devrelere yedekleme yaptınız mı peki ,herkes merkezden mi çıkıyordu 

Son olarak merkezdeki vlan ları sonlandırma için l3 sw mi sizce uygun yoksa fw mi?

Şimdiden çok teşekkür ederim sabrınız için 

Hocam 0.0.0.0 diye ekleymek öyle mpls yapısı gereği böyle bir olabileceğini duymadım. Bence böyle kuşlularımız olmamalı bulut kullananların microsoft bizi takip ediyor vs.. mpls kullananların telekom bizi takip ediyor gibi.. 

Bence firmanıza veya kurumuzun ihtiyaçlarını karşılıuyorsa onlara konformu bir çalışma alanı sağlıyorsa odaklanılması nokta bu bence. Sonuçta tüm çabamız kurumumuz ve şirketimizi çalışanlarının konforlarını arttırmak, şirket yada kurumun verimliliği arttırmak.

Hocam özetle MPLS kullanmanızı tavsiye ederim, uzun yıllardır kullanıyoruz. Hızlı, konforlu bir iletişim sağlıyor, sorun yaşadığınızda hızlıca çözüyorlar, router vs.. işleri ile uğraşmıyorsunuz firma kendi yapıyor.

Mehmet bey verdiğiniz bilgiler icin cok teşekkür ederim. 

Diğer arkadaslardanda fikir ve tecrübelerini yazmalarını bekliyor olacağım. 

Merhaba,

MPLS tabiki teknolojisi itibari ile Ipsec VPN'e göre çok daha iyi bir bağlantı yöntemidir. Burada ISP ile ilk kurulumları yaptıktan sonra pekte bir değişiklik yapmanız gereken bir durum yok, tüm şubelerinizden 0.0.0.0/0 default route gönderirseniz zaten ek bir tanım yapmanız gerekmez.

Ipsec VPN'de kullandığınız algoritmaya göre 5% - 8% performans kaybı şifreleme kaynaklı yaşamanızın yanı sıra, toplam internet hattının kullanım yoğunluğuna göre hattın satüre olması vb. durumlar performans adına olumsuzdur.

SD-WAN ise ISP bağımsız çalışmak istediğiniz durumda ve her şubede min 2 hat kullanmak istediğiniz durumlarda tercih edebilirsiniz. Burada çok fazla seçeneğiniz olduğu gibi yönetimde sizin elinizde olur. SD-WAN olduğunda MPLS iptal diye birşey de yok, birinci devre MPLS olabilir, ikinci devre 4G yada DSL olabilir...kurgu size kalmış.

MPLS 'te dikkat etmeniz gereken birkaç önemli konu, tüm şubelerden gelecek toplam trafiği karşılayacak kadar merkez tarafında hattınız olması gerekiyor. Merkez tarafta RL yedekli bir mimari tercih edebilirsiniz.

yB

Gönderen: @yilmazbarcin

Merhaba,

MPLS tabiki teknolojisi itibari ile Ipsec VPN'e göre çok daha iyi bir bağlantı yöntemidir. Burada ISP ile ilk kurulumları yaptıktan sonra pekte bir değişiklik yapmanız gereken bir durum yok, tüm şubelerinizden 0.0.0.0/0 default route gönderirseniz zaten ek bir tanım yapmanız gerekmez.

Ipsec VPN'de kullandığınız algoritmaya göre 5% - 8% performans kaybı şifreleme kaynaklı yaşamanızın yanı sıra, toplam internet hattının kullanım yoğunluğuna göre hattın satüre olması vb. durumlar performans adına olumsuzdur.

SD-WAN ise ISP bağımsız çalışmak istediğiniz durumda ve her şubede min 2 hat kullanmak istediğiniz durumlarda tercih edebilirsiniz. Burada çok fazla seçeneğiniz olduğu gibi yönetimde sizin elinizde olur. SD-WAN olduğunda MPLS iptal diye birşey de yok, birinci devre MPLS olabilir, ikinci devre 4G yada DSL olabilir...kurgu size kalmış.

MPLS 'te dikkat etmeniz gereken birkaç önemli konu, tüm şubelerden gelecek toplam trafiği karşılayacak kadar merkez tarafında hattınız olması gerekiyor. Merkez tarafta RL yedekli bir mimari tercih edebilirsiniz.

yB

Yılmaz Bey çok teşekkür ederim cevabınız için

Mpls devresi üzerinden İpsec Vpn basar isem performans ile ilgili verdiginiz bilgi için teşekkür ederim.
Yazılımlarımız maalesef Web tabanlı değil. O yüzden 5 % - 8 % performans kaybı bizi direkt olumsuz etkileyebilir.

Siz peki trafiğin dinlenmesine karşı kuşkularınız oluşuyor mu ? Bu yüzden de Mpls'ler üzerinden İpsec Vpn geçirdiniz mi ?

Şu an için tek bir şubede Mpls deniyoruz. Sadece Merkezdeki Veri tabanı uygulamalarını kullanacak trafik, buradan geçiyor. Şube, internetine kendi üzerindeki Metro Devresi üzerinden(Merkeze hiç gelmeden çıkıyor). Tabii maliyetli oluyor.

Siz şubelerin internete çıkışı olarak merkeze gelip çıkmasını mı önerirsiniz yoksa kendi lokallerinden çıkmasını mı daha benimsersiniz ?Siz nasıl uyguluyorsunuz ?

Sd-Wan ile ilgili olarak sanırım otomatik yedek devreye geçişleri sağlıyor. Peki bunun için her lokasyon'a Sd-Wan cihazı gerekecek mi ?

İsp,  bize "Sizin Mpls devresini 4.5 G ile yedekleriz otomatik" derler. Fakat Kontrol onlarda oluyor Sd-Wan ile farkı bu sanırım ?Siz yedekliliği Mpls devrelerde  nasıl sağlıyorsunuz ?  Geçişler otomatik mi oluyor ?Veya öneriniz ne olur ?

Bilginiz dahilindeyse ;Devlet Daireleri , büyük bankalar Merkez Şube yapısında Mpls'mi kullanırlar ?

En çok merak ettiğim, 50 Terminal veya daha az terminal olan şubelerinizde de Vlan yapmaya gerek duydunuz mu ?

Şimdiden çok teşekkür ederim.

Saygılarımla

merhaba,

MPLS yapısı gereği kapalı devre bir iletişim yöntemidir, sizin MPLS bulutunuza dışarıdan kimse giremez. Ancak hizmeti veren ISP nin router'ları üzerinden geçen trafik izlenebilir, ama Türkiye 'de daha önce örneğini duymadım, tüm operatörlere güvenebilirsiniz bu konuda.

Routing konusunda, tüm MPLS bölgelerinizden 0.0.0.0/0 routing 'ini merkeze yönlendirip merkezdeki firewall'a sokup oradan source interface mpls destination internet olarak kuralları yazarak kontrol sizde olarak internet erişimini yaptırmanızı ben tavsiye ederim. Kontrol ve yönetim kolaylığı. Ayrıca log tutmak için sadece bu merkezdeki firewall 'dan syslog olarak alarak kayıt edebilirsiniz.

SD-WAN birkaç seneye kadar herkesin birinci tercihi olacağına inanıyorum. SD-WAN için şubelerinizde evet 1 cihaz konumlandırmanız gerekiyor. Burada en çok yapılan hata, aynı ISP'nin MPLS + 4,5 G internet i birlikte kullanılıyor. daha önceki örneklerde çok defa gördük ISP'de sorun olduğunda tüm şebekesi etkilenebiliyor. Bu yüzden SD-WAN yapıyorsanız MPLS-ME A ISP 'den, 4,5G Mobil B ISP'den, Bakır ADSL-VDSL C ISP'den alarak kurulan yapılar en doğru ve kararlı yapılar oluyor.

Kamu ve Bankalar ile ilgili altyapılara bu case'de girmeye gerek yok, doğru örnekleme de olmaz.

VLAN yapısı çok farklı bir konu ve detaylı bir bilgi vermemişsiniz. Kısaca eğer şubelerinizdeki insanlar hedefte farklı sunuculara erişme durumu varsa şubelerinizde vlan yapılandırmanız iyi olur, herkes aynı hedefe gelecekse ve şubede ayrıca bir sunucu vb. yoksa tek vlan yapabilirsiniz. SD-WAN cihazı üzerinden DHCP ile VLAN'ları yönetebilirsiniz.

SD-WAN için kendiniz yatırım yapacaksanız Fortinet 'in giriş seviyesindeki cihazlarını deneyebilirsiniz, benim faworim 60E DSL/J , bu ürüne direk adsl-vdsl kablosunu arada bridge modem olmadan saplayabilirsiniz, ek olarak üzerine ME , devre, 4,5G devre sonlandırabilirsiniz.

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_DSL_Series.pdf  

yB

Merhaba Yılmaz Bey

Cevabınız için çok teşekkür ederim.

Geçen zaman zarfında şubeleri Mpls'e alıyoruz.Şimdilik memnunuz

Tekrar çok teşekkür ederim.

Saygılarımla

Yılmaz Bey merhaba,

Sorum size olacak,ISP yedekliliği ile birlikte SDWAN kullanımında o halde lokalden dışarı çıkarken farklı Source IP leri ile çıkılacak.Bunun istenmediği senaryolar olabilir mi? Tek IP ile çıkılsın denirse nasıl bir çözüm bulabiliriz acaba ?

Teşekkürler

https://www.cozumpark.com/sd-wana-giris-yuksek-kullanici-deneyimine-sahip-olun/
ör: https://www.capconnetworks.com/sd-wan-single-ip-failover-for-maximum-network-uptime

SD-WAN, Multi WAN gibi basit bir balancer tanımı değildir bacak, IP, uygulama bazlı olabilir tek IP de olabilir orada sağlayan çözümün yetenekleri önemlidir.