Abstract
The subject of this diploma thesis is to design architecture and develop implementation of
a flexible, scalable and secure system for managing virtual private networks, which would
provide networking of otherwise possibly disconnected routers and their respective local
networks. While the project is primarily focused around routers of Advantech manufacturer,
support of additional types of devices may be added later on.
Abstrakt
Tato práce se zabývá návrhem architektury a implementací flexibilního, škálovatelného a
bezpečného systému pro správu virtuálních privátních sítích, který by umožnil propojení
jinak nedostupných routerů a zařízení v jejich lokálních sítích. Ačkoli je systém primárně
určen pro použití s routery od výrobce Advantech, podpora jiných zařízení může být později
přidána.
Keywords
VPN, networking, routing, configuration
Klíčová slova
VPN, sítě, směrování, konfigurace
Reference
FABIÁNEK, Ondřej. VPN Controller. Brno, 2019. Master’s thesis. Brno University of
Technology, Faculty of Information Technology. Supervisor Ing. Matěj Grégr, Ph.D.

Rozšířený abstrakt
Tato diplomová práce popisuje návrh, implementaci a zhodnocení systému pro propojování
směrovačů a zařízení za nimi do dynamicky konfigurovatelných virtuálních sítí. Pro tyto
účely byly nastudovány existující nástroje pro konfiguraci vzdálených prvků a technologie
pro vytváření VPN sítí. Pozornost byla též věnována podobnému již existujícímu řešení s
názvem SmartCluster.
Systém byl navržen jako hvězdicová topologie, kde jednotlivé směrovače navazují spojení
s centrálním prvkem, který určuje, kdo může komunikovat s kým. Pro jednotlivé směrovače
byla vyvinuta aplikace ve formě tzv. uživatelského modulu, což je speciální balíček, určený
pro vkládání rozšiřujícího softwaru do routerů od výrobce Advantech. Tato aplikace ob-
starává navázání komunikace s centrálním prvkem (prostřednictvím OpenVPN) a následně
zpracovává příchozí požadavky.
Jako autentizační mechanismus jsou použity X.509 certifikáty, jenž jsou distribuovány
prostřednictvím další entity, zvané Dispatch server, ke které se každý centrální prvek reg-
istruje, a jejímž certifikátem disponuje každý směrovač (je součástí instalace uživatelského
modulu).
Skrze centrální prvek lze směrovače dynamicky dělit do skupin a konfigurovat tak, s
kým mohou komunikovat. Pro každou skupinu lze navíc vkládat firewallová pravidla, jenž
budou ovlivňovat pouze komunikaci v rámci té dané skupiny.
Každý směrovač pro připojení do systému nahlásí seznam svých rozhraní a jejich ak-
tuální konfiguraci. Tuto lze kdykoli prostřednictvím centrálního prvku měnit (mezi nas-
tavitelné položky spadá např. konfigurace DHCP či IP adresy rozhraní). Každé rozhraní
lze navíc nastavit do jednoho ze 4 následujících módů, ovlivňujícího za ním se nacházející
zařízení:
∙ Local – zařízení nemají přístup do virtuální sítě a nejsou z ní adresovatelné
∙ Public – zařízení mají přístup do virtuální sítě a jsou adresovatelné jejich lokálními
IP adresami.
∙ 1:1 NAT – zařízení mají přístup do virtuální sítě a jsou adresovatelné pod přidělenými
virtuálními adresami. Toto umožňuje, aby spolu komunikovaly prvky, které by v
případě public módu nemohly, protože mají totožné lokální IP adresy.
∙ Ignored – zařízení nemají přístup do virtuální sítě a centrální prvek nebude sahat
na konfiguraci tohoto rozhraní.
V případě změny konfigurace zařízení, jenž je momentálně offline, si systém změny pamatuje
a doručí je do směrovače v momentě jeho opětovného připojení.
Pro každé nově přidané zařízení je vygenerováno URL pro přístup na jeho webové
rozhraní skrze existující tunel, prostřednictvím centrální entity, fungující jako proxy server.
Tohoto je docíleno skrze konfigurační soubory webového serveru.
Ke všem zařízení je vedeno množství statistik, zahrnující mimo jiné údaj o množství
procházejících dat (skrze tunel) a jeho aktuální status (zda-li je online).
Ačkoli výsledné řešení obsahuje i webové stránky (pro ovládání centrálního prvku), jejich
tvorba nebyla součástí této diplomové práce, je to produkt třetí strany a nebude v této práci
nijak diskutován.
Po dokončení popisovaného systému byla provedena řada zátěžových testů. Jedná se o
test se 100, 300 a se 600 (simulovanými) směrovači. Pro potřeby těchto testů byla vytvořena
speciální verze uživatelského modulu, jenž je spustitelná na PC. Tento upravený modul

byl následně na několika fyzických strojích spuštěn v mnoha instancích, prostřednictvím
virtualizačního softwaru zvaného Docker. Z naměřených údajů vyplynulo, že systém je velmi
dobře škálovatelný z hlediska zabrané paměti a procesorové zátěže. Nejslabším prvkem se
ukázala být špatně optimalizovaná databáze, což při některých uživatelských akcích nad
velkými počty zařízení způsobuje špatnou odezvu uživatelského rozhraní.
Do budoucna je možné systém rozšířit i o jiné typy spravovaných zařízení. Řadu aspektů
systému lze dále výrazně optimalizovat a zkrátit tak trvání některých operací.

Download 1.67 Mb.

Do'stlaringiz bilan baham: