Protokoły VPN
Protokoły VPN
- IPsec (Internet Protocol security)
- SSL (Secure Socket Layer)
- GRE (Generic Routing Encapsulation)
- GRE 6to4 (IPv6 over IPv4)
- DMVPN (Dynamic Multipoint VPN)
- GETVPN (Group Encrypted Transport VPN)
- EVPN (Easy Virtual Private Network)
- FLEXVPN
Rodzaje sieci VPN
- VPN Site-to-site
- VPN Remont-access
Wartość MTU a Tunel GRE
- PMTUD (Path MTU Discovery) – U-standaryzowana technika automatycznego wykrywania najwyższej wartości MTU, na drodze pomiędzy dwoma komunikującymi się urządzeniami. Opisana w referencji RFC 1191 dla protokołu IPv4 oraz w referencji RFC 1981 dla protokołu IPv6. Dodatkowa referencja RFC 4821 opisuje rozszerzenie dotyczące obsługi protokołu ICMP. Protokół PMTUD pomaga zniwelować problem fragmentacji pakietów IPv4.
- Protokół GRE wykorzystuje protokół IP 47.
| Tunnel Type | Tunnel Headers Size |
| GRE without IPsec | 24 Bytes |
| DES/3DES IPsec (Transport mode) | 18-25 Bytes |
| DES/3DES IPsec (Tunnel mode) | 38-45 Bytes |
| GRE/DMVPN + DES/3DES | 42-49 Bytes |
| GRE/DMVPN + AES + SHA-1 | 62-77 Bytes |
Wielkość pakietu IP enkapsulowanego przez tunel GRE
Wsparcie protokołu GRE dla protokołów routingu dynamicznego
- Protokół GRE wspiera wszystkie rodzaje ruchu sieciowego (Unicast, Multicast oraz Broadcast) dzięki czemu jest wstanie przesyłać wiadomości protokołów routingu dynamicznego.
Wstęp do protokołu DMVPN
Technologie oraz rozwiązania wykorzystywane przez DMVPN
- GRE (Generic Routing Encapsulation) – Zapewnia łączność na poziomie warstwy trzeciej, pomiędzy dwoma bądź też większą liczbą sieci (mGRE). Protokół DMVPN wykorzystuje enkapsulacje mGRE (Multipoint GRE) wraz z protokołami routingu dynamicznego, tworząc połączenia zwane „Overlay Network” prowadzone nad przeważnie publiczną siecią IP, zwaną „Underlay Network”.
- NHRP (Next Hop Resolution Protocol) – Tworzy bazę publicznych oraz prywatnych adresów IP, należących do wszystkich urządzeń Spoke z jednej instancji protokołu DMVPN.
- Transportation Independence – Połączenia DMVPN są nawiązywane niezależnie od wybranej technologii WAN, dzięki czemu mogą korzystać z połączań PPP, Frame Relay, MPLS, czy zwykłego łącza Internetowego.
- Zero-Touch Provisioning – Dodawanie nowych oddziałów zdalnych (Spoke), nie wymaga interwencji w obecną konfigurację oddziału głównego (Hub). Ponadto umożliwia zastosowanie szablonów konfiguracyjnych dla biur zdalnych z wymiennymi danymi dotyczącymi np. adresów IP.
- Scalable Deployment – Minimalna ilość ręcznie konfigurowanych tuneli DMVPN, umożliwia stworzenie rozbudowanej sieci połączeń pomiędzy oddziałami zdalnymi (Spoke) a odziałem głównym (Hub), oraz automatyczne nawiązanie połączeń wirtualnych bezpośrednio pomiędzy poszczególnymi oddziałami zdalnymi (Spoke). Niezależnie od ilości posiadanych ruterów fizycznych, logicznych bądź wirtualnych.
- Spoke-to-Spoke Tunnels – Zapewnia pełną łączność pomiędzy oddziałami zdalnymi (Spoke to Spoke) przy zastosowaniu jedynie podstawowej konfiguracji (Spoke to Hub). Połączenia wirtualne pomiędzy końcówkami (Spoke to Spoke) są nawiązywane dynamicznie bez strat w przesyłanej transmisji danych.
- Flexible Network Topologies – DMVPN nie przyjmuje sztywnych założeń odnośnie płaszczyzny Control Plane oraz Data Plane, umożliwiając tworzenie topologii cechujących się wysokim stopniem odporności oraz rozproszenia, pozwalając tym samym na uniknięcie pojedynczego punktu awarii. Z drugiej strony, protokół DMVPN może być używany w modelu scentralizowanym.
- Multiprotocol Support – DMVPN zapewnia wsparcie dla protokołów IPv4, IPv6, MPLS, OTV (Overlay Transport Virtualization) oraz innych protokołów.
- Multicast Support – DMVPN umożliwia przepływ ruchu Multicast na interfejsach tunelowych mGRE.
- Adaptable Connectivity – Rutery wspierające protokół DMVPN mogą nawiązać pomiędzy sobą łączność nad punktem translacji adresów NAT (Network Address Translation). Ponadto urządzenia znajdujące się w oddziałach zdalnych mogą dynamicznie pobierać adresacje IP za pomocą protokołu DHCP (Dynamic Host Configuration Protocol).
- Standardized Building Blocks – DMVPN wykorzystuje ustandaryzowane protokoły takie jak: NHRP, GRE bądź IPsec.
DMVPN a protokoły routingu dynamicznego
- Protokół DMVPN wspiera następujące protokołu
routingu dynamicznego:
- EIGRP, OSPF oraz BGP.
Zaawansowane zagadnienia związane z protokołem DMVPN
NHRP Unique
- Każdy ruter NHC zarejestrowany na serwerze NHS, posiada przypisany adres IP tunelu GRE, wraz z odpowiadającym mu adresem sieci NBMA. Wpisy te oznaczone flagą “Unique”, są widoczne w wydruku komendy [show ip nhrp adres-IP], związku z tym nie mogą być zmienione, a wszelka interwencja w skonfigurowany adres NBMA zarejestrowanego rutera NHC, spowoduje wystąpienie błędu [%NHRP-3-PAKREPLY: Recive Registration Reply packet with error – unique address registred already (14)].
Dodaj komentarz