Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Wielopunktowy VPN z użyciem VyOS

VyOS to dystrybucja realizująca zadania routera, której funkcjonalność nie ustępuje rozwiązaniom komercyjnym. Pozwala na konfigurację w pełni dynamicznej, wielopunktowej infrastruktury VPN, stanowiącej dobrą alternatywę dla technologii Cisco DMVPN.

Tradycyjnie zdalne biura przyłączane są do głównej siedziby z wykorzystaniem rozwiązań VPN (Virtual Private Networks). Każdy tunel VPN ma dwa punkty końcowe. W przypadku niewielkiej liczby zdalnych oddziałów sprawdza się prosta i statyczna konfiguracja VPN. Tunele zestawiane są wyłącznie między oddziałami a centralą, natomiast ruch między oddziałami odbywa się za pośrednictwem centrali. Rozwój technologii takich jak VoIP spowodował, że istotne okazały się minimalne opóźnienia. Można wprawdzie łączyć oddziały bezpośrednio między sobą, ale manualna konfiguracja tuneli między wszystkimi oddziałami jest skomplikowana.

Rosnąca liczba oddziałów i wielkość plików konfiguracyjnych routerów w tradycyjnych konfiguracjach generuje błędy oraz trudności w rozwiązywaniu problemów. Zbawieniem okazała się technologia DMVPN (Dynamic Multipoint VPN), stworzona i rozwijana przez firmę Cisco. Wykorzystane w niej komponenty są darmowe (open source), więc dość szybko pojawiły się alternatywne rozwiązania.

Jak działa tunel dynamiczny

DMVPN, czyli technologia dynamicznego tunelowania VPN, pierwotnie była zastrzeżona przez Cisco, ale jej składowe rozwiązania bazują na ogólnie dostępnych standardach. Do realizacji dynamicznego VPN wykorzystywane są trzy główne technologie:

  • NHRP (Next Hop Resolution Protocol) – zdefiniowany w RFC 2332 mechanizm mapowania punktów końcowych, czyli routerów i ich parametrów (rejestracja punktu, odkrywanie/wyszukiwanie punktu);
  • mGRE (Multipoint Generic Rou­ting Encapsulation) – zdefiniowany w RFC 1702, zapewnia enkapsulację tunelowania;
  • IPSec (IP Security) – zdefiniowany m.in. w RFC 4301, zapewnia wymianę kluczy i mechanizmy kryptograficzne.

DMVPN bazuje na strukturze gwiazdy HUB&SPOKE, w której występuje centralna lokalizacja (HUB) oraz oddziały (SPOKE). W podstawowej konfiguracji komunikacja między oddziałami jest realizowana przez centralną lokalizację. W konfiguracji zaawansowanej możliwe jest tworzenie bezpośrednich i dynamicznych połączeń pomiędzy oddziałami. Do tego celu wymagane jest użycie statycznych lub dynamicznych protokołów trasowania.

Warto podkreślić, że DMVPN pozwala na dynamiczne tworzenie sieci VPN „każdy z każdym” bez konieczności wstępnej konfiguracji wszystkich tuneli między punktami końcowymi. Protokół NHRP utrzymuje w centralnej lokalizacji wszystkie publiczne adresy IP oddziałów oraz ich inne parametry. W tej technologii każdy oddział rejestruje własny publiczny adres IP na serwerze NHRP, umieszczonym przeważnie w HUB-ie, czyli głównej lokalizacji. Gdy oddział chce utworzyć tunel do innego oddziału, musi odpytać o parametry serwer NHRP. Dodatkowo wykorzystywaną technologią jest mGRE (Multipoint GRE), która na jednym interfejsie GRE może obsługiwać wiele sesji IPSec zapewniających szyfrowanie. Kompletne rozwiązanie wykorzystuje dodatkowo protokoły trasowania – zarówno statyczne, jak i dynamiczne – RIP, EIGRP, OSPF, BGP.

DMVPN w szczegółach

Pierwszym etapem konfiguracji DMVPN jest uruchomienie interfejsu tunelowania mGRE. Tradycyjnie wykorzystywane tunele GRE stanowią słabo skalowalne rozwiązanie punkt-punkt. W tym przypadku realizacja komunikacji między wieloma routerami wymaga zestawienia tuneli pomiędzy każdą z tych lokalizacji. Inaczej jest w protokole mGRE, gdzie tworzony jest jeden interfejs tunelowania na każdym routerze. Tunele są tworzone dynamicznie między routerami, które chcą nawiązać komunikację między sobą. Do konfiguracji standardowego protokołu GRE wymagane są źródłowe i docelowe adresy IP, między którymi zestawiane będą tunele. Jeżeli chcemy wysłać ruch dynamicznie, używając technologii DMVPN, możemy zestawić tunel na żądanie, ale potrzebny jest adres IP drugiego końca tunelu. Metodę odkrywania adresu IP drugiego końca tunelu zapewnia protokół nazwany NHRP.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie bezpieczeństwa sieci. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej