Mikä on DMVPN ja mitä se tarkoittaa?
Dynaaminen monipisteinen virtuaalinen erillisverkko (DMVPN) tarkoittaa verkkojärjestelmää, jossa useat etätoimipisteet, joita kutsutaan nimellä spoke, voivat turvallisesti vaihtaa tietoja toistensa kanssa ilman liikenteen reitittämistä pää-VPN-palvelimen tai ”keskuksen” (hub) kautta.
Verkkoa voidaan verrata polkupyörän renkaaseen. Keskus on renkaan keskipiste, jonka avulla pinnat (spoke) yhdistyvät ja saavat pääsyn tarvittaviin resursseihin. Kun nämä yhteydet on ensin muodostettu, pinnat voivat viestiä suoraan keskenään sijainnista riippumatta.
Tämän järjestelyn myötä tieto virtaa suoraan pinnojen välillä kulkematta keskuksen kautta. Se taas parantaa verkon tehokkuutta ja nopeuttaa viestintää.
DMVPN vs. tavallinen VPN
DMVPN tarjoaa joustavan ja skaalattavan verkkoratkaisun suurille yritykselle, joiden tarpeet vaihtelevat. Se tekee sijaintien lisäämisestä ja poistamisesta yksinkertaisempaa päivittämällä verkon reitit automaattisesti – DMVPN:n ylläpito vaatii siis vähemmän työtä kuin perinteinen VPN.
Lisäksi DMVPN tekee verkosta tehokkaamman mahdollistamalla suorat yhteydet eri toimipisteiden välillä ensiasennuksen jälkeen. Se auttaa vähentämään hitautta keskuksessa. Perinteiset VPN:t sopivat hyvin pienemmille staattisille verkoille, mutta lukuisten kiinteiden yhteyksien hallinta voi käydä monimutkaiseksi ja runsaasti resursseja vaativaksi, jos verkkoa laajennetaan.
DMVPN vs. mesh-verkot
DMVPN-järjestelmässä tunneleita pinnasta toiseen voidaan luoda tarpeen tullen, eikä yhteyden tarvitse kulkea keskuksen kautta. Mesh-verkot toimivat hieman samaan tapaan ja reitittävät datan uudelleen verkon muutosten mukaan. Molempien järjestelmien tavoite on optimoida verkon tehokkuus suoraviivaistamalla yhteyksiä ja mahdollisesti myös viivettä vähentämällä.
Valinta DMVPN-verkon ja mesh-verkkojen välillä riippuu ennen kaikkea tarpeista, joihin verkkojärjestelmän täytyy vastata. DMVPN on yleensä sopivampi ratkaisu, jos keskitetty hallinta ja helppo käyttöönotto on etusijalla. Mesh-verkot taas ovat parempi valinta, jos tärkeintä on se, että verkko toimii katkoitta ja sen vikasieto on hyvä.
Miten DMVPN toimii?
DMVPN toimii antamalla toimipisteiden viestiä suoraan keskenään joko julkisen WAN- eli ulkoverkon tai internet-yhteyden välityksellä. Tässä mallissa jokaisessa etätoimipisteessä käytetään VPN-reitittimiä ja keskitettyjä palomuureja yhteyden luomiseen yrityksen päätoimipisteen VPN-keskukseen.
Kun kahden pinnan täytyy vaihtaa keskenään dataa esimerkiksi VoIP-puhelun aikana, yksi pinna yhdistää keskukseen saadakseen tiedon toisen pinnan senhetkisestä dynaamisesta IP-osoitteesta. Kun aloitteen tekevä pinna on saanut tiedon kohteen IP-osoitteesta, se voi luoda dynaamisen IPsec-VPN-tunnelin suoraan toiseen pinnaan. Tämän järjestelyn myötä tarvetta pysyvälle VPN-yhteydelle ei synny, sillä käytössä on keskitetty hub-and-spoke-malli.
Perinteiset VPN-yhteydet pinnojen ja keskuksen välillä vaativat pysyviä spoke-to-hub-tunneleita, mutta DMVPN tarjoaa dynaamisen lähestymistavan luomalla pinnasta-pinnaan-tunneleita (spoke-to-spoke). Näitä dynaamisia IPsec-VPN-tunneleita muodostetaan vain tarvittaessa.
DMVPN:n komponentit
Pinnojen, keskusten, VPN-reitittimien ja keskitettyjen palomuurien lisäksi DMVPN sisältää neljä muuta komponenttia
- Monipisteinen GRE (mGRE)
- NHRP-prokolla (next hop resolution protocol)
- Dynaamiset reititysprotokollat
- IPsec (ei välttämätön, mutta suositeltava)
Monipisteinen GRE
Ensinnäkin, mikä on mGRE? mGre on lyhenne sanoista multipoint generic routing encapsulation ja se on protokolla, jota käytetään DMVPN-järjestelmissä. Sen avulla luodaan monipisteisiä GRE-tunneleita, jotka yhdistävät useat pinnat ja keskuksen. Toisin kuin perinteiset pisteestä-pisteeseen-GRE-tunnelit, joissa on vain kaksi päätepistettä, mGRE-tunnelin myötä yksi VPN-tunneli voi yhdistää lukuisiin päätepisteisiin.
mGRE-verkkoa voi verrata pyöreän pöydän ääressä tapahtuvaan ateriaan: kaikki voivat puhua toisilleen, eli mikään yksittäinen palvelin ei mahdollista tai hallitse viestintää yksin. mGRE-protokollan ansiosta pinnat voivat viestiä suoraan toistensa kanssa DMVPN-verkon kautta, eikä liikennettä tarvitse reitittää keskuksen kautta.
NHRP
NHRP-protokolla (next hop resolution protocol) toimii DMVPN-järjestelmien osoitepalveluna: se auttaa aktiivisesti pinnoja löytämään toistensa julkiset IP-osoitteet. Jos esimerkiksi toimipisteen reititin haluaa luoda yhteyden toiseen reitittimeen, sen täytyy tehdä kysely NHRP-palvelimelle saadakseen selville kohdereitittimen julkinen IP-osoite.
NHRP-palvelin tarkistaa välimuistinsa ja antaa tarvittavat tiedot, joihin sisältyy myös kohteen IP-osoite. Tämä sujuva prosessi takaa selkeän ja tehokkaan viestinnän DMVPN-verkon reitittimien välillä.
Reititysprotokollat
Reititysprotokollat auttavat määrittelemään parhaan reitin verkossa liikkuvalle datalle. DMVPN tukee dynaamisia reititysprotokollia, kuten EIGRP, OSPF ja BGP. Kullakin niistä on omat vahvuutensa, ja ne sopivat erikokoisille ja -tyyppisille verkoille. Pienen mittakaavan verkoille OSPF on suositeltu ratkaisu. Laajemmille kokonaisuuksille taas EIGRP tai BGP voivat sopia paremmin.
Reititysprotokollat pystyvät myös mukautumaan dynaamisesti verkon muutoksiin. Jos esimerkiksi uusia pinnan reitittimiä lisätään tai olemassa oleva yhteys katkeaa, reititysprotokollat voivat automaattisesti päivittää reititystaulukot vastaamaan näitä muutoksia.
IPsec
DMVPN-järjestelmässä IPsec salaa keskusreitittimen ja pinnareitittimien välillä liikkuvan datan. Tämä salaus suojaa arkaluontoiset tiedot ja pitää ne luottamuksellisina niiden liikkuessa julkisissa verkoissa.
DMVPN:n vaiheet
DMVPN-malli rakentuu kolmesta vaiheesta.
Vaihe 1
DMVPN:n alkuvaiheessa kaikki pinnasta-pinnaan-liikenne (spoke-to-spoke) reitittyy keskuksen reitittimen kautta. Jokainen pinna yhdistää keskuksen reitittimeen käyttäen tavallisia pisteestä-pisteeseen-GRE-tunneleita ja vaatii vain tiivistelmän tai oletusreitin toisiin pinnoihin. Tämä suora menetelmä yksinkertaistaa reititysasetuksia ja helpottaa useita etäsijainteja sisältävien verkkojen hallintaa.
Vaihe 2
Ensimmäisessä vaiheessa kaikki pinnojen välinen liikenne kulkee keskuksen kautta, mikä voi johtaa ruuhkiin verkon kasvaessa. DMVPN:n toisessa vaiheessa tämä muuttuu: pinnat voivat muodostaa suoria yhteyksiä keskenään sen jälkeen, kun yhteys on ensin otettu keskuksen välityksellä. Keskuksen tietoja hyödyntämällä kukin pinna voi luoda suoran tunnelin toiseen pinnaan, ja ne vaihtavat keskenään tiedot IP-osoitteista ja turvallisuusparametreistä.
Tämän järjestelyn ansiosta tieto liikkuu suoraan pinnojen välillä ilman reitittämistä keskuksen kautta. Nämä suorat yhteydet, joilla on uniikit IP-osoitteet ja jotka tapahtuvat useita IPsec-tunneleita pitkin, pysyvät aktiivisina määritellyn ajan tai niin kauan, että niitä ei enää tarvita.
Vaihe 3
DMVPN:n vaihe 3 tarjoaa itsenäisyyttä ja tehokkuutta, sillä pinnat voivat hallita omia yhteyksiään ja reititystä, eikä keskuksesta tarvita kuin hieman apua. Kun keskuksen DMVPN-reititin on ensin asettanut yhteyden, pinnat voivat jakaa suoraan reititystietoja ja liikennettä käyttäen dynaamisia protokollia, kuten OSPF tai EIGRP.
NHRP myös auttaa pinnoja seuraamaan verkon asettelua, jolloin ne voivat ottaa käyttöön ja hallita omia reittejään. Tässä vaiheessa jokaiselle tunnelille voidaan osoittaa oma tunneliavain, joka takaa, että liikenne eritellään ja reititetään oikein tiettyä dynaamisesti määriteltyä polkua pitkin.
DMVPN:n edut
Dynaamisen monipisteisen VPN:n käyttö tarjoaa useita hyötyjä.
Matalat hallintakustannukset
DMVPN tekee ulkoverkon (WAN) hallinnoimisesta yksinkertaisempaa, sillä sen käyttöönottaminen on vaivattomampaa. Jokaista yhteyttä varten ei tarvitse tehdä monimutkaisia turvallisuusasetuksia eikä keskusverkkoa tarvitse muokata uusien pinnojen lisäämiseksi. Lisäksi DMVPN poistaa tarpeen kalliille erillisille linjoille verkon eri pisteiden välillä.
Enemmän joustavuutta
DMVPN yksinkertaistaa verkon hallintaa lisäämällä dynaamisesti uusia toimipisteitä ja hallitsemalla liikenteen reititystä. Yksinkertaistettu keskuksen reititinkokoonpano vähentää verkon ylläpitäjien manuaalista verkon hallintaa ja vähentää verkon hallinnan mutkikkuutta ja kustannuksia.
Lisäksi DMVPN-järjestelyn joustavuus takaa sen, että yritykset voivat helposti lisätä ja poistaa toimipisteitä tekemättä merkittäviä muutoksia koko verkkoinfrastruktuuriinsa. Tämän ominaisuuden vuoksi se sopii erityisesti kasvaville yrityksille, joiden täytyy voida laajentaa verkkojaan dynaamisesti.
Enemmän kaistanleveyttä
Suorat yhteydet etätoimipisteiden välillä parantavat kaistanleveyttä DMVPN-järjestelmää käytettäessä. Perinteisessä hub-and-spoke-mallissa keskus hallinnoi kaikkea liikennettä, mikä voi aiheuttaa hidastuksia etenkin kiireisinä ajankohtina. DMVPN:n ansiosta tieto siirtyy suoraan yhdestä etätoimipisteestä toiseen ja ohittaa keskuksen. Tämä suora viestintä auttaa jakamaan liikenteen tasaisemmin ja vähentää viivevaihtelua.
Verkkoturvallisuus käynnistyy napsautuksella.
Pysy suojattuna maailman johtavan VPN:n avulla
