Qu'est-ce qu'un tunnel EoIP ?

Le protocole EoIP (Ethernet over IP) est spécifique à MikroTik RouterOS et n'est pas un protocole standard universellement pris en charge par tous les équipements réseau. Peut-être que d'autres fournisseurs peuvent avoir des fonctionnalités similaires pour établir des tunnels Ethernet sur IP. La fonctionnalité la plus proche semble être Ethernet over VPN ou Ethernet over GRE.

Le tunneling Ethernet sur IP (EoIP) est un protocole qui crée un tunnel Ethernet entre deux routeurs par-dessus une connexion IP. Le tunnel EoIP peut s'exécuter via un tunnel IPIP, un tunnel PPTP ou toute autre connexion capable de transporter de l'IP.

Lorsque la fonction de pontage (bridge) du routeur est activée, tout le trafic Ethernet (tous les protocoles Ethernet) sera ponté comme s'il y avait une interface Ethernet physique et un câble entre les deux routeurs (avec le pontage activé). Ce protocole permet plusieurs schémas réseau possibles.

Configurations réseau avec des interfaces EoIP :

Spécificités techniques

Le protocole EoIP encapsule les trames Ethernet dans des paquets GRE (numéro de protocole IP 47) - (tout comme le PPTP) et les envoie vers le côté distant du tunnel EoIP.

Le tunnel-id est une méthode d'identification du tunnel. Il doit être unique pour chaque tunnel EoIP.

Le MTU devrait être réglé sur 1500 pour éliminer la fragmentation des paquets à l'intérieur du tunnel (ce qui permet de réaliser un pontage transparent entre des réseaux Ethernet, afin qu'il soit possible de transporter des trames Ethernet de taille normale via le tunnel).

Lorsqu'on réalise un pontage de tunnels EoIP, il est fortement recommandé de définir des adresses MAC uniques pour chaque tunnel, afin que les algorithmes de pontage fonctionnent correctement. Pour les interfaces EoIP, on peut utiliser des adresses MAC comprises entre 00:00:5E:80:00:00 et 00:00:5E:FF:FF:FF, que l'IANA a réservées à cet effet. En alternative, (et c'est ce qu'on a fait) il est possible de modifier le deuxième bit du premier octet pour transformer l'adresse auto-attribuée en une "adresse administrée localement", et ainsi utiliser n'importe quelle adresse MAC. L'essentiel est de garantir que les adresses sont uniques entre les hôtes connectés à un même pont.

Matériel

Un routeur Mikrotik RB4011 est utilisé pour regrouper tous les tunnels EoIP. Des routeurs mikrotik HEX POE Lite sont installés sur chaque site distant (NRO) et sont dédiés uniquement au contrôle d'accès et à la surveillance des NROs. Sur le HEX (qui sert de Switch Virtuel), on n'a ni serveur DHCP ni “networks”. Seul le DHCP client est activé puisque le serveur DHCP est propagé via le tunnel depuis le RB4011. De cette manière, toutes les caméras peuvent-être mise sur une seule console Unifi, laquelle est connectée au RB4011.

Dans un premier temps, les tunnels EoIP étaient montés directement sur les routeur en NROs. Cependant, cela représente plusieurs problèmes :

On a donc choisis un principe que j'affectionne particulièrement : un système = une fonction. Pour un certains nombres de raisons différentes ( coût, place...), il n'est pas toujours possible de le faire. Mais lorsque rien ne nous empêche de le faire, il vaut mieux le respecter. C'est pourquoi on a choisi d'isoler physiquement les tâches de sécurités en les déplaçant sur le routeur HEX plutôt que de les conserver sur les routeurs critiques.