TAGS
Este post va a describir algunas de las consideraciones de diseño de cifrado para DMVPN.
Descripción y DMVPN arriba Crypto
En primer lugar vamos a echar un rápido resumen de lo que es multipunto dinámica VPN (DMVPN). DMVPN es una tecnología de superposición, donde se utilizan múltiples túneles GRE puntuales para formar una superposición donde un protocolo de enrutamiento se ejecutará a través de la superposición. DMVPN es un hub and spoke tecnología donde el hub DMVPN actúa como un plano de control centralizado. DMVPN usa siguiente Hop Resolution Protocol (NHRP) para registrar las direcciones IP de los radios con el cubo. Cuando un router busca en su tabla de enrutamiento, el siguiente salto será la dirección IP del túnel, no el IP fuera real, que debe ser utilizado para la encapsulación GRE. Para encontrar la IP fuera del radio, PNDH se utiliza para resolver el siguiente salto a la IP real externo.
DMVPN se ejecuta sobre el transporte público. Esto significa que es posible espiar el tráfico en tránsito. Para evitar que esto suceda, DMVPN se combina a menudo con IPSec para cifrar los paquetes. IPSec puede funcionar en dos modos, el modo de transporte y el modo de túnel. En el modo de transporte, la cabecera IP original no está cifrado y no hay cabecera IP adicional añadido. En el modo de túnel, que es el valor por defecto para los túneles, se añade una nueva cabecera IP y la cabecera IP original es encriptado. El modo de túnel es una necesidad para clásico LAN a LAN configuraciones, ya que normalmente las subredes dentro son direcciones privadas y se forma el túnel entre las direcciones IP enrutables públicamente.
La diferencia entre el modo de transporte y el modo de túnel es mostrar en la imagen siguiente.
IPSec en modo de transporte añade alrededor de 36 bytes y en modo túnel se añade alrededor de 52 bytes. El número exacto depende del algoritmo de cifrado y el relleno del paquete. Al utilizar DMVPN con IPSec, que es innecesario utilizar el modo de túnel. ¿Por qué? DMVPN utiliza GRE lo que significa que una nueva cabecera IP ya se ha añadido por GRE. La encapsulación GRE ocurre en la interfaz de túnel antes de que el proceso de cifrado se lleva a cabo. La siguiente imagen muestra un paquete GRE encapsulado.
GRE ha añadido una cabecera IP para el transporte. La fuente IP es el IP fuera del radio y el destino IP es el centro o fuera habló IP para el otro extremo del túnel. Al utilizar DMVPN e IPSec juntos, modo de transporte IPSec se debe utilizar para ahorrar en los gastos generales. El valor predeterminado es utilizar el modo de túnel, por lo que el modo de transporte tiene que ser configuradas en el conjunto de transformación. Esto entonces ahorrar al menos 16 bytes de sobrecarga. Es común, aunque para establecer la MTU a 1400 en la interfaz de túnel y para ajustar el MSS de la LAN a 1360 bytes.
DMVPN Dual Design Tier
En las topologías muy grandes DMVPN, el hub DMVPN puede convertirse en un cuello de botella. Recuerde que el hub DMVPN es esencialmente un plano de control centralizado para la topología DMVPN. Esto es especialmente cierto en las redes de la fase 1, donde todo el tráfico debe pasar por el centro y donde hay radios que habló túneles están disponibles. Al utilizar DMVPN e IPSec juntos, el concentrador debe manejar tanto PNDH, los protocolos de enrutamiento y el cifrado de paquetes incluso si los paquetes se van entre dos radios. Cuando el tráfico pasa entre dos radios en la fase 1, el tráfico cifrado viajará de radios x al cubo para realizar el descifrado, sólo para la horquilla del paquete y enviarlo de vuelta por la misma interfaz después de cifrar la directa hacia radios z. Esto puede poner una carga muy alta en el router hub.
Para disminuir la carga del router hub, es posible dividir los protocolos de enrutamiento y NHRP a un router y el proceso de cifrado a otro router. Esto se demuestra en la imagen siguiente.
El cifrado y descifrado de paquetes ahora es manejado por el router cabecera de cifrado. A continuación, reenviar los paquetes GRE al cubo DMVPN que terminará NHRP y protocolos de enrutamiento. ¿Cómo afecta esta nuestro diseño?
El punto final del túnel IPSec es ahora diferente del punto final del túnel GRE. Esto significa que no podemos usar el modo de transporte IPSec, ya que vuelve a utilizar la cabecera IP. Tenemos que utilizar el modo de túnel IPSec que añade una nueva cabecera IP. La IP de destino del paquete IPSec será entonces el router cabecera de cifrado. Esto añadirá más sobrecarga de nuestros paquetes. Esto también significa que no podemos usar un perfil de protección IPSec porque el punto final de la criptografía es ahora diferente del punto final del túnel GRE. Esto significa que tenemos que utilizar un mapa de cifrado estática en las radios. La cabecera de cifrado utilizará un mapa criptográfico dinámico.
También significa que hablaban hablaban túneles no son compatibles ya que todos los túneles IPSec ahora se concluya el sistema de cabecera de cifrado en lugar de formar túneles directamente entre los radios. Esto significa que este diseño es sobre todo válida si ya ha ejecutado un gran cubo y hablamos red sin radios, para habló túneles y tenemos que escalar el cubo.
En mi post anterior hice un caso para usar DMVPN y GET VPN juntos. GET VPN utiliza un grupo de SA lo que significa que no establecemos túneles. Podemos combinar las dos tecnologías aquí para tener un concentrador DMPVN y luego tener cabeceras de cifrado que actúan como gerentes generales. Este diseño nos dejó nosotros dividir el hub DMVPN y responsabilidades de cabecera de cifrado al tiempo que permite a los radios, para habló túneles. Esto demuestra cómo los dos se pueden combinar.
.
