DMVPN
Dmvpn (Dynamic Multipoint Virtual Private Network) bir site-to-site vpn şekli olup üç Cisco IOS özelliği kullanarak iletişim sağlar. Bunlar NHRP (Next Hope Resolution Protocol ), mGRE (multipoint GRE) ve IpSec’tir. DMVPN’in çalışma mantığına geçmeden önce bu özelliklerden kısaca bahsedelim.
NHRP: Bu özellik sayesinde her bir şube, merkeze tünelle bağlı olan diğer şubelerin fiziksel ve tünel adreslerini öğrenerek bu bilgileri hafızasına alır. Bu işlemler sırasında merkez NHS (Next Hop Server), şubeler ise NHC (Next Hop Client) görevi görürler.
mGRE: Normal GRE tünelinin her bir şube için yeni bir tünel interface oluşturmasını özelliğini ortadan kaldırarak bir tünel interface’ inde birden fazla tünel desteklemesini sağlar. NHRP konfigürasyonuyla aktif hale gelir.
IpSec: Ip paketlerinin güvenli olarak hedefe ulaşmasını sağlayan protokoldür.
DMVPN Mekanizması
Bunu bir resim üzerinde anlatalım.
Yukarıdaki gibi bir topolojimiz olsun. Burada Londra merkez diğer şehirlerde şube olarak yer alıyor. Bu topoloji oluşturulurken bütün şubeler merkezle bir tünel oluşturacak şekilde konfigüre edilmiştir. DMVPN gelmeden önce bir şube diğer şubeyle veri alışverişi yapmak istediğinde bütün paketler merkeze gidip oradan da diğer şubeye aktarılıyordu. Yeni sistemin gelmesiyle doğrudan bir veri akışı oluştu.
Sistem kısaca şöyle işliyor:
- Diyelimki Paris lokalinden bir ip (10.11.11.1) Hamburg lokalindeki bir pc’ye (10.13.13.1) paket göndermek istesin. Paris routerı, Hamburgun lokalindeki ip’ye (10.13.13.0/24 ) gitmek için routing tablosuna (sistem çalıştığında oluşturulmuş routing topolojisi) bakar ve next hop adresi olarak Hamburgun GRE tüneli adresini bulur (10.3.3.5).
- Fakat bu adres internet üzerinde yönlendirebilir olmadığı için bu GRE tünelinin ait olduğu yönlendirebilir olan fiziksel interface adresini bulmaya çalışır.
- Bunun için şube kendi NHRP Cahce tablosuna bakar fakat herhangi bir eşleşme bulamazsa merkeze (Londra) NHRP Registration isteği gönderir. Merkez routerından gelen fiziksel adresi belirten cevap mesajından sonra fiziksel adres ile tünel adresini cahce tablosuna ekleyerek bu iki adresi birbirine eşler.
- Bundan sonra Paris, Hamburg ile doğrudan bir IpSec/Gre tünel kurarak paketleri bu tünel aracılığyla iletir. Ancak bu tünel kurulana kadar geçen zamanda paketler merkez üzerinde karşı tarafa iletilir tünel kurulduğu anda merkeze uğramadan yeni tünele aktarılır.
Dmvpn’in Avantajları
Dmvpn’den önce IpSec tünelleri kurmak için her şube için merkezde ayrı ayrı tüneller ve bu tünellerin altına /30’luk networkler atanıyordu. Ayrıca her bir şube için crypto map’ler yazılıyordu.
Aşağıdaki resimde yukardaki açıklamaya bir örnek oluşturuyor.
Bu resimde merkez router için Dmvpn konfigürasyonu:
Şubeler için Dmvpn konfigürasyonu:
Konfigürasyonun ne kadar azaldığını görebiliyoruz. Bir de rakamlarla gösterelim:
IPSec/GRE merkez konfigürasyonu;
1 interface/ÅŸube -> 300 ÅŸube = 300 interface
4 IP adresi/ ÅŸube -> 300 ÅŸube = 1200 adres
13 satır/ şube -> 300 şube = 3900 satır
DMVPN ile merkez konfigürasyonu;
1 interface -> 300 ÅŸube = 1 interface
1 IP adresi/ ÅŸube -> 300 ÅŸube = 300 adres
13 satır -> 300 şube = 13 satır
Rakamlardan da anlaşıldığı üzere azalan konfigürasyon sayesinde merkez routerda yönetim kolaylaşır. Şubeler arası tüneller merkeze uğramadan oluştuğu için merkez routerda cpu, memory ve bandwidth düşer, iki şube arası veri iletimi hızlanır.
Bu yazıyı beğendiniz mi?
Hakkında cicek
Açıklama yok. Lütfen profilinizi tamamlayın.