Tehnologia a fost și va rămâne cea mai importantă componentă în comunicarea oamenilor și a sistemelor IT. Fie că este vorba despre date, video sau voce, tehnologia și protocoalele descoperite de-a lungul timpului au creat cadrul ideal pentru comunicare (umană și non-umană).
Să comunicăm este, așadar, ușor cu ajutorul tehnologiei, dar la fel de mult avem nevoie și de intimitate și siguranță în comunicare. Pe lângă componenta tehnică, Cisco a reușit să îmbine toate aceste aspecte (oameni, comunicare, intimitate, siguranță) și să vină cu propuneri și rezolvări care au revoluționat industria și au crescut standardele comunicării până la perfecțiune.
Internetul a creat noi oportunități pentru companii de a raționaliza procesele de afaceri, de a intra pe piețe noi și de a lucra cu partenerii și clienții mai eficient. În același timp, a creat o mai mare încredere în rețele și o nevoie de protecție împotriva unei game variate de ameninţări de securitate. Principalele funcții pe care le oferă rețelele de tip VPN pentru a putea asigura această protecție sunt tunelarea și criptarea.
Cisco înseamnă cercetare și inovare continuă și asta s-a materializat în multiple soluții și metode de implementare a rețelelor de tip VPN precum DMVPN, GETVPN și FlexVPN.
Cu aproape 20 de ani în urmă, Cisco lansa DMVPN (Dynamic Multipoint Virtual Private Network) ca răspuns la cerințele tot mai mari ale mediului enterprise de a dinamiza comunicarea criptată între birourile regionale și sediile centrale, asigurând totodată descentralizarea traficului între sediile companiei.
DMVPN a venit să rezolve complexitatea rețelelor de tip WAN (linii închiriate, ISDN, tehnologii vechi, bandă limitată, lipsa QoS), să ofere o nouă metodă de comunicare criptată peste Internet și să automatizeze tot acest proces. Pe lângă elasticitatea soluției provenită din simplitatea logicii de configurare, DMVPN a venit cu suport pentru traficul multicast, rutare dinamică și QoS per tunel. Cu DMVPN pot fi create tunele dinamice și criptate care ajută la formarea unei rețele full-mesh. Protocoalele care stau la baza soluției sunt NHRP, IPSec și mGRE. Fiecare are un rol bine stabilit: de încapsulare, criptare, mapare de adrese IP sau rutare. Pe lângă acestea, trebuie precizate și protocoalele de rutare dinamică, a căror utilizare poate diferi în funcție de nevoile existente: OSPF, EIGRP, BGP.
DMVPN funcționează atât peste Internet, cât și peste rețele private de tip MPLS.
Cum funcționează DMVPN ?
- Spoke-urile ridică dinamic tunele permanente IPsec cu Hub-urile, dar nu și cu celelalte Spoke-uri și se înregistrează drept clienți ai serverului NHRP.
- Când un Spoke inițiator are nevoie să facă un transfer de date cu un Spoke destinație, va interoga serverul de NHRP și va cere adresa Spoke-ului destinație, după care va ridica dinamic un tunel direct GRE/IPsec cu acel Spoke pe interfața mGRE.
- Pachetele sunt încapsulate în GRE și criptate cu Ipsec.
- Există suport atât pentru IKEv1, cât și pentru IKEv2.
DMVPN s-a dovedit o tehnologie ușor de adoptat de clienții din România, unde Cisco împreună cu partenerii locali au reușit implementări de succes care funcționează în continuare, asigurând traficul criptat de date pentru diferite arii de activitate.
GETVPN (Group Encrypted Transport VPN) este o soluție revoluționară de VPN care asigură criptarea traficului fără tunelare, folosind conceptul de cheie de grup și merge peste rețele private de tip LAN/WAN, IP, MPLS.
Este o soluție de VPN bazată pe protocoale standardizate GDOI (Group Domain of Interpretation, RFCC3547) și IPsec și asigură o rețea de tip full mesh cu routing nativ fără tunelare, asigurând în același timp suport pentru pentru traficul Multicast.
Cum funcționează GETVPN ?
- Membrii grupului (GM), adică locațiile/sediile organizației, se înregistrează la serverul de chei (KS) care autentifică și autorizează automat fiecare GM.
- Serverul de chei (KS) returnează fiecărui membru din grup (GM) un set de IPsec SA (Security Associations).
- Membrii grupului pot iniția trafic criptat folosind cheile de grup IPsec în mod tunel.
- Adresele IP (sursă și destinație) sunt copiate în antetele IPsec păstrând astfel adresare IP nativă a rețelei peste care funcționează GETVPN (*** acest aspect limitează utilizarea GETVPN la rețele private, fără posibilitatea utilizării peste Internet în spatele unor dispozitive care fac NAT).
- Serverul de chei (KS) trimite periodic chei IPsec înainte ca cele curente să expire, astfel că, pentru o scurtă perioadă, ambele seturi de chei vor coexista pe membrii grupului.
FlexVPN este implementarea Cisco a standardului IKEv2, pornind de la un cadru comun de configurare și linie de comandă (CLI) pentru mai multe tipuri de VPN: site-to-site, remote-access, hub-and-spoke și mesh parțial (spoke-to-spoke). A fost creat pentru a simplica configurarea VPN-urilor bazate pe IKEv2 pe echipamente Cisco folosind șabloane comune.
IKEv2 este un protocol mult mai sigur decât IKEv1, dat fiind faptul că folosește algoritimi criptografici de tip Suite B. Are suport integrat pentru DPD (Dead Peer Detection) și NAT-T (NAT Traversal) și rezistă la atacuri DoS. De asemenea, suportă autentificare de tip EAP, adițional la chei și certificate.
Când este util FlexVPN ?
- Când este necesară folosirea IKEv2.
- Când clienții au nevoie de configurări rapide și unitare pentru diferite tipuri de VPN folosind același șablon și linie de comandă.
- În cazul instalărilor cu multe locații, unde este nevoie de conectivitate totală sau parțială între acestea.
- Când cunoștințele necesare implementării sunt limitate.
Beneficiile FlexVPN:
- Se poate folosi în paralel cu majoritatea celorlalte tipuri de VPN IPsec.
- Se bazează pe IKEv2, care îmbunătățește toate aspectele negocierii și stabilității protocolului în comparație cu IKEv1.
- Folosește GRE peste IPsec sau VTI (Virtual Tunnel Interface), permițând astfel orice tip de trafic prin tunelul GRE.
- Funcționalitate de remote access client și server.
- Tunele dinamice între spoke-uri (similar cu DMVPN).
- Existența unor șabloane implicate, care elimină nevoia configurării politicilor customizate pentru fiecare VPN.
Tabelul următor prezintă un sumar al celor 3 tehnologii prezentate mai sus din punct de vedere funcțional.
Toate tehnologiile și inovațiile Cisco din ultimii 20 de ani în domeniul Rețelelor Virtuale Private (VPN) au adus flexibilitatea necesară implementării celor mai complexe scenarii de conectivitate pentru clienții Cisco.