Dinamik ko'p nuqtali virtual xususiy tarmoq - Dynamic Multipoint Virtual Private Network

Dinamik ko'p tarmoqli virtual xususiy tarmoq (DMVPN)[1] dinamik tunnel a shakli virtual xususiy tarmoq (VPN) yoqilgan Cisco IOS asoslangan routerlar va Huawei AR G3 routerlari[2]va Unix-ga o'xshash operatsion tizimlar.

Foyda

DMVPN barcha mumkin bo'lgan tunnel so'nggi nuqtalarini, shu jumladan oldindan sozlashni (statik) talab qilmasdan dinamik tarmoqli VPN tarmog'ini yaratish imkoniyatini beradi. IPsec (Internet Protocol Security) va ISAKMP (Internet Security Association va Key Management Protocol) tengdoshlari.[3] DMVPN dastlab a ni tuzish uchun tuzilgan hub va gaplashadigan tarmoq shpiklardagi uzellarni (VPN headends) statik sozlash orqali, yangi shpiklarni qabul qilish uchun markazdagi konfiguratsiyani o'zgartirish talab qilinmaydi. Ushbu dastlabki hub va tarmoqli tarmoqdan foydalanib, shpiklar orasidagi tunnellar dinamik ravishda talab asosida (dinamik-mash) uyalar yoki shpiklarda qo'shimcha konfiguratsiyasiz qurilishi mumkin. Ushbu dinamik-tarmoq qobiliyati, tarmoqdagi tarmoqlar orasidagi ma'lumotlarni yo'naltirish uchun markazga har qanday yuk tushishiga bo'lgan ehtiyojni engillashtiradi.

Texnologiyalar

  • Umumiy marshrutni inkapsulatsiya qilish (GRE), RFC  1701, yoki birma-bir gapiradigan tunnellar zarur bo'lsa, ko'p nuqtali GRE
  • NHRP (next-hop rezolyutsiyasi protokoli), RFC  2332
  • IPsec (Internet Protocol Security) IOS dasturiy ta'minotidagi virtual tunnel interfeysi bilan bog'liq bo'lgan IPsec profilidan foydalangan holda. Tunnel orqali yuborilgan barcha trafik shifrlangan tuzilgan siyosat bo'yicha (IPsec transform to'plami)
  • IP-ga asoslangan marshrutlash protokoli, EIGRP, OSPF, RIPv2, BGP yoki ODR (Faqat DMVPN hub-and-Speak).[4]

Ichki marshrutlash

Yo'nalish protokollari kabi OSPF, EIGRP v1 yoki v2 yoki BGP odatda markaz o'rtasida ishlaydi va o'sish va ölçeklenebilirlik uchun imkon beradi. Ikkalasi ham EIGRP va BGP hub uchun qo'llab-quvvatlanadigan spikerlarning ko'proq soniga ruxsat berish.[5]

Shifrlash

Xuddi shunday GRE tunnellar, DMVPN bir nechtasiga imkon beradi shifrlash tunnellarni kesib o'tuvchi ma'lumotlarni shifrlash sxemalari (shu jumladan yo'q). Xavfsizlik sababli Cisco mijozlardan foydalanishni tavsiya qiladi AES.[6]

Bosqichlar

DMVPN-da ma'lumotlarni boshqacha yo'naltiradigan uchta faza mavjud.

  • 1-bosqich: Barcha tirbandliklar shpiklardan markazga va undan o'tib ketadi.
  • 2-bosqich: 1-bosqichdan boshlang, so'ngra talab va qo'zg'atuvchilarga asoslangan holda gapiradigan tunnellarga ruxsat beriladi.
  • 3-bosqich: 1-bosqichdan boshlanadi va 2-bosqichga nisbatan kengaytirilganligini kamaytiradi va cheklovlarga ega.

Adabiyotlar

Tashqi havolalar