بررسی اجمالی طراحی IPsec VPN WAN (مقاله ترجمه شده)

این راهنمای طراحی، اجزای کاربردی جامع و مورد نیاز برای ساخت یک شبکه اختصاصی مجازی سایت به سایت (VPN) را در زمینه اتصال شبکه گسترده منطقه‌ای (WAN) تعریف می‌کند. این بررسی اجمالی درباره طراحی، در سطح بالا، انتخاب‌های طراحی دردسترس برای ساخت یک IPsec VPN WAN را تعریف می‌کند و عواملي را که بر انتخاب شما تأثير مي‌گذارند توصيف مي‌کند. راهنمای طراحی فردی، طراحی و اجرای دقیق‌تر برای هر یک از انواع طراحی‌های اصلی را فراهم می‌کند.

بررسی اجمالی از طراحی، بخشی از راه‌حل‌های VPN در حال انجام را با استفاده از آخرین فناوری VPN از سیسکو و براساس اصول طراحی عملی که برای مقیاس‌گذاری مورد آزمایش قرار گرفته‌اند شناسایی می‌کند.

معرفی

این متن به‌عنوان یک راهنمای طراحی برای کسانی است که قصد دارند یک VPN سایت به سایت براساس امنیت IP (IPsec) ارائه دهند. طرح‌های ارائه شده در این متن بر پلتفرم‌های روتر سیسکو IOS VPN تمرکز دارد.

توپولوژی اولیه که در این متن توضیح داده شده است، یک طراحی hub-and-spoke است که منابع اولیه در یک سایت مرکزی بزرگ، با تعدادی سایت کوچک و یا دفاتر شعبه با اتصال مستقیم به سایت مرکزی بر روی یک VPN واقع شده‌اند. یک نمودار سطح بالا از این توپولوژی در شکل 1 نشان داده شده است.

پروتکل‌های تونل‌زنی

پروتکل‌های تونل‌زنی در ویژگی‌هایی که پشتیبانی می‌کنند، مشکلاتی که برای حل آنها طراحی شده‌اند و مقدار امنیتی که برای انتقال داده ارائه می‌کنند متفاوت هستند. طرح‌های ارائه شده در این معماری براستفاده از IPsec به‌عنوان پروتکل تونل‌زنی، IPsec مورد استفاده در ارتباط با Encapsulation مسیریابی عمومی(GRE) و رابط‌های مجازی تونل (VTI) تمرکز دارند.

فاز اول IKE

فاز اول IKE، مذاکرات اولیه و دو طرفه ISAKMP SA بین دو جفت رمزنگاری شده به عنوان حالت اصلی اشاره شده است. فاز اولIKE با احراز هویتی که در آن هر جفت رمزنگاری هویت خود را با یکدیگر بررسی می‌کنند شروع می‌شود. هنگام تأیید اعتبار، جفت رمزنگاری شده در مورد الگوریتم رمزگذاری، روش هش و سایر پارامترهای توصیف شده در بخش‌های زیر برای ساخت ISAKMP SA موافق هستند. مکالمه بین دو جفت رمزنگاری می‌تواند با رفع نگرانی از بازیابی کلید به هنگام تماس استعلام شود. ISAKMP SAتوسط فرایند IKE برای مذاکره با امنیت در پارامترهای IPsec SA استفاده می‌شود. اطلاعات ISAKMP SA به صورت محلی در پایگاه داده SA هر یک ذخیره می‌شود. جدول 1 پارامترهای مختلف امنیتی تعریف شده در بخش‌های زیر را نشان می‌دهد.

کلید‌های پیش از اشتراک

PSK ها یک رشته کلید از پیش تعیین شده در هر جفت رمزنگاری هستند که برای شناسایی یکدیگر استفاده می‌شوند. به هنگام استفاده از PSK، دو جفت رمزنگاری قادر به مذاکره و ایجاد ISAKMP SAهستند. PSK معمولا حاوی آدرس آی پی میزبان یا زیر شبکه و ماسک است که برای PSK خاص معتبر است. یک کلمه PSKنوع خاصی از PSK است که شبکه و ماسک می‌تواند هر آدرس IPباشد.

زیرساخت کلید عمومی با استفاده از گواهینامه‌های دیجیتال X.509

جایگزینی برای اجرای PSK، استفاده از زیرساخت کلید عمومی (PKI) با گواهینامه‌های دیجیتال X.509 است. گواهینامه‌های دیجیتال از یک شخص ثالث مورد اعتماد استفاده می‎‌کنند، که به عنوان یک گواهینامه معتبر شناخته می‌شوند (CA) و به صورت دیجیتالی، قسمت عمومی کلید nonce رمزگذاری شده را امضا می‌کنند.

توافقنامه کلید Diffie-Hellma

توافق کلید Diffie-Hellman یک روش رمزگذاری کلید عمومی است که راه‌حلی برای دو رمزنگاری برای ایجاد یک کلید مخفی مشترک که تنها آنها می‌دانند فراهم می‌کند، در حالی که در ارتباط با یک کانال ناامن است.

با کلید اختیاری Diffie-Hellman، هر جفت یک کلیدی عمومی و خصوصی تولید می‌کند. کلید خصوصی تولید شده توسط هر جفت مخفی نگه داشته می‌شود و هرگز به اشتراک گذاشته نمی‌شود. کلید عمومی از کلید خصوصی توسط هر جفت محاسبه می‌شود و بر روی کانال ناامن مبادله می‌شود. هر جفت، کلیدهای عمومی را با کلید خصوصی شخصی خود ترکیب می‎کند و یک عدد مخفی مشترک را محاسبه می‌کند. سپس عدد مخفی مشترک به یک کلید مخفی مشترک تبدیل می‌شود. کلید مخفی مشترک هرگز بر روی کانال ناامن مبادله نمی‌شود.

شفافیت NAT(تراکم NAT)

شفافیت IPsec NAT (NAT-T)، جفت رمزنگاری برای انتقال از طریق نقاط NAT یا PAT در شبکه با بسته‌بندی بسته‌های رمزنگاری در بسته‌بندی UDP معرفی می‌کند، که اجازه می‌دهد بسته‌ها از دستگاه‌های NAT عبور کنند. NAT-T برای اولین بار در سیسکو IOS 12.2 (13) Tمعرفی شد و به طور پیش فرض به‌عنوان یک دستور جهانی معرفی شد. NAT-T به صورت خودکار بین دو جفت رمزنگاری در هنگام مذاکره ISAKMP با یک پورت UDP مقصد از 4500 مذاکره می‌کند. منبع از پورت بالاتر در دسترس استفاده می‌کند. هنگامی‌که پورت UDP 4500 استفاده می‌شود، پورت مقصد به پورت 4501، 4502 و غیره حرکت می‌کند تا یک جلسه ISAKMP ایجاد شود. NAT-T در RFC 3947 تعریف شده است.

استراتژی دسترسی به اینترنت

چگونگی انتقال ترافیک اینترنت از دفاتر شعبه نیز می‌تواند بر طراحی VPN IPsec مقیاس‌‎پذیری تاثیر بگذارد. که در درجه اول زمانی که اینترنت به عنوان انتقال اتصال به شعبات استفاده می‌شد در نظر گرفته شده است. دو گزینه مشترک در دو بخش بعدی با مفاهیم مقیاس‌پذیری طراحی شرح داده شده است.

backhaul

مشتریان شرکت معمولا انتخاب می‌کنند که تمام ترافیک را به سایت headend بازگردانند، صرف نظر از اینکه آیا ترافیک برای شبکه شرکتی یا برای اینترنت تعیین شده است. ممکن است برای رمزگذاری و انتقال ترافیک اینترنت بر روی اینترنت از طریق یک تونل IPsec، فقط برای رمزگشایی به نظر ناکارآمد باشد. اما احتمالا از همان دروازه که بسته بود وارد شوند.

سرویس‌های یکپارچه

سرویس‌های یکپارچه که در حال اجرا بر روی روترهای یکسانی به عنوان VPN IPsec هستند باید در کل مقیاس‌پذیری مورد توجه قرار گیرند، زیرا بسته به سیستم عامل، سرویس‌های اضافی می‌توانند عملکرد روتر را تحت تاثیر قرار دهند. نمونه‌هایی از خدمات یکپارچه در بخش‌های بعدی پوشش داده می‌شود.

امنیت

سرویس‌های یکپارچه امنیتی می‌توانند شامل فایروال، IPS، پیشگیری از DoS، کنترل دسترسی شبکه (NAC) وغیره باشند. خدمات امنیتی معمولا در حین انجام بازرسی و تجزیه و تحلیل بسته به شدت محاسباتی هستند.

ترافیک ترکیبی

سیسکو سوالهای زیادی را در مورد مشتریان در رابطه با آزمایش با اندازه‌های خاص بسته و یا با تست محبوب IMIX جواب داده است. سیسکو با اندازه بسته‌ی خاصی آزمایش نمی‌کند و از IMIX استفاده نمی‌کند. همانطور که قبلا ذکر شد، روش تست برای اعمال پروفایل‌های واقعی ترافیک مشتری، به عنوان نقاط انتهایی سرور است (مانند Sun Netras یا Penguins) که برای ایجاد جریانهای پروتکل انتها به انتهای شبکه استفاده می‌شوند.

این مقاله در سال 2006 منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله بررسی اجمالی طراحی IPsec VPN WAN در سایت ای ترجمه مراجعه نمایید.