I takt med att företag växer och får fler kontor ökar behovet av säkra, flexibla och skalbara nätverkslösningar. I denna del går vi igenom moderna VPN-tekniker som DMVPN, IPsec VTI och MPLS VPN, vilka används för att effektivt koppla samman flera platser över publika eller privata nätverk.
Dynamic Multipoint VPN (DMVPN)
Traditionella site-to-site IPsec-VPN:er och GRE över IPsec fungerar bra när endast ett fåtal platser behöver sammankopplas säkert. Men när företaget expanderar och fler platser ska anslutas blir dessa lösningar otillräckliga, eftersom varje plats då måste konfigureras statiskt mot alla andra, eller mot en central nod.
Dynamic Multipoint VPN (DMVPN) är en Cisco-mjukvarulösning som möjliggör dynamisk och skalbar uppbyggnad av flera VPN-förbindelser. Precis som andra VPN-tekniker använder DMVPN IPsec för att skapa ett säkert transportlager över offentliga nätverk som internet.
DMVPN förenklar tunnelkonfigurationen och erbjuder ett flexibelt sätt att ansluta en central plats med flera filialkontor. Det bygger på en hub-and-spoke-topologi, där varje filial (spoke) upprättar en säker VPN-tunnel till den centrala noden (hub), som illustreras i figuren nedan:
DMVPN-tunnlar mellan hub och spoke
Varje plats konfigureras med Multipoint Generic Routing Encapsulation (mGRE). mGRE-tunnelgränssnittet gör det möjligt att använda ett enda GRE-interface för att dynamiskt stödja flera IPsec-tunnlar. Det innebär att när en ny plats behöver en säker anslutning, fungerar redan existerande konfiguration på hubben – ingen ny konfiguration krävs.
Dessutom kan spoke-platser få information om varandra via hubben och därmed skapa virtuella tunnelkopplingar spoke-till-spoke, som visas i figuren:
DMVPN hub-till-spoke och spoke-till-spoke tunnlar
IPsec Virtual Tunnel Interface (VTI)
Likt DMVPN förenklar IPsec Virtual Tunnel Interface (VTI) konfigurationen vid anslutning av flera platser och för fjärråtkomst. Med IPsec VTI appliceras konfigurationen direkt på ett virtuellt gränssnitt, istället för att statiskt binda IPsec-sessionerna till ett fysiskt gränssnitt.
IPsec VTI kan sända och ta emot både IP-unicast och multicast i krypterad form. Det innebär att routingprotokoll kan användas direkt utan att GRE-tunnlar behöver konfigureras separat.
IPsec VTI kan implementeras både som punkt-till-punkt-förbindelser mellan platser eller i en hub-and-spoke-topologi.
MPLS VPN från tjänsteleverantörer
Traditionella WAN-lösningar som hyrda förbindelser, Frame Relay och ATM var till sin natur säkra. Idag använder tjänsteleverantörer MPLS (Multiprotocol Label Switching) i sina kärnnät. Trafiken styrs genom MPLS-nätet med hjälp av etiketter som fördelas mellan routrarna i förväg. Liksom äldre WAN-förbindelser är MPLS-trafik säker, eftersom olika kunders trafik är isolerad.
MPLS möjliggör hanterade VPN-lösningar från leverantören, där ansvaret för säker trafik mellan kundens sajter ligger hos tjänsteleverantören. Det finns två typer av MPLS-VPN som erbjuds:
Lager 3 MPLS VPN – Tjänsteleverantören deltar i kundens routing genom att etablera peering mellan kundens och leverantörens routrar. Kundens routinginformation distribueras därefter genom MPLS-nätet till andra platser.
Lager 2 MPLS VPN – Tjänsteleverantören deltar inte i kundens routing. Istället används en VPLS (Virtual Private LAN Service) för att emulera ett Ethernet-LAN över MPLS. Kundens routrar fungerar då som om de befann sig på samma multiaccessnät.
Nedan visas en figur som illustrerar en leverantör som tillhandahåller både Lager 2 och Lager 3 MPLS VPN-lösningar:
