DVTI (Dynamic Virtual Tunnel Interface)

Önceki yazımda SVTI’dan bahsetmiştim. Kısaca hatırlatmak gerekirse: Crypto map yerine VTI kullandığımızda elimizde hemen hemen tüm interface komutlarını uygulayabileceğimiz bir tunnel interface oluyordu. Bu sayede sadece VPN’e özgü security ve QoS konfigürasyonları yapabiliyorduk. (Ayrıca bu tünellerin multicast desteği de oluyordu). İşte remote access VPN’i dinamik crypto map değil de dinamik VTI kullanarak yapılandırırsak bu bahsettiğimiz yetenekleri remote access bağlantılarda da kullanabiliriz.

DVTI yapılandırırken tünel tipinde bir virtual-template (sanal taslak) interface’i oluşturuyoruz. Bir istemci VPN’e bağlandığında o istemