این راهنمای طراحی، اجزای کاربردی جامع و مورد نیاز برای ساخت یک شبکه اختصاصی مجازی سایت به سایت (VPN) را در زمینه اتصال شبکه گسترده منطقهای (WAN) تعریف میکند. این بررسی اجمالی درباره طراحی، در سطح بالا، انتخابهای طراحی دردسترس برای ساخت یک IPsec VPN WAN را تعریف میکند و عواملي را که بر انتخاب شما تأثير ميگذارند توصيف ميکند. راهنمای طراحی فردی، طراحی و اجرای دقیقتر برای هر یک از انواع طراحیهای اصلی را فراهم میکند.
بررسی اجمالی از طراحی، بخشی از راهحلهای VPN در حال انجام را با استفاده از آخرین فناوری VPN از سیسکو و براساس اصول طراحی عملی که برای مقیاسگذاری مورد آزمایش قرار گرفتهاند شناسایی میکند.
معرفی
این متن بهعنوان یک راهنمای طراحی برای کسانی است که قصد دارند یک VPN سایت به سایت براساس امنیت IP (IPsec) ارائه دهند. طرحهای ارائه شده در این متن بر پلتفرمهای روتر سیسکو IOS VPN تمرکز دارد.
توپولوژی اولیه که در این متن توضیح داده شده است، یک طراحی hub-and-spoke است که منابع اولیه در یک سایت مرکزی بزرگ، با تعدادی سایت کوچک و یا دفاتر شعبه با اتصال مستقیم به سایت مرکزی بر روی یک VPN واقع شدهاند. یک نمودار سطح بالا از این توپولوژی در شکل 1 نشان داده شده است.
پروتکلهای تونلزنی
پروتکلهای تونلزنی در ویژگیهایی که پشتیبانی میکنند، مشکلاتی که برای حل آنها طراحی شدهاند و مقدار امنیتی که برای انتقال داده ارائه میکنند متفاوت هستند. طرحهای ارائه شده در این معماری براستفاده از IPsec بهعنوان پروتکل تونلزنی، IPsec مورد استفاده در ارتباط با Encapsulation مسیریابی عمومی(GRE) و رابطهای مجازی تونل (VTI) تمرکز دارند.
فاز اول IKE
فاز اول IKE، مذاکرات اولیه و دو طرفه ISAKMP SA بین دو جفت رمزنگاری شده به عنوان حالت اصلی اشاره شده است. فاز اولIKE با احراز هویتی که در آن هر جفت رمزنگاری هویت خود را با یکدیگر بررسی میکنند شروع میشود. هنگام تأیید اعتبار، جفت رمزنگاری شده در مورد الگوریتم رمزگذاری، روش هش و سایر پارامترهای توصیف شده در بخشهای زیر برای ساخت ISAKMP SA موافق هستند. مکالمه بین دو جفت رمزنگاری میتواند با رفع نگرانی از بازیابی کلید به هنگام تماس استعلام شود. ISAKMP SAتوسط فرایند IKE برای مذاکره با امنیت در پارامترهای IPsec SA استفاده میشود. اطلاعات ISAKMP SA به صورت محلی در پایگاه داده SA هر یک ذخیره میشود. جدول 1 پارامترهای مختلف امنیتی تعریف شده در بخشهای زیر را نشان میدهد.
کلیدهای پیش از اشتراک
PSK ها یک رشته کلید از پیش تعیین شده در هر جفت رمزنگاری هستند که برای شناسایی یکدیگر استفاده میشوند. به هنگام استفاده از PSK، دو جفت رمزنگاری قادر به مذاکره و ایجاد ISAKMP SAهستند. PSK معمولا حاوی آدرس آی پی میزبان یا زیر شبکه و ماسک است که برای PSK خاص معتبر است. یک کلمه PSKنوع خاصی از PSK است که شبکه و ماسک میتواند هر آدرس IPباشد.
زیرساخت کلید عمومی با استفاده از گواهینامههای دیجیتال X.509
جایگزینی برای اجرای PSK، استفاده از زیرساخت کلید عمومی (PKI) با گواهینامههای دیجیتال X.509 است. گواهینامههای دیجیتال از یک شخص ثالث مورد اعتماد استفاده میکنند، که به عنوان یک گواهینامه معتبر شناخته میشوند (CA) و به صورت دیجیتالی، قسمت عمومی کلید nonce رمزگذاری شده را امضا میکنند.
