Dynamická vícebodová virtuální privátní síť - Dynamic Multipoint Virtual Private Network

Dynamická vícebodová virtuální privátní síť (DMVPN)^[1] je dynamický tunelování forma a soukromá virtuální síť (VPN) podporováno na Cisco IOS -na základě směrovače a směrovače Huawei AR G3^[2]a podobně jako Unix operační systémy.

Výhody

DMVPN poskytuje schopnost vytvářet síť VPN s dynamickým uspořádáním sítí, aniž byste museli předem konfigurovat (staticky) všechny možné partnery koncových bodů tunelu, včetně IPsec (Zabezpečení internetovým protokolem) a ISAKMP (Internet Security Association a Key Management Protocol).^[3] DMVPN je původně nakonfigurován tak, aby vytvářel a síť typu hub-and-spoke statickou konfigurací rozbočovačů (hlavní stanice VPN) na paprskech není pro přijetí nových paprsků nutná žádná změna konfigurace na rozbočovači. Pomocí této počáteční sítě typu hub-and-paprsků lze tunely mezi paprsky dynamicky stavět na vyžádání (dynamic-mesh) bez další konfigurace na rozbočovačích nebo paprskech. Tato schopnost dynamické sítě zmírňuje potřebu jakéhokoli zatížení rozbočovače směrovat data mezi paprskovými sítěmi.

Technologie

Obecné zapouzdření směrování (GRE), RFC 1701, nebo vícebodové GRE, pokud jsou požadovány tunely paprsků ke paprskům
NHRP (next-hop Resolution Protocol), RFC 2332
IPsec (Internet Protocol Security) pomocí profilu IPsec, který je přidružen k rozhraní virtuálního tunelu v softwaru IOS. Veškerý provoz odeslaný tunelem je šifrované podle nakonfigurované zásady (sada transformace IPsec)
Směrovací protokol založený na IP, EIGRP, OSPF, RIPv2, BGP nebo ODR (Pouze DMVPN rozbočovač)^[4]

Interní směrování

Směrovací protokoly jako OSPF, EIGRP v1 nebo v2 nebo BGP jsou obvykle vedeny mezi centrem a paprskem, aby umožnily růst a škálovatelnost. Oba EIGRP a BGP povolit vyšší počet podporovaných paprsků na hub.^[5]

Šifrování

Stejně jako u GRE tunely, DMVPN umožňuje několik šifrování schémata (včetně žádných) pro šifrování dat procházejících tunely. Z bezpečnostních důvodů společnost Cisco doporučuje zákazníkům používat AES.^[6]

Fáze

DMVPN má tři fáze, které směrují data odlišně.

Fáze 1: Veškerý tok dat z paprsků do náboje a přes něj.
Fáze 2: Začněte s fází 1 a poté povolte tunely paprsků ke paprskům na základě poptávky a spouštěčů.
Fáze 3: Začíná fází 1 a zlepšuje škálovatelnost a má menší omezení než fáze 2.

Reference

^ Inženýři společnosti Cisco. „Dynamic Multipoint IPsec VPNs (Using Multipoint GRE / NHRP to Scale IPsec VPNs)“. Cisco. Cisco. Citováno 24. září 2017.
^ Konfigurace Huawei DSVPN
^ Kurniadi, S. H .; Utami, E .; Wibowo, F. W. (prosinec 2018). „Budování sítě Dynamic Mesh VPN pomocí routeru MikroTik“. Journal of Physics: Conference Series. 1140: 012039. doi:10.1088/1742-6596/1140/1/012039. ISSN 1742-6596.
^ Průvodce designem DMVPN: Použití směrovacího protokolu přes VPN
^ Průvodce designem DMVPN: Konfigurace směrovacího protokolu
^ Průvodce designem DMVPN: Osvědčené postupy a známá omezení

externí odkazy

Systémy Cisco
Průvodce designem společnosti Cisco DMVPN
Dynamické vícebodové IPsec VPN (použití vícebodového GRE / NHRP pro škálování IPsec VPN)
[1] Správa DMVPN
[2] Implementace protokolu NHRP s otevřeným zdrojovým kódem

Platný internetový koncept popisující DMVPN

[Cisco2006-1] Inženýři společnosti Cisco. „Dynamic Multipoint IPsec VPNs (Using Multipoint GRE / NHRP to Scale IPsec VPNs)“. Cisco. Cisco. Citováno 24. září 2017.

[2] Konfigurace Huawei DSVPN

[3] Kurniadi, S. H .; Utami, E .; Wibowo, F. W. (prosinec 2018). „Budování sítě Dynamic Mesh VPN pomocí routeru MikroTik“. Journal of Physics: Conference Series. 1140: 012039. doi:10.1088/1742-6596/1140/1/012039. ISSN 1742-6596.

[4] Průvodce designem DMVPN: Použití směrovacího protokolu přes VPN

[5] Průvodce designem DMVPN: Konfigurace směrovacího protokolu

[6] Průvodce designem DMVPN: Osvědčené postupy a známá omezení

[1]

[2]

[3]

[4]

[5]

[6]

Virtuální privátní sítě
Komunikační protokol	SSTP IPsec L2TP L2TPv3 PPTP Split tunelování DTLS SSL / TLS (Oportunistický: tcpcrypt )
Svobodný software	FreeLAN FreeS / WAN Libreswan n2n OpenConnect OpenIKED Openswan OpenVPN Sociální VPN SoftEther VPN strongSwan tcpcrypt cín VTun WireGuard Shadowsocks
Protokoly řízené dodavateli	Protokol předávání vrstvy 2 Přímý přístup
Proprietární software	Avast SecureLine VPN Check Point VPN-1 Klient VPN společnosti Cisco Systems ExpressVPN HideMyAss! Hola LogMeIn Hamachi Microsoft Forefront Unified Access Gateway NordVPN Soukromý přístup k internetu ProtonVPN PureVPN SaferVPN Tunnelbear
Vektory rizika	Software pro kontrolu obsahu Hloubková kontrola obsahu Hluboká kontrola paketů Blokování IP adres Výčet sítě Stavový firewall TCP reset útok Blokování VPN