DMVPN چیست؟

VPNها (Virtual Private Network) توسط بسیاری از افرادی که از اتصالات شبکه ای استفاده می‌کنند که می‌تواند شامل ارسال و دریافت اطلاعات حساس باشد، عمدتا به عنوان یک مفهوم شناخته می‌شوند.

DMVPN یا به عبارتی VPN چندگانه داینامیک مانند Cisco DMVPN، برای رمزگذاری داده‌های ارسالی مانند VPN معمولی کار می‌کند. با این حال آن‌ها این کار را به روشی انجام می‌دهند که بتوانند ارتباطات ویژه بین شاخه های مختلف را امن کنند. این کار با استفاده از یک معماری متمرکز انجام می‌شود تا پیاده‌سازی و مدیریت آسان‌تری را برای استقرار در کل حوزه فناوری اطلاعات سازمان فراهم کند.

DMVPN چیست؟

DMVPN Cisco در واقع راه‌حلی است که به مکان‌های مختلف شعب با استفاده از همان منابع اجازه می‌دهد تا به جای استفاده از شبکه داخلی، به صورت مستقیم و ایمن از طریق WAN عمومی یا ارتباطات اینترنتی ارتباط برقرار کنند. در روش انجام این کار از کانکشن دائمی VPN بین سایت‌های مختلف استفاده نمی‌شود، بلکه از طریق یک معماری متمرکز است که می‌تواند حفاظت از VPN و کنترل دسترسی را بر اساس نیاز شما به کار گیرد. به همین ترتیب وقتی ارتباطات باز هستند یا دسترسی باید بر منابع دیجیتالی خاصی مفروض باشد، ویژگی‌های امنیتی VPN را به صورت انتخابی‌تری اعمال می‌کند. DMVPN همچنین حالت‌های ارتباطی، مانند سیستم VoIP، را در محافظت از VPN ادغام می‌کند.

مزایای DMVPN

طیف وسیعی از مزایای استفاده از DMVPN به جای VPN دائمی، یا در مورد شبکه‌های DMVPN در مقابل MPLS وجود دارد. موارد زیر برخی از رایج‌ترین مزایا است:

·  به طور کلی قابلیت اعتماد و سرعت اینترنت بالاتری دارد.

·  با تلفیق VPN با شیوه های ارتباطی، هزینه ارتباطات و کانکشن‌ها بین شاخه ها کاهش می‌یابد.

·  اجازه می‌دهد ارتباطات و کانکشن‌های شاخه به شاخه طریق یک سیستم متمرکز آسان‌تر شود.

·  با ایمن کردن مسیریابی توسط تکنولوژی IPsec، احتمال خرابی و از کارافتادگی را کاهش می‌دهد.

درک DMVPN

DMVPN بدون استفاده از روتر یا سرور VPN مرکزی امکان تبادل داده در یک شبکه امن را فراهم می‌کند. در حالی که VPN به عنوان رابطی بین سایت‌های از راه دور و HQ، یا بین شاخه‌های مختلف عمل می‌کند، DMVPN یک پروتکل VPN مش می‌سازد که می‌تواند به طور انتخابی برای کانکشن‌های مورد استفاده در تجارت استفاده شود. سایت‌های مختلف می توانند به طور ایمن به یکدیگر کانکت شوند. این کار با استفاده از روترها و متمرکز کننده های (concentrators) فایروال VPN انجام می‌شود، با پیکربندی DMVPN در روترهای موجود در سایت‌های از راه دور اجازه می‌دهد DMVPN mesh به کانکشنی که در آن زمان ساخته می‌شود اعمال شود.

اجزای DMVPN

رابط های چندگانه GRE tunnel: یک رابط GRE  که می‌تواند چندین تونل IPsec را ایمن کند، دامنه کلی پیکربندی DMVPN را کاهش دهد.

IPsec tunnel endpoint discovery: به این معنی که مپینگی که رمزنگاری استاتیک بین endpointهای تونل منحصر به فرد IPsec مپ می‌کند، لازم نیست پیکربندی شوند.

پروتکل های مسیریابی: که می‌تواند به DMVPN اجازه دهد مسیرهای بین endpointهای مختلف را بسیار موثرتر پیدا کند.

NHRP: که می‌تواند spokeهایی با آدرس IP اختصاصی را مستقر کند (deploy) که می‌توانند از هاب مرکزی DMVPN به آن کانکت شوند.

مراحل DMVPN

سه فاز یا مرحله متمایز از طراحی DMVPN وجود دارد که همه آن‌ها را می‌توان در راهنمای طراحی Cisco DMVPN یافت. به طور خلاصه آن‌ها به شرح زیر هستند:

DMVPN Phase 1 از استقرار تونل HUB-and-spoke استفاده می‌کند. تونل‌هایی که از طریق آن‌ها اتصالات بین شاخه ای ایجاد می‌شود فقط از طریق هاب مرکزی DMVPN و spokeهای منحصر به فرد ساخته می‌شوند، که مانند سیستم رایج VPN کار می‌کند.

DMPVN Phase 2 از استقرار تونل spoke-to-spoke استفاده می‌کند، به این معنی که لازم نیست داد‌ه‌ها ابتدا به یک هاب مرکزی بروند، تا وقتی که مسیرهای مشخصی برای زیر شبکه‌های spoke وجود داشته باشد.

DMPVN Phase 3 امکان استقرار تونل spoke-to-spoke را فراهم می‌کند، اما بدون مسیرهای مشخص از قبل ساخته شده، بلکه بیشتر از پیام‌های نشانگر ترافیک NHRP از هاب استفاده می‌کند تا بلافاصله این مسیرها را ایمن سازد.

جمع‌بندی

Dynamic Multiple VPN یا DMVPN یک موضوع پیچیده است، اما این موضوع یک پیکربندی امنیتی است که به کسب و کارها اجازه می‌دهد تا از طیف وسیعی از remote endpointها (یا endpointهای انعطاف‌پذیر که اغلب پوزیشن را جا به جا می‌کنند) استفاده کنند تا مطمئن شوند که می‌توانند امنیت شبکه خود را حفظ کنند و مطمئن شوند که انعطاف‌پذیر بوده و از نظر هزینه گران نیستند.