Početna strana English Login TAC podrška
O NAMA USLUGE TEHNOLOGIJE KORISNICI PROJEKTI NOVOSTI KONTAKT
 
    MPLS PTT Net  
  IP Telefonija NBS  
    NZS Kontakt centar  
    Univerzitetska dečija klinika - Tiršova  
 
  TEHNIČKA PODRŠKA  
    24 h TAC podrška  
    Download  
    Linkovi  

     
  štampaj  
  mapa sajta  
Home> Projekti>DMVPN tehnologija
Projekti - DMVPN tehnologija primenjena u WAN mreži baziranoj na MPLS L3 VPN usluzi

 

Uvod

Delatnost klijentske firme:

Finansijske usluge

Izazov:

Stvoriti pouzdanu i sigurnu mrežu za prenos podataka, glasa i slike kroz MPLS L3 VPN mrežu servis provajdera.

Rešenje:

Implementirati skalabilne ruting protokole - BGP između klijentskih i servis provajderovih routera i odgovarajući interni ruting protokol (Cisco EIGRP u ovom primeru).

Implementirati DMVPN u cilju fleksibilne enkripcije podataka.

Implementirati QoS politike "sa kraja na kraj" mreže, u skladu sa aplikacijama u mreži klijenta.

Rezultati:

Korišćenje MPLS L3 VPN servisa u cilju postizanja optimalne, kriptovane komunikacije između udaljenih mreža. DMVPN tehnologija obezbeđuje fleksibilnost pri enkripciji podataka, kreiranjem dinamičkih tunela.

Određeni tipovi IP saobraćaja, na primer VoIP, se mogu prosleđivati i bez enkripcije, ukoliko postoji potreba za time.

Konzistentnost primenjenih QoS politika, čak i ako postoji mešavina kriptovanog i nekriptovanog saobraćaja.

Izazov

Tipična WAN mreža banke pokriva više desetina udaljenih lokacija, filijala i ekspozitura, i jednu ili dve centralne lokacije. Transportne resurse u WAN mreži obezbeđuje u najvećoj meri nacionalni telekomunikacioni provajder- telekom. Tradicionalno, koriste se sitemi iznajmljenih linija i Frame Relay mreža.

 

Uočena je neophodnost migracije rešenja sa primene tradicionalnih tehnologija (tipično Frame Relay) na novije MPSL VPN tehnologiju iz razloga koji se, pre svega, odnose na realizaciju pristupnih linkova veće propusne moći i mogućnost formiranja fleksibilne logičke organizacije (tipična realizacija WAN mreže korišćenjem tradicionalnih tehnologija podrazumeva logičku topologiju zvezde). Uvođenjem IP telefonije i preusmeravanja poziva po principu najmanjih troškova, nastala je potreba za novom topologijom sa direknim vezama između svake dve lokacije. Zbog toga je izabrana migracija tradicionalnog rešenja na korišćenje MPLS L3 VPN usluge nacionalnog servis provajdera za realizaciju prenosne infrastrukture uz dodatni zahtev za povećanje nivoa zaštite podataka pri prenosu kroz javnu MPLS mrežu, odnosno obezbeđivanje garancije kvaliteta servisa za različite tipove saobraćaja.

 

Rešenje

Za realizaciju nove WAN mrežne infrastrukture izabrano je korišćenje MPLS L3 VPN usluge u kombinaciji sa Dynamic Multipoint Virtual Private Network (DMVPN) tehnologijom. Glavni faktori koji su uzeti u obzir pri donošenju ovakve odluke su bile prednosti koje nudi DMVPN u odnosu na tradicionalna IPsec VPN rešenja.

 

DMVPN nudi veliki broj prednosti, od kojih su neke ovde pobrojane:

 

o               Sposobnost dinamičkog kreiranja tunela između centralne i udaljenih lokacija, kao i između udaljenih lokacija, čime je obezbeđeno potpuno međusobno povezivanje.

o               Poboljšane performanse mreže.

o               Smanjeno kašnjenje za aplikacije koje rade u realnom vremenu.

o               Podrška za dinamičke ruting protokole.

o               Podrška za multikast saobraćaj između centralne i udaljenih lokacija.

o               Visok stepen redundanse, korišćenjem NHRP ili dinamičkog ruting protokola.

 

Sledeći protokoli čine DMVPN tehnologiju::

 

o               Generic Routing Encapsulation Protocol ( GRE ) se koristi za enkapsulaciju IP unikast, multikast, i brodkast paketa.

o               Next Hop Resolution Protocol ( NHRP ) se koristi za dinamičko razrešavanje IP adresa krajnjih tačaka tunela.

o               Dinamički ruting protokol ( RIP, EIGRP, OSPF, ODR, i BGP su podržani) se koristi za oglašavanje privatnih adresnih opsega unutar DMVPN mreža.

o               IPsec protokoli za enkripciju se koriste za zaštitu podataka unutar tunela.

 

 

Predloženo rešenje funkcioniše na sledeći način:

 

Udaljene lokacije klijenta su povezane korišćenjem MPLS L3 VPN usluge nacionalnog servis provajdera. BGP ruting protokol se koristi za komunikaciju sa opremom servis provajdera. EIGRP ruting protokol se koristi za rutiranje u okviru mreže klijenta.

 

U prvoj fazi, svaka udaljena lokacija otvara trajni IPsec tunel ka centralnoj lokaciji. Adresa centralnog rutera mora da bude statička i poznata svim udaljenim lokacijama. Tunel koji se ostvaruje je tipa multipoint GRE (mGRE) sa IPsec zaštitom.

 

EIGRP ruting relacije se uspostavljaju između centralne i svake od udaljenih lokacija, čime se postiže međusobno oglašavanja internih adresnih opsega.

 

Svaki od rutera sa udaljenih lokacija, kao NHRP klijent, registruje javnu adresu svog interfejsa na centralnom ( HUB ) ruteru koji ima ulogu NHRP servera. Centralni ruter održava NHRP bazu u kojoj se nalaze preslikavanja između fizičkih adresa interfejsa i adresa tunel interfejsa na udaljenim lokacijama.

 

U ovoj fazi, se ne uspostavljaju tuneli između udaljenih lokacija.

 

Kada je potrebno sa jedne udaljene lokacije poslati pakete na (privatnu) adresu koja se nalazi na drugoj udaljenoj lokaciji, prvi udaljeni ruter će poslati upit NHRP serveru za javnu (spoljnu) adresu drugog udaljenog rutera kako bi se mogao podići direktan tunel. NHRP server će potražiti u NHRP bazi podataka odgovarajući odredišni ruter i odgovoriti na upit u skladu sa time. Nakon ovog procesa se vrši uspostava direktnog IPsec tunela između udaljenih lokacija.

 

Integracijom multipoint GRE (mGRE) interfejsa, sa NHRP i IPsec protokolom, direktni dinamički IPsec tuneli se mogu uspostaviti kroz DMVPN mrežu. Ovo je prikazano na Slici 1:

 

 

Slika 1.  DMVPN mrežna topologija i protokoli

 

 

Za enkripciju saobraćaja se koristi 256 bitna AES blok šifra, pošto je to trenutno najsigurniji dostupan algorita i zbog toga što su akceleratorske kartice na ruterima optimizovane za ovu vrstu enkripcije bez unošenja dodatnog kašnjenja.

 

Ukoliko je potrebno, određeni tipovi IP saobraćaja, na primer VoIP, se mogu proslediti bez enkripcije.

 

U cilju postizanja optimalne redundanse, predlaže se DMVPN arhitektura tipa "dvostruki centralni ruter, sa dvostrukom DMVPN mrežom". Ovakva topologija je sačinjena od dve paralelne DMVPN mreže (dva DMVPN oblaka) i oslanja se na dinamički ruting protokol za preusmeravanje saobraćaja u slučaju otkaza. Jedna DMVPN mreža se sastoji iz centralnog rutera (HUB1) i svih udaljenih rutera, dok se druga DMVPN mreža sastoji iz drugog centralnog rutera (HUB2) i svih udaljenih rutera. Na udaljenim ruterima se utiče na metrike ruta dobijenih od centralnih rutera tako da prvi centralni ruter (HUB1) ima prioritet.

 

 

Topologija predložene mreže je data na slici 2.

 

 

 

Slika 2.  Topologija DMVPN mreže u WAN mreži Banke

 

  

 

Ruteri na udaljenim lokacijama mogu posedovati Survivable Remote Site Telephony ( SRST) funkcionalnost za IP telefoniju, kao i za korišćenje ISDN mreže u slučaju potpunog otkaza veze ka servis provajderu.

 

Izgled tipične udaljene lokacije je dat na Slici 3.

 

 

 

Slika 3. Tipična ekspozitura banke

 

 

QoS politike se implementiraju na način da se kompletan saobraćaj klasifikuje i markira u mreži klijenta, i na centralnoj i na udaljenim lokacijama. Nakon toga se klase mapiraju u CoS klase u mreži servis provajdera i u skladu sa time procesiraju da bi se ostvario brz i pouzdan transport podataka.

 

 

Rezultati

 

Nova MPLS L3 VPN usluga koju nude servis provajderi omogućava direktnu mrežnu komunikaciju između udaljenih lokacija, što nije bio slučaj kod tradicionalnih L2 servisa (Frame Relay, L2 VPN, leased lines) gde je kompletna komunikacija morala da prođe kroz centralno čvorište. Ovakva raspodela saobraćaja predstavlja izazov kada je u pitanju obezbeđivanje šifrovanja podataka. Tradicionalan metod je podrazumevao veliki broj IPsec VPN tunela koji su topologijom zvezde povezivali centralnu sa udaljenim lokacijama.

 

DMPVN tehnologija predstavlja rešenje za implementaciju sigurne komunikacije u topologijama tipa "svako sa svakim", kakve se nalaze u MPLS L3 VPN okruženju. Umesto ogromnog broja statičkih IPsec tunela, po potrebi se formiraju i raskidaju dinamički IPsec tuneli. Više ne postoji potreba za statičkim kripto mapama, već se one automatski generišu korišćenjem podataka iz dinamičkog ruting protokola. Ruting protokolom se određuje i koja vrsta saobraćaja se kriptuje, što omogućava da se određeni tipovi IP saobraćaja, na primer VoIP, mogu u slučaju potrebe, prenositi i bez enkripcije.

 

Kvalitet servisa ( QoS ) je vitalna komponenta pri stvaranju pouzdane, skalabilne i bezbedne mreže za prenos glasa, slike i podataka. Konzistentne QoS politike "sa kraja na kraj" mreže se mogu implementirati čak i u slučaju da postoji mešavina kriptovanog i nekriptovanog saobraćaja.

Uvod

Delatnost klijentske firme: Finansijske usluge

Izazov: Stvoriti pouzdanu i sigurnu mrežu za prenos podataka, glasa i slike kroz MPLS L3 VPN mrežu servis provajdera.

Rešenje: Implementirati skalabilne ruting protokole - BGP između klijentskih i servis provajderovih routera i odgovarajući interni ruting protokol (Cisco EIGRP u ovom primeru).
Implementirati DMVPN u cilju fleksibilne enkripcije podataka.
Implementirati QoS politike "sa kraja na kraj" mreže, u skladu sa aplikacijama u mreži klijenta.

Rezultati: Korišćenje MPLS L3 VPN servisa u cilju postizanja optimalne, kriptovane komunikacije između udaljenih mreža. DMVPN tehnologija obezbeđuje fleksibilnost pri enkripciji podataka, kreiranjem dinamičkih tunela.
Određeni tipovi IP saobraćaja, na primer VoIP, se mogu prosleđivati i bez enkripcije, ukoliko postoji potreba za time. Konzistentnost primenjenih QoS politika, čak i ako postoji mešavina kriptovanog i nekriptovanog saobraćaja.

Izazov

Tipična WAN mreža banke pokriva više desetina udaljenih lokacija, filijala i ekspozitura, i jednu ili dve centralne lokacije. Transportne resurse u WAN mreži obezbeđuje u najvećoj meri nacionalni telekomunikacioni provajder- telekom. Tradicionalno, koriste se sitemi iznajmljenih linija i Frame Relay mreža.

Uočena je neophodnost migracije rešenja sa primene tradicionalnih tehnologija (tipično Frame Relay) na novije MPSL VPN tehnologiju iz razloga koji se, pre svega, odnose na realizaciju pristupnih linkova veće propusne moći i mogućnost formiranja fleksibilne logičke organizacije (tipična realizacija WAN mreže korišćenjem tradicionalnih tehnologija podrazumeva logičku topologiju zvezde). Uvođenjem IP telefonije i preusmeravanja poziva po principu najmanjih troškova, nastala je potreba za novom topologijom sa direknim vezama između svake dve lokacije. Zbog toga je izabrana migracija tradicionalnog rešenja na korišćenje MPLS L3 VPN usluge nacionalnog servis provajdera za realizaciju prenosne infrastrukture uz dodatni zahtev za povećanje nivoa zaštite podataka pri prenosu kroz javnu MPLS mrežu, odnosno obezbeđivanje garancije kvaliteta servisa za različite tipove saobraćaja.

Rešenje

Za realizaciju nove WAN mrežne infrastrukture izabrano je korišćenje MPLS L3 VPN usluge u kombinaciji sa Dynamic Multipoint Virtual Private Network (DMVPN) tehnologijom. Glavni faktori koji su uzeti u obzir pri donošenju ovakve odluke su bile prednosti koje nudi DMVPN u odnosu na tradicionalna IPsec VPN rešenja.

DMVPN nudi veliki broj prednosti, od kojih su neke ovde pobrojane:

  • Sposobnost dinamičkog kreiranja tunela između centralne i udaljenih lokacija, kao i između udaljenih lokacija, čime je obezbeđeno potpuno međusobno povezivanje.
  • Poboljšane performanse mreže.
  • Smanjeno kašnjenje za aplikacije koje rade u realnom vremenu.
  • Podrška za dinamičke ruting protokole.
  • Podrška za multikast saobraćaj između centralne i udaljenih lokacija.
  • Visok stepen redundanse, korišćenjem NHRP ili dinamičkog ruting protokola.

    • Sledeći protokoli čine DMVPN tehnologiju:

  • Generic Routing Encapsulation Protocol ( GRE ) se koristi za enkapsulaciju IP unikast, multikast, i brodkast paketa.
  • Next Hop Resolution Protocol ( NHRP ) se koristi za dinamičko razrešavanje IP adresa krajnjih tačaka tunela.
  • Dinamički ruting protokol ( RIP, EIGRP, OSPF, ODR, i BGP su podržani) se koristi za oglašavanje privatnih adresnih opsega unutar
    • DMVPN mreža.
  • IPsec protokoli za enkripciju se koriste za zaštitu podataka unutar tunela.

    • Predloženo rešenje funkcioniše na sledeći način:

    Udaljene lokacije klijenta su povezane korišćenjem MPLS L3 VPN usluge nacionalnog servis provajdera. BGP ruting protokol se koristi za komunikaciju sa opremom servis provajdera. EIGRP ruting protokol se koristi za rutiranje u okviru mreže klijenta.

    U prvoj fazi, svaka udaljena lokacija otvara trajni IPsec tunel ka centralnoj lokaciji. Adresa centralnog rutera mora da bude statička i poznata svim udaljenim lokacijama. Tunel koji se ostvaruje je tipa multipoint GRE (mGRE) sa IPsec zaštitom.

    EIGRP ruting relacije se uspostavljaju između centralne i svake od udaljenih lokacija, čime se postiže međusobno oglašavanja internih adresnih opsega.

    Svaki od rutera sa udaljenih lokacija, kao NHRP klijent, registruje javnu adresu svog interfejsa na centralnom ( HUB ) ruteru koji ima ulogu NHRP servera. Centralni ruter održava NHRP bazu u kojoj se nalaze preslikavanja između fizičkih adresa interfejsa i adresa tunel interfejsa na udaljenim lokacijama.

    U ovoj fazi, se ne uspostavljaju tuneli između udaljenih lokacija.

    Kada je potrebno sa jedne udaljene lokacije poslati pakete na (privatnu) adresu koja se nalazi na drugoj udaljenoj lokaciji, prvi udaljeni ruter će poslati upit NHRP serveru za javnu (spoljnu) adresu drugog udaljenog rutera kako bi se mogao podići direktan tunel. NHRP server će potražiti u NHRP bazi podataka odgovarajući odredišni ruter i odgovoriti na upit u skladu sa time. Nakon ovog procesa se vrši uspostava direktnog IPsec tunela između udaljenih lokacija.

    Integracijom multipoint GRE (mGRE) interfejsa, sa NHRP i IPsec protokolom, direktni dinamički IPsec tuneli se mogu uspostaviti kroz DMVPN mrežu. Ovo je prikazano na Slici 1:

    Slika 1. DMVPN mrežna topologija i protokoli

    Za enkripciju saobraćaja se koristi 256 bitna AES blok šifra, pošto je to trenutno najsigurniji dostupan algorita i zbog toga što su akceleratorske kartice na ruterima optimizovane za ovu vrstu enkripcije bez unošenja dodatnog kašnjenja.

    Ukoliko je potrebno, određeni tipovi IP saobrađaja, na primer VoIP, se mogu proslediti bez enkripcije.

    U cilju postizanja optimalne redundanse, predlaže se DMVPN arhitektura tipa "dvostruki centralni ruter, sa dvostrukom DMVPN mrežom". Ovakva topologija je sačinjena od dve paralelne DMVPN mreže (dva DMVPN oblaka) i oslanja se na dinamički ruting protokol za preusmeravanje saobraćaja u slučaju otkaza. Jedna DMVPN mreža se sastoji iz centralnog rutera (HUB1) i svih udaljenih rutera, dok se druga DMVPN mreža sastoji iz drugog centralnog rutera (HUB2) i svih udaljenih rutera. Na udaljenim ruterima se utiče na metrike ruta dobijenih od centralnih rutera tako da prvi centralni ruter (HUB1) ima prioritet.

    Topologija predložene mreže je data na slici 2.

    Slika 2. Topologija DMVPN mreže u WAN mreži Banke

    Ruteri na udaljenim lokacijama mogu posedovati Survivable Remote Site Telephony ( SRST) funkcionalnost za IP telefoniju, kao i za korišćenje ISDN mreže u slučaju potpunog otkaza veze ka servis provajderu.

    Izgled tipične udaljene lokacije je dat na Slici 3.

    Slika 3. Tipična ekspozitura banke

    QoS politike se implementiraju na način da se kompletan saobraćaj klasifikuje i markira u mreži klijenta, i na centralnoj i na udaljenim lokacijama. Nakon toga se klase mapiraju u CoS klase u mreži servis provajdera i u skladu sa time procesiraju da bi se ostvario brz i pouzdan transport podataka.

    Rezultati

    Nova MPLS L3 VPN usluga koju nude servis provajderi omogućava direktnu mrežnu komunikaciju između udaljenih lokacija, što nije bio slučaj kod tradicionalnih L2 servisa (Frame Relay, L2 VPN, leased lines) gde je kompletna komunikacija morala da prođe kroz centralno čvorište. Ovakva raspodela saobraćaja predstavlja izazov kada je u pitanju obezbeđivanje šifrovanja podataka. Tradicionalan metod je podrazumevao veliki broj IPsec VPN tunela koji su topologijom zvezde povezivali centralnu sa udaljenim lokacijama.

    DMPVN tehnologija predstavlja rešenje za implementaciju sigurne komunikacije u topologijama tipa "svako sa svakim", kakve se nalaze u MPLS L3 VPN okruženju. Umesto ogromnog broja statičkih IPsec tunela, po potrebi se formiraju i raskidaju dinamički IPsec tuneli. Više ne postoji potreba za statičkim kripto mapama, već se one automatski generišu korišćenjem podataka iz dinamičkog ruting protokola. Ruting protokolom se određuje i koja vrsta saobraćaja se kriptuje, što omogućava da se određeni tipovi IP saobraćaja, na primer VoIP, mogu u slučaju potrebe, prenositi i bez enkripcije.

    Kvalitet servisa ( QoS ) je vitalna komponenta pri stvaranju pouzdane, skalabilne i bezbedne mreže za prenos glasa, slike i podataka. Konzistentne QoS politike "sa kraja na kraj" mreže se mogu implementirati čak i u slučaju da postoji mešavina kriptovanog i nekriptovanog saobraćaja.
     
    Copyright© 1998-2006 MDS d.o.o. All rights reserved - Sva prava zadrzana