Smart Ethernet Switch alang sa Planet Earth

"Adunay daghang mga paagi sa paghimo og solusyon (aron masulbad ang usa ka problema), apan dili kanunay ang labing mahal ug / ug popular nga paagi mao ang labing epektibo!"

Pasiuna

Mga tulo ka tuig na ang milabay, sa proseso sa pagpalambo sa usa ka remote disaster recovery model, akong nasugatan ang usa ka babag nga wala dayon namatikdan - ang kakulang sa kasayuran mahitungod sa bag-ong orihinal nga mga solusyon alang sa network virtualization sa mga tinubdan sa komunidad. 

Ang algorithm sa naugmad nga modelo giplano sama sa mosunod: 

1. Ang usa ka hilit nga tiggamit nga nakontak kanako, kansang kompyuter sa makausa nagdumili sa pag-boot, nga nagpakita sa mensahe nga "system disk not detected / not formatted", nag-load niini gamit ang life USB. 
2. Atol sa proseso sa pag-boot, ang sistema awtomatik nga nagkonektar sa usa ka luwas nga pribadong lokal nga network, diin, dugang pa sa iyang kaugalingon, adunay usa ka lugar nga trabahoan sa administrador, sa niini nga kaso usa ka laptop, ug usa ka NAS node. 
3. Unya nagkonektar ko - bisan sa pag-reanimate sa mga partisyon sa disk, o pagkuha sa datos gikan didto.

Sa sinugdan, gipatuman nako kini nga modelo gamit ang VPN server sa usa ka lokal nga router sa usa ka network ubos sa akong kontrol, unya sa usa ka giabangan nga VDS. Apan, sama sa kanunay nga mahitabo sumala sa unang balaod ni Chisholm, unya ang ulan molabay - ang network sa Internet provider "mahulog", unya ang mga panaglalis sa mga entidad sa negosyo - ang "enerhiya" sa service provider mawala ...

Busa, nakahukom ko nga unahon pagporma ang batakang mga kinahanglanon nga kinahanglang matuman sa gikinahanglang himan. Ang una mao ang desentralisasyon. Ikaduha, tungod kay ako adunay daghang ingon nga mga USB sa kinabuhi, ang matag usa kanila adunay usa ka lahi nga hilit nga network. Aw, ang ikatulo usa ka dali nga koneksyon sa network sa lainlaing mga aparato ug yano nga pagdumala niini, lakip na kung ang akong laptop mabiktima usab sa balaod nga gihisgutan sa ibabaw.

Pinasukad niini, ug pagkahuman sa paggugol ug duha ug tunga ka bulan sa praktikal nga panukiduki sa daghang dili kaayo angay nga mga kapilian, ako, sa akong kaugalingon nga peligro ug peligro, nakahukom nga sulayan ang lain nga himan gikan sa usa ka pagsugod nga wala nako nahibal-an sa panahon nga gitawag nga ZeroTier. Ang sa ulahi wala gayod magmahay.

Atol niining mga holiday sa Bag-ong Tuig, naningkamot nga masabtan kung ang sitwasyon sa sulod nausab sukad niadtong halandumon nga higayon, nagpahigayon ako og pinili nga pag-audit alang sa presensya sa mga artikulo niini nga hilisgutan, nga gikuha ang Habr isip tinubdan. Sa hangyo sa "ZeroTier" sa mga resulta sa pagpangita nga adunay tulo lamang ka mga artikulo nga naghisgot kaniya, ug dili usa, labing menos sa usa ka mubo, apan paghulagway. Ug kini bisan pa sa kamatuoran nga taliwala kanila adunay usa ka hubad sa usa ka artikulo nga gisulat mismo sa magtutukod sa ZeroTier, Inc. — Adam Ierymenko.

Ang mga resulta nakapahigawad ug nag-aghat kanako sa pagsugod sa paghisgot mahitungod sa ZeroTier sa mas detalyado, nga nagluwas sa modernong "mga tigpangita" gikan sa pag-adto sa samang rota nga akong giadtoan.

Busa unsa ka?

Gipahimutang sa developer ang ZeroTier isip usa ka intelihenteng Ethernet switch alang sa planetang Yuta. 

"Kini usa ka giapod-apod nga hypervisor sa network nga gitukod sa ibabaw sa usa ka cryptographically secure nga global peer-to-peer (P2P) network. Sama sa usa ka corporate SDN switch, usa ka himan nga gidisenyo sa pag-organisar sa mga virtual nga network sa mga pisikal, lokal ug global, nga adunay abilidad sa pagkonektar sa halos bisan unsang aplikasyon o device.

Kini labaw pa sa usa ka paghulagway sa pamaligya, karon bahin sa mga bahin sa teknolohiya.

▍ Kinauyokan: 

Ang ZeroTier Network Hypervisor usa ka standalone network virtualization engine nga nagsundog sa Ethernet network nga susama sa VXLAN sa ibabaw sa usa ka global encrypted peer-to-peer (P2P) network.

Ang mga protocol nga gigamit sa ZeroTier orihinal, bisan kung parehas ang hitsura sa VXLAN ug IPSec, ug gilangkuban sa duha nga magkabulag nga konsepto apan adunay kalabotan nga mga layer: VL1 ug VL2.

→ Link sa Dokumentasyon

Ang ▍VL1 kay usa ka batakang peer-to-peer (P2P) transport layer, usa ka matang sa "virtual cable".

"Ang usa ka global data center nanginahanglan usa ka 'global cabinet' nga adunay mga kable."

Sa naandan nga mga network, ang L1 (OSI layer 1) nagtumong sa aktuwal nga mga kable o wireless radio nga nagdala sa datos ug ang pisikal nga transceiver chips nga modulate ug demodulate niini. Ang VL1 usa ka peer-to-peer (P2P) nga network nga nagbuhat sa parehas, gamit ang encryption, authentication, ug uban pang mga trick sa network aron mahikay ang mga virtual nga kable kung kinahanglan.

Dugang pa, kini awtomatiko, dali ug wala mag-apil sa tiggamit nga naglansad usa ka bag-ong ZeroTier node.

Aron makab-ot kini, ang VL1 giorganisar nga parehas sa sistema sa ngalan sa domain. Sa kasingkasing sa network mao ang usa ka grupo sa mga magamit kaayo nga root server, kansang papel parehas sa DNS root name server. Sa pagkakaron, ang nag-unang (planetary) root server gidumala sa developer - ZeroTier, Inc. ug gihatag isip libre nga serbisyo. 

Bisan pa, posible nga makahimo og mga custom nga root server (mga bulan) nga nagtugot kanimo sa:

• pagpakunhod sa pagsalig sa ZeroTier, Inc. imprastraktura; Link sa Dokumentasyon
• pagdugang sa pagka-produktibo pinaagi sa pagpamenos sa mga paglangan; 
• magpadayon sa pagtrabaho sama sa naandan kung mawala ang koneksyon sa Internet.

Sa sinugdan, ang mga node magsugod nga walay direktang koneksyon sa usag usa. 

Ang matag peer sa VL1 adunay talagsaon nga 40-bit (10 hexadecimal digit) nga ZeroTier nga adres, nga, dili sama sa mga IP address, usa ka encrypted identifier nga walay impormasyon sa ruta. Kini nga adres gikalkulo gikan sa publikong bahin sa publiko/pribado nga pares nga yawe. Ang adres sa usa ka node, publikong yawe, ug pribado nga yawe maghiusa sa paghimo sa iyang pagkatawo.

Member ID: df56c5621c  
            |
            ZeroTier address of node

Sama sa alang sa pag-encrypt, kini usa ka okasyon alang sa usa ka lahi nga artikulo.

→ Link sa Dokumentasyon

Aron ma-establisar ang komunikasyon, ang mga kaedad una nga nagpadala sa mga pakete nga "pataas" sa punoan sa punoan sa server, ug samtang kini nga mga pakete nagbiyahe sa network, gisugdan nila ang random nga paghimo sa mga link sa unahan sa dalan. Ang kahoy kanunay nga naningkamot nga "mahugno ang kaugalingon" aron ma-optimize ang kaugalingon alang sa laraw sa ruta nga gitipigan niini.

Ang mekanismo sa pag-set up sa usa ka peer-to-peer nga koneksyon mao ang mosunod:

1. Gusto sa Node A nga magpadala usa ka pakete sa Node B, apan tungod kay wala kini nahibal-an ang direkta nga agianan, gipadala kini sa agos sa Node R (ang bulan, ang root server sa gumagamit).
2. Kung ang node R adunay direktang koneksyon sa node B, ipasa niini ang pakete didto. Kay kon dili, ipadala niini ang packet upstream sa dili pa makaabot sa planetary roots. Ang mga planetary root nahibalo sa tanang node, mao nga sa ngadtongadto ang packet moabot sa node B kon online.
3. Ang Node R nagpadala usab ug mensahe nga gitawag ug "rendezvous" ngadto sa Node A nga adunay sulod nga mga timailhan kon unsaon kini pagkab-ot sa Node B. Sa laing bahin, ang root server, nga nagpasa sa packet ngadto sa Node B, nagpadala ug "rendezvous" nga nagpahibalo niini kon unsaon kini pagkab-ot sa Node B. Node A.
4. Ang mga host A ug B nakadawat sa ilang mga rendezvous nga mensahe ug misulay sa pagpadala sa mga mensahe sa pagsusi sa usag usa sa pagsulay sa paglapas sa NAT o stateful firewall nga ilang masugatan sa dalan. Kung kini molihok, nan ang usa ka direkta nga koneksyon natukod, ug ang mga pakete dili na moadto sa "mga tanaman".

