ADVPN ve DMVPN nedir

ADVPN ve DMVPN

ADVPN

Merkezi HUB’ ı trafik için daha iyi bir yol hakkında Spoke’ ları (konuşmacıları) dinamik olarak yönlendirmesine olanak tanır. Hub, uç ve tam örgü topolojileri için internet veya WAN üzerinden adres yönetimini kullanarak IPsec VPN tünellerini otomatik olarak kurar.

HUB: Yönlendirme bilgilerinin değişim merkezidir. Aynı zamanda Hub-Spoke ağında bir veri iletme merkezidir.

Spoke: Genellikle bir şubenin ağ geçidi olarak hareket eder. Diğer ADVPN düğümlerinden alınan verileri iletmez.

Kısa Yol Oluşturma

Her iki spoke Hub’ dan gelen bilgileri onayladığında bir kısa yol tüneli oluşturur. Ana bilgisayarın Huba uğramadan diğer Spoke ulaşması için yönlendirme topolojisini değiştirir.

Şekilde Spoke 1’ den Spoke 2’ ye kadar olan trafiğin Hub’ dan geçmesine gerek yoktur.

İki Spoke arasında mesaj alışverişi yapmak için IKEv2 protokolü kullanılır. Bu konuşmacıların birbirleri arasında bir kısa yol tüneli oluşturmasına olanak tanır.

Kısa yol değişimi eşlerin birbirleriyle IKE ve IPsec SA’lar oluşturmasına olanak tanıyan bilgileri içerir.

Kısa Yol Başlatıcı ve Yanıtlayıcı Rolleri

Kısa yol önerici, eşlerden birini kısa yol başlatıcı olarak seçer diğerini cevap veren olarak seçer. Eşlerden hangisi NAT aygıtının arkasındaysa o başlatıcı olarak seçilir. Her iki eş NAT cihazının arkasındaysa aralarında kısa yol oluşturulmaz ve kısa yol önerici eşlerin hiçbirine kısa yol değişimi göndermez. Kısa yol önerici önce yanıtlayıcıyla kısa yol değişimine başlar. Cevap veren kısa yol önerisini kabul ederse önerici başlatıcıya bildirir.

Eşler kısa yol önerisini reddederse, ortaklar reddinin nedenini bildirir ve ortaklar arasındaki trafik, kısa yol önerici üzerinden geçmeye devam eder.

ADVPN çalışması için dinamik yönlendirmeler

1-BGP ile ADVPN

2-OSPF ile ADVPN

3-RIP ile ADVPN

ADVPN Yapılandırma Sınırlamaları

-Yalnızca Site-to-Site iletişim için desteklenir.
-Hem önerici hem ortak roller birlikte yapılandırılmaz.
-Her iki ortak NAT cihazının arkasındaysa kısa yol oluşturamazsınız.
-Çok noktaya yayın (Multicast) trafiği desteklenmez.

DMVPN

Aynı kaynakları kullanan farklı şubelerin VPN sunucusu veya yönlendirici üzerinden trafiği geçmesine gerek kalmadan konuşanlar (spoke) arasında güvenli veri alışverişi yapan çözümdür. Genel olarak bir network VPN topolojisi oluşturur. Yani konuşmacılar(spoke) merkezden geçmek zorunda kalmadan doğrudan iletişim kurabilen “Hub ve Spoke” ağıdır.

İki spoke arasında IP üzerinden ses (VOIP) kullanırken birbirleriyle doğrudan WAN veya İnternet bağlantıları aracılığıyla iletişim kurmasına izin verir ve aralarında dinamik bir IPsec VPN tüneli oluşturur.

DMVPN Bileşenleri

1- Çoklu GRE tünel arabirimler (mGRE):Çoklu bağlantı tünelleri oluşturulması için

birden çok bağlantı ara yüz görevi görür. Örneğin; Hub’ a bağlı 4 şubeden 1.Şube ve 2.Şube arasındaki trafik ve 3.Şube ile 4.Şube arasındaki trafik doğrudan tünelden geçsin.

Her yönlendiricide yalnızca bir tünel ara yüzü olacaktır. 1.Şube ve 2.Şube veya 3.Şube ve 4.Şube arasında bir tüneş açmak gerekirse, otomatik olarak yeni tüneller inşa edilir. Yani Şubeler arasında trafik olduğunda Hub ile göndermek yerine doğrudan tünelleyebiliriz.

2- IPsec tüneli uç noktası keşfi:IPSec VPN genellikle kurumsal ağlara güvenli bağlantı için veya ağları birleştirmek için kullanılır. Eşler arasındaki bir veya daha fazla veri akışını korumak için kullanılabilir.

3- Yönlendirme Protokolleri:Doğru yönlendirme protokolünü seçmek, DMVPN oluşturmada çok önemlidir.

OSPF: bir alandaki tüm yönlendiriciler ağın aynı görünümüne sahip olmalıdır. Alandaki herhangi bir değişiklik, alandaki tüm yönlendiricileri ilk önce en kısa yolu (SPF) çalıştırmak için tetikler. DMVPN tek bir alt ağ gerektirir, bu nedenle tüm OSPF yönlendiricilerin aynı ağda olması gerekir.

EIGRP: Gelişmiş bir mesafe vektör protokolüdür. Herhangi bir noktada ölçümleri değiştirebilir ve alan kavramı içermez. Bu nedenle DMVPN topolojisinde dağıtmayı ve ölçeklendirmeyi çok daha kolay hale getirir.

BGP: Çok sayıda rotayı ölçeklendirebilme kabiliyeti vardır. Varsayılan zamanlayıcılarla, yönlendiricilere diğer yönlendirme protokollerine göre daha az yük getirir.

4- NHRP(Next Hop Resolution Protocol):ARP karakteristiğinde çalışan bir protokoldür. Fiziksel ip adreslerini tünel ip adreslerine map eden bir protokoldür. Server-Client modeli ile çalışır. Bir yönlendirici NHRP Server olacaktır. Diğer tüm yönlendiriciler NHRP Client olacaktır. NHRP Client NHRP Selver'e kaydolur ve genel ip adreslerini bildirir. NHRP Server, önbelleğindeki tüm genel IP adreslerinin kaydını tutar.

DMVPN AVANTAJLARI

-Büyük miktarda sermaye gerekmez, operasyonel giderler azalır.
-İşletme hedeflerini kolayca tamamlayabilir ve herhangi bir kayıpla karşı karşıya kalırsa, çok kısa sürede kolayca kurtarabilirler.
-İş dünyasında şubeden şube düzeyine bağlantı, sesli uygulama türü için güçlü bir bağlantı oluşturur.
-Dağıtım karmaşıklığı giderilir.