توافقنامه کلید Diffie-Hellma
توافق کلید Diffie-Hellman یک روش رمزگذاری کلید عمومی است که راهحلی برای دو رمزنگاری برای ایجاد یک کلید مخفی مشترک که تنها آنها میدانند فراهم میکند، در حالی که در ارتباط با یک کانال ناامن است.
با کلید اختیاری Diffie-Hellman، هر جفت یک کلیدی عمومی و خصوصی تولید میکند. کلید خصوصی تولید شده توسط هر جفت مخفی نگه داشته میشود و هرگز به اشتراک گذاشته نمیشود. کلید عمومی از کلید خصوصی توسط هر جفت محاسبه میشود و بر روی کانال ناامن مبادله میشود. هر جفت، کلیدهای عمومی را با کلید خصوصی شخصی خود ترکیب میکند و یک عدد مخفی مشترک را محاسبه میکند. سپس عدد مخفی مشترک به یک کلید مخفی مشترک تبدیل میشود. کلید مخفی مشترک هرگز بر روی کانال ناامن مبادله نمیشود.
شفافیت NAT(تراکم NAT)
شفافیت IPsec NAT (NAT-T)، جفت رمزنگاری برای انتقال از طریق نقاط NAT یا PAT در شبکه با بستهبندی بستههای رمزنگاری در بستهبندی UDP معرفی میکند، که اجازه میدهد بستهها از دستگاههای NAT عبور کنند. NAT-T برای اولین بار در سیسکو IOS 12.2 (13) Tمعرفی شد و به طور پیش فرض بهعنوان یک دستور جهانی معرفی شد. NAT-T به صورت خودکار بین دو جفت رمزنگاری در هنگام مذاکره ISAKMP با یک پورت UDP مقصد از 4500 مذاکره میکند. منبع از پورت بالاتر در دسترس استفاده میکند. هنگامیکه پورت UDP 4500 استفاده میشود، پورت مقصد به پورت 4501، 4502 و غیره حرکت میکند تا یک جلسه ISAKMP ایجاد شود. NAT-T در RFC 3947 تعریف شده است.
استراتژی دسترسی به اینترنت
چگونگی انتقال ترافیک اینترنت از دفاتر شعبه نیز میتواند بر طراحی VPN IPsec مقیاسپذیری تاثیر بگذارد. که در درجه اول زمانی که اینترنت به عنوان انتقال اتصال به شعبات استفاده میشد در نظر گرفته شده است. دو گزینه مشترک در دو بخش بعدی با مفاهیم مقیاسپذیری طراحی شرح داده شده است.
backhaul
مشتریان شرکت معمولا انتخاب میکنند که تمام ترافیک را به سایت headend بازگردانند، صرف نظر از اینکه آیا ترافیک برای شبکه شرکتی یا برای اینترنت تعیین شده است. ممکن است برای رمزگذاری و انتقال ترافیک اینترنت بر روی اینترنت از طریق یک تونل IPsec، فقط برای رمزگشایی به نظر ناکارآمد باشد. اما احتمالا از همان دروازه که بسته بود وارد شوند.
سرویسهای یکپارچه
سرویسهای یکپارچه که در حال اجرا بر روی روترهای یکسانی به عنوان VPN IPsec هستند باید در کل مقیاسپذیری مورد توجه قرار گیرند، زیرا بسته به سیستم عامل، سرویسهای اضافی میتوانند عملکرد روتر را تحت تاثیر قرار دهند. نمونههایی از خدمات یکپارچه در بخشهای بعدی پوشش داده میشود.
امنیت
سرویسهای یکپارچه امنیتی میتوانند شامل فایروال، IPS، پیشگیری از DoS، کنترل دسترسی شبکه (NAC) وغیره باشند. خدمات امنیتی معمولا در حین انجام بازرسی و تجزیه و تحلیل بسته به شدت محاسباتی هستند.
ترافیک ترکیبی
سیسکو سوالهای زیادی را در مورد مشتریان در رابطه با آزمایش با اندازههای خاص بسته و یا با تست محبوب IMIX جواب داده است. سیسکو با اندازه بستهی خاصی آزمایش نمیکند و از IMIX استفاده نمیکند. همانطور که قبلا ذکر شد، روش تست برای اعمال پروفایلهای واقعی ترافیک مشتری، به عنوان نقاط انتهایی سرور است (مانند Sun Netras یا Penguins) که برای ایجاد جریانهای پروتکل انتها به انتهای شبکه استفاده میشوند.
این مقاله در سال 2006 منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله بررسی اجمالی طراحی IPsec VPN WAN در سایت ای ترجمه مراجعه نمایید.