Kung ang usa ka direkta nga koneksyon mapakyas, ang komunikasyon magpadayon pinaagi sa relay ug direkta nga mga pagsulay sa koneksyon magpadayon hangtod nga makab-ot ang usa ka malampuson nga resulta. 

Ang VL1 usab adunay uban nga mga bahin alang sa pag-establisar og direktang koneksyon, lakip ang LAN peer discovery, port prediction alang sa pag-agi sa simetriko nga IPv4 NATs, ug dayag nga port mapping gamit ang uPnP ug/o NAT-PMP kung anaa sa lokal nga pisikal nga LAN.

→ Link sa Dokumentasyon

▍VL2 - VXLAN-sama sa Ethernet network virtualization protocol nga adunay mga gimbuhaton sa pagdumala sa SDN. Pamilyar nga palibot sa komunikasyon alang sa OS ug mga aplikasyon…

Dili sama sa VL1, ang paghimo sa mga VL2 network (VLANs) ug pagkonektar sa mga node ngadto kanila, ingon man ang pagdumala niini, nagkinahanglan og direktang partisipasyon gikan sa user. Mahimo niya kini sa tabang sa usa ka controller sa network. Sa tinuud, kini usa ka regular nga ZeroTier node, diin ang mga function sa controller gidumala sa duha ka paagi: direkta, pinaagi sa pagbag-o sa mga file, o, ingon nga girekomenda sa developer, gamit ang gipatik nga API. 

Kini nga paagi sa pagdumala sa ZeroTier virtual network dili kaayo kombenyente alang sa usa ka yano nga tawo, busa adunay daghang mga GUI:
 

• Usa gikan sa developer nga ZeroTier, magamit isip SaaS public cloud solution nga adunay upat ka mga plano sa suskrisyon, lakip ang libre, apan limitado sa gidumala nga mga device ug suporta nga lebel
• Ang ikaduha gikan sa usa ka independente nga developer, medyo gipasimple sa pagpaandar, apan magamit isip usa ka pribado nga open source nga solusyon, alang sa on-premise nga paggamit o sa cloud resources.

Ang VL2 layer gipatuman sa ibabaw sa VL1 ug gidala niini. Sa pagbuhat niini, napanunod niini ang VL1 endpoint encryption ug authentication, ug gigamit ang mga asymmetric key niini para sa pagpirma ug pag-validate sa kredensyal. Gitugotan ka sa VL1 nga ipatuman ang VL2 nga dili mabalaka bahin sa naglungtad nga pisikal nga topolohiya sa network. Sa ato pa, ang mga problema sa koneksyon ug kahusayan sa ruta mao ang mga buluhaton sa VL1. Importante nga masabtan nga walay koneksyon tali sa VL2 virtual network ug VL1 nga mga agianan. Sama sa VLAN multiplexing sa usa ka wired LAN, duha ka node nga nag-ambit sa daghang mga membership sa network nga managsama adunay usa ra ka VL1 nga agianan (virtual cable) sa taliwala nila.

Ang matag VL2 network (VLAN) giila pinaagi sa usa ka 64-bit (16 hexadecimal digit) nga ZeroTier network address, nga naglangkob sa 40-bit ZeroTier nga adres sa controller ug usa ka 24-bit nga numero nga nagpaila sa network nga gihimo sa maong controller.

Network ID: 8056c2e21c123456
            |         |
            |         Network number on controller
            |
            ZeroTier address of controller

Kung ang usa ka node moapil sa usa ka network o mangayo usa ka update sa configuration sa network, nagpadala kini usa ka mensahe sa hangyo sa configuration sa network (pinaagi sa VL1) sa controller sa network. Gigamit dayon sa controller ang VL1 nga adres sa host aron makit-an kini sa network ug ipadala kini sa angay nga mga sertipiko, kredensyal, ug kasayuran sa pag-configure. Gikan sa punto sa panglantaw sa VL2 virtual network, ang VL1 ZeroTier nga mga adres mahimong isipon nga mga numero sa pantalan sa usa ka dako nga global nga virtual switch.

Ang tanan nga mga kredensyal nga gi-isyu sa mga tigkontrol sa network sa mga node sa miyembro sa usa ka gihatag nga network gipirmahan gamit ang sekreto nga yawe sa controller aron ang tanan nga mga miyembro sa network mapamatud-an kini. Ang mga kredensyal adunay mga timestamp nga gihimo sa controller, nga nagtugot sa mga paryente nga pagtandi nga dili kinahanglan nga mokonsulta sa lokal nga orasan sa sistema sa host. 

Ang mga kredensyal gihatag lamang sa ilang mga tag-iya ug dayon ipadala sa mga kaedad nga gustong makigkomunikar sa ubang mga node sa network. Gitugotan niini ang network sa pag-scale sa dagkong mga gidak-on nga wala kinahanglana ang pag-cache sa daghang mga kredensyal sa mga node o kanunay nga pagkontak sa network controller.

Gisuportahan sa mga network sa ZeroTier ang multicasting pinaagi sa usa ka yano nga sistema sa pagmantala/pag-subscribe.

→ Link sa Dokumentasyon

Kung ang usa ka node gusto nga makadawat usa ka multicast alang sa usa ka partikular nga grupo sa pag-apod-apod, gipahibalo niini ang pagkamiyembro sa kana nga grupo sa ubang mga miyembro sa network nga nakigsulti niini ug sa tigkontrol sa network. Kung gusto sa usa ka node nga magpadala usa ka multicast, dungan nga gi-access ang cache sa bag-ong mga post ug kanunay nga nangayo ug dugang nga mga post.

Ang usa ka sibya (Ethernet ff: ff: ff: ff: ff: ff) giisip nga usa ka multicast nga grupo diin ang tanan nga mga miyembro nag-subscribe. Mahimo kini nga ma-disable sa lebel sa network aron makunhuran ang trapiko kung dili kinahanglan. 

Ang ZeroTier nagsunod sa usa ka tinuud nga switch sa Ethernet. Kini nga kamatuoran nagtugot sa asosasyon sa gimugna nga virtual network sa ubang Ethernet network (wired local area network, WiFi, virtual backplane, ug uban pa) sa lebel sa data link - gamit ang conventional Ethernet bridge.

Aron molihok isip usa ka tulay, ang tigkontrol sa network kinahanglan magtudlo sa usa ka host ingon usa. Kini nga laraw gipatuman alang sa mga hinungdan sa seguridad, tungod kay ang normal nga mga node sa network dili gitugotan nga magpadala trapiko gikan sa bisan unsang gigikanan gawas sa ilang MAC address. Ang mga node nga gitudlo isip mga tulay naggamit usab ug usa ka espesyal nga multicast algorithm mode nga mas agresibo ug gitumong uban kanila sa dihang nag-multicasting ug nagsundog sa tanang broadcast traffic ug ARP requests. 

Ang switch usab adunay katakus sa paghimo sa publiko ug ad-hoc network, usa ka mekanismo sa QoS ug usa ka editor sa mga lagda sa network.

▍Knot:

Zero Tier One usa ka serbisyo nga nagdagan sa mga laptop, desktop, server, virtual machine, ug mga sudlanan nga naghatag koneksyon sa usa ka virtual network pinaagi sa usa ka virtual network port, parehas sa usa ka kliyente sa VPN. 

Kung na-install ug nagdagan na ang serbisyo, mahimo ka makakonekta sa mga virtual network gamit ang ilang 16-character nga adres. Ang matag network makita isip usa ka virtual network port sa sistema nga naglihok sama sa usa ka regular nga Ethernet port.

Ang ZeroTier One sa pagkakaron anaa alang sa mosunod nga OS ug mga sistema.

OS:

• Microsoft Windows - MSI installer x86/x64
• MacOS - PKG installer
• Apple iOS - App Store
• Android — Play Store
• Linux - DEB/RPM
• FreeBSD - FreeBSD nga pakete

NAS:

• Synology NAS
• QNAP NAS
• WD MyCloud NAS

Ang uban:

• Docker - docker file
• OpenWRT - pantalan sa komunidad
• Pag-embed sa app SDK (libzt)

Sa pag-summarize sa tanan sa ibabaw, akong timan-an nga ang ZeroTier usa ka maayo kaayo ug paspas nga himan alang sa paghiusa sa imong pisikal, virtual o panganod nga mga kahinguhaan ngadto sa usa ka komon nga lokal nga network, nga adunay posibilidad sa pagbahin niini ngadto sa mga VLAN ug ang pagkawala sa usa ka punto sa kapakyasan. .

Niini nga bahin sa teoretikal nga bahin sa pormat sa una nga artikulo bahin sa ZeroTier alang sa Habr - tingali tanan! Sa sunod nga artikulo, nagplano ako nga ipakita sa praktis ang paghimo sa usa ka virtual nga imprastraktura sa network nga gibase sa ZeroTier, diin ang usa ka VDS nga adunay usa ka pribado nga open source nga template sa GUI gamiton ingon usa ka controller sa network. 

Minahal nga magbabasa! Gigamit ba nimo ang ZeroTier nga teknolohiya sa imong mga proyekto? Kung dili, unsa nga mga himan ang imong gigamit sa pagkonektar sa imong mga kapanguhaan sa usa ka komon nga network?

Source: www.habr.com