Nätverksbaserade VPN

Nätverksbaserade VPN är virtuella privata nätverk som säkert ansluter två nätverk tillsammans i ett obetrott nätverk. Ett vanligt exempel är en IPsec-baserad WAN, där alla kontor i ett företag ansluter till varandra över Internet med Hjälp av IPsec tunnlar.

Det finns flera typer av nätverks-VPN. Vi ska titta på tre av de vanligaste:

IPsec-tunnlar, både ruttbaserade och policybaserade
Dynamiska vpn-nätverk med flera punkter
MPLS-baserade L3VPNs

IPsec Tunnlar

Den enklaste typen av nätverk VPN är standard-baserade IPsec tunnel, och de flesta nätverk routrar och brandväggar kan bygga en.

I princip skiljer sig tunneln på en nätverksbaserad VPN inte från en klientbaserad IPsec-tunnel. Både nätverks- och klientimplementeringar skapar en säker tunnel genom vilken krypterade trafikflöden mellan nätverk. Medan den klientbaserade IPsec-tunneln är utformad för att kapsla in trafik för en enda enhet, bär den nätverksbaserade IPsec-tunneln trafik för hela nätverk av enheter, så att de kan kommunicera.

När man bygger en IPsec-tunnel mellan två nätverk måste man komma överens om följande:

Vilka två enheter kommer att vara ändpunkterna i tunneln? (Vem kommer att göra talar?)
Hur kommer tunnlarna att autentiseras? (Hur ska vi lita på varandra?)
Vilken trafik kommer att tillåtas att flöda genom tunneln? (Vad ska vi prata om?)

Vem ska prata? Svaret är vanligtvis ett par enstaka IP-adresser. En brandväggsadministratör konfigurerar den andras IP-adress som en peer IP.

Hur ska vi lita på varandra? Oftast är svaret en fördelad nyckel – ett lösenord – eller ett certifikatutbyte. De två effektmåtten måste också komma överens om hur trafiken kommer att krypteras med hjälp av en gemensam uppsättning chiffer.

Vilken trafik kommer att tillåtas att flöda genom tunneln? I Ciscospråksspråk är det vanligaste sättet att ange tillåten trafik att använda en kryptoåtkomstlista (ACL). Krypto-ACL definierar käll-IP-nätverk som kan prata med destinationIP-nätverk. Båda sidor av tunneln måste ha matchande element (IP-nätverkspar) för en säkerhetsorganisation att bilda och tunneln för att transportera trafiken som förväntat.

IPsec-tunnlar som använder en smak av kryptoåtkomstlistor för att definiera den trafik som kan flöda genom dem kallas allmänt principbaserade bästavpn.com tunnels that use some flavor of crypto access lists to define the traffic that can flow through them are generically termed policy-based VPNs.

Fångsten med principbaserade VPN är att kryptoåtkomstlistorna kräver underhåll för att hålla jämna steg med företagets krav. Om ett nytt IP-nätverk kommer online som behöver komma åt ett nätverk på andra sidan tunneln måste kryptoåtkomstlistan uppdateras på enheterna på vardera sidan av tunneln.

Använd principbaserade IPsec-tunnlar när du behöver bygga en enda tunnel mellan två platser för att ge noggrant kontrollerad åtkomst till resurser. Jag har använt principbaserade IPsec-tunnlar i följande situationer:

För att ansluta till ett annat företag som gör arbete för mitt företag
Som en säkerhetskopia till en privat länk mellan fjärrkontor
Som en tillfällig koppling till en ny facilitet som onlineförs under en företagsfusion
Som en anslutning till anställda på ett hemmakontor

I motsats till principbaserade IPsec-tunnlar är ruttbaserade IPsec-tunnlar mer som en virtuell länk, vilket gör att all trafik kan flöda genom dem. Ruttbaserade VPN finns tillgängliga från många olika nätverksleverantörer, inklusive Cisco och Juniper. Tillgängligheten varierar dock beroende på plattform. Cisco ASA stöder till exempel inte ruttbaserade bästavpn.com instance, the Cisco ASA doesn’t support route-based VPNs.

Även om IPsec VPN är standardbaserade, är det tyvärr vanligt att leverantörer implementerar standarderna på olika sätt. Därför är det ett slags rit av passage för nätverksingenjörer att ta upp en IPsec VPN-tunnel mellan enheter från två olika leverantörer.

Jag har tillbringat många i timmen med att försöka ta upp IPsec tunnlar mellan Cisco redskap och Checkpoint eller Juniper redskap. Det kan göras, men det är ofta knepigt kamma igenom konfigurationsdetaljer och loggmeddelanden för att hitta problemet som hindrar tunneln från att bildas.