Cisco VPN Network Design

VPN در تکنولوژی سیسکو

در واقع سیسکو این تکنولوژی ارتباطی را که به منظور بر قرار ارتباط امن ما بین دفاتر سازمانها و شبکه ها بود را در دو بخش اعلام و طبقه بندی می کند :

اول (  Enterprise VPN   )

دوم (   Service Provider VPN  ) .

Enterprise VPN :

• IP Sec
• Cisco Easy VPN
• Generic Routing Encapsulation ( GRE )
• Dynamic Multipoint Virtual Private Network ( DMVPN )
• Virtual Tunnel Interface ( VTI )
• Layer 2 Tunneling Protocol Ver:3 ( L2TPv3 )

Service Provider VPN :

• Multiprotocol Label Switching ( MPLS )
• Metro-Ethernet
• Virtual Private Lan Service ( VPLS )

 

(  IPsce  )

در واقع برای ارتباط کاملا ایمن مابین دو سایت ( Site to Site ) و یا افراد و سایت ها

( Remote Access  ) مورد استفاده قرار می گیرد . پیاده سازی بسیار پیچیده و کدینگ زیادی دارد .

( Easy VPN )

در واقع به نوعی  ( IPsec ) ی است که فقط Config سمت User را آسان کرده است و تمامی اصل Config در سمت دفاتر مرکزی سازمان ها توسط متخصصین انجام می شود . 

( GRE )

یک روش تانلینگ بسیار نا امن ولی دارای قابلیتهای بسیار کارا در ارتباطات می باشد که IPsec فاقد آن قبلیت هاست . بطور مثال بر روی GRE می توان موارد ذیل را پیاده سازی کرد که در IPsec وجود ندارد :

- Qos بر روی Tunnel

- Redundancy

- ارسال ترافیک Multicast

- پیاده سازی Routing Protocols مانند OSPF و EIGRP

نکته )

کلیه مزایای بالا در هیچکدام از تکنولوژی های IPsec و Easy VPN وجود ندارند .

برای حل این مشکل که هم ارتباط امن باشد و هم دارای مزایای بالا باشـــــــــــد تکنولوژی بعدی معرفی شد :

( DMVPN - دی ام وی پ ی ان )

یعنی به نوعی از تانلینگ GRE استفاده می شود تا مزایای آن کاربردی باشد و برای ایمن کردن آن تانل از IPsec بهره مند شدیم . یعنی شاید بتوان گفت : ( GRE Over IPsec ) . فقط نکته ای جدید بدان اضافه گشت که در تکنولوژی های قبلی فقط می شود 2 نقطه را به هم وصل نمود ولی در این تکنولوژی می توانیم چند نقطه را به هم وصل کنیم و نیازی نیست که برای هر ارتباط یه ناتل جداگانه داشته باشیم .

( VTI )

همان IPsec است که قابلیت های GRE بدان اضافه شده است . یعنی فقط 2 نقطه را به هم وصل می کند ولی روی تانل GRE که بتوانیم از همه توانایی های GRE استفاده کنیم . در واقع مشکل روش IPsec را VTI بر طرف می کند .

( L2TPv3 )

در واقع یک تانل لایه 2 ایی خواهد بود . مثلا اگر بخواهیم 2 شبکه LAN را بشکل لایه 2 ایی بصورت ایمن متصل کنیم می توانیم از L2TPv3 استفاده کنیم .

در ادامه به VPN هایی اشاره می شود که مبتنی بر وجود یک Service Provider می باشند ، یعنی در صورتیکه تامین کننده سرویس این بستر را پیاده سازی کرده باشد امکان پیاده سازی آن میسر می شود .

( MPLS-VPN )

بدین صورت که Provider ی وجود دارد که بستر و زیرساخت MPLS را آماده کرده است و کلیه مشتریان یا دیگر دفاتر سازمان ها بوسیله  لینک های فیزیکی مجزا به بستر Provider متصل شده اند . این سطور بدان معنیست که این Provider است که ارتباط میان دفاترمان را بر قرار می کند و این ارتباط بصورت لایه 3 ایی بر قرار می شود . 

( VPLS )

در واقع همانند MPLS-VPN است با این تفاوت که ارتباط ما بین دفاتر لایه 2 ایی خواهد بود و مانند روش فوق نیازمند یک بستر MPLS در سمت Provider خواهد بود .

( Metro-Ethernet )

به نوعی گسترش دادن ارتباط اترنت مشترکان در تکنولوژی WAN خواهد بود . که خودش به

2 صورت امکانپذیر خواهد بود :

اول ) اینکه زیرساخت مخابرات اترنتی باشد .

دوم ) اینکه زیرساخت مخابرات MPLS باشد تا بتوان بوسیله روش VPLS اترنت را گسترش داد .