Построение сети территориально-распределённых филиалов с применением DMVPN

Схема сети территориально-распределённых филиалов на базе технологии DMVPN

Описание

Эффективная работа крупных организаций — коммерческих холдингов, финансовых и государственных структур — во многом зависит от возможности объединить распределённые филиалы в единую виртуальную защищённую сеть. Для этих целей зачастую используется топология звезда, где Hub — маршрутизатор в центральном офисе, Spoke — маршрутизатор в филиалах. Подразделения обмениваются данными с головным зданием через защищённые туннели.

Классическая реализация этой схемы на основе site-to-site VPN имеет серьёзный недостаток — статические туннели необходимо вручную настраивать для связи узлов с центральным офисом и между собой, что приводит к увеличению объёма конфигураций, количества настраиваемых устройств, времени внедрения и росту числа ошибок. В организациях с крупной разветвлённой инфраструктурой — например, в банковской сфере с десятками тысяч банкоматов, такие ограничения становятся критическими.

Эту задачу решает более универсальный и удобный метод построения виртуальной сети — использование технологии Dynamic Multipoint VPN (DMVPN), которую поддерживают сервисные маршрутизаторы серии ESR. В 3 квартале 2025 года линейку пополнили две высокопроизводительные новинки — ESR-3250 и ESR-3350. Рассмотрим наше решение подробнее.

С подробным дизайн-гайдом по созданию виртуальной сети на основе технологии DMVPN можно ознакомиться в разделе Eltex.Guides.

Архитектура решения

Для организации защищённых каналов связи между центральным офисом и удалёнными филиалами мы используем технологию DMVPN. Этот подход обеспечивает более масштабируемую и гибкую альтернативу традиционным связям site-to-site, сокращая объём ручных настроек и ускоряя развёртывание сети.

Ключевым преимуществом DMVPN является возможность устанавливать прямые динамические туннели между двумя Spoke-маршрутизаторами, обеспечивая оптимальный маршрут трафика внутри сети. Масштабирование сети происходит без необходимости вносить изменения на уже действующих маршрутизаторах: при добавлении нового узла конфигурируется только он сам. Технология также поддерживает динамическое назначение туннельных IP-адресов на Spoke-маршрутизаторах, что упрощает управление удалёнными точками.

DMVPN — это «сборная» технология, которая включает:

IPsec – технология, которая реализует шифрование канала связи, что обеспечивает безопасную передачу данных между офисами;
GRE-туннелирование – его использование осуществляет поддержку multicast и broadcast трафика в каналах связи между филиалами, что позволяет использовать всю широту сетевых протоколов, работающих в корпоративных сетях;
NHRP – протокол, лежащий в основе технологии DMVPN, позволяющий минимизировать конфигурацию на маршрутизаторах в головном офисе, а также строить временные туннели между дочерними офисами. Это уменьшает нагрузку на маршрутизаторы в головном офисе и сокращает задержки в канале связи при коммуникации между офисами.

В DMVPN выделяют три типа взаимодействия Spoke и Hub – так называемые фазы.

DMVPN-Hub

Маршрутизаторы в роли DMVPN-Hub с точки зрения протокола NHRP выступают в роли NHS (Next Hop Server). Они принимают регистрации новых участников облака DMVPN и позволяют организовывать прямые туннели между участниками (Spoke-to-Spoke) во второй и третьей фазе. Таким образом, основная часть конфигурации NHRP на Hub связана с обработкой входящих обращений от Spoke-маршрутизаторов.

В составе комплексного решения по построению распределённой сети в роли Hub мы используем маршрутизаторы ESR-3250 и ESR-3350. При шифровании трафика они обеспечивают скорость передачи данных до 5,3 Гбит/с (ESR-3250) и 14,5 Гбит/с (ESR-3350) в режиме IMIX.

Обе модели во многом схожи между собой, но отличаются производительностью. ESR-3250 обеспечивает маршрутизацию и фильтрацию трафика на скорости более 50 Гбит/с, а ESR-3350 — более 100 Гбит/с.

Маршрутизаторы поддерживают коммутацию данных по меткам (MPLS), что позволяет строить MPLS-сети поверх DMVPN. Дополнительно устройства могут полноценно выполнять функции межсетевого экрана. Для этого реализован широкий набор механизмов безопасности (IPS/IDS, AppControl в Firewall, Web Filtering и др.)

Кластеризация осуществляется в режиме Active/Standby (1+1). Это обеспечивает непрерывную работу сервисов даже при отказе отдельных узлов.

Для администрирования доступны как классические инструменты (CLI, SNMP), так и система управления ECCM. Последняя автоматизирует конфигурирование, обновление ПО и мониторинг оборудования.

DMVPN-Spoke

Модели ESR-15^®, ESR-30, ESR-31 применяются в роли Spoke — для подключения небольших и средних филиалов. Они также поддерживают DMVPN, IPsec и MPLS, обеспечивая надёжную связь с центральным офисом.

Хорошей иллюстрацией применения решения является банковский сектор, где необходимо объединить филиалы с центральным офисом и обеспечить безопасное подключение удалённых банкоматов к ЦОД. Рассмотрим, как это выглядит на примере.

Общая схема решения

sxema-1-faza-1-dmvpn-podkliucenie-bankomatov-k-cod

sxema-2-faza-3-dmvpn-podkliucenie-regionalnyx-filialov-k-centralnomu-ofisu

Схема 1. Фаза 1 DMVPN – подключение банкоматов к ЦОД

Одна из задач банков – обеспечить защищённое и централизованное подключение большого количества банкоматов, распределённых по городу, региону или стране. Для этого используется технология DMVPN в фазе 1.

В данном случае Hub (например, маршрутизатор ESR-3250) выступает в качестве центральной точки, к которой напрямую подключаются все удалённые узлы сети – банкоматы. Они оснащаются компактными маршрутизаторами – в нашем решении используются ESR-15 или ESR-15R, которые работают в роли Spoke. Каждый Spoke подключается к Hub, используя GRE туннель, защищённый технологией IPsec. Благодаря чему сохраняются целостность и конфиденциальность данных при передаче через публичные сети. Подключение и регистрация Spoke-устройств на Hub осуществляется при помощи протокола NHRP.

В такой архитектуре соединения Spoke-to-Spoke отсутствуют. Это позволяет централизованно обрабатывать все транзакции и служебный трафик в ЦОД, что упрощает администрирование и даёт полный контроль над безопасностью операций. Архитектура удобна в сценариях, когда нет необходимости прямого взаимодействия между узлами: у Spoke-устройств простая конфигурация и минимальная таблица маршрутов (часто только дефолтный маршрут до Hub). Добавление новых Spoke не требует настройки на Hub – центральный маршрутизатор принимает регистрацию с помощью NHRP.

Схема 2. Фаза 3 DMVPN – подключение региональных филиалов к центральному офису

Когда перед банком стоит задача объединить десятки региональных филиалов в единую сеть с возможностью не только подключаться к центральному офису, но и напрямую взаимодействовать между собой, применяется технология DMVPN в фазе 3.

В этой архитектуре центральный узел (Hub), например, маршрутизатор ESR-3350 в головном офисе, по-прежнему выполняет роль опорной точки: он остаётся NHS, а также обеспечивает терминацию и шифрование туннелей IPsec. Однако в отличие от фазы 1, где весь трафик шёл только через Hub, и фазы 2, в которой для установки Spoke-to-Spoke соединения необходимо «знакомство» через Hub, в фазе 3 маршрутизация становится максимально гибкой и оптимизированной.

Региональные офисы оснащаются маршрутизаторами – в нашем решении это ESR-30 или ESR-31. Они выступают в роли Spoke. При необходимости обращения одного филиала к другому с помощью протокола NHRP устанавливается Spoke-to-Spoke туннель. Например, если банковское отделение в Новосибирске синхронизирует данные с офисом в Омске, основная часть трафика пойдёт напрямую, минуя Hub. Это снижает задержки и уменьшает нагрузку на оборудование головного центра.

Фаза 3 позволяет сохранить баланс между централизованным управлением и эффективностью. Прямые динамические туннели создаются между филиалами по мере необходимости. При этом ключевые сервисы и данные (CRM, процессинг, бухгалтерия) остаются в центральном офисе и доступны по защищённым каналам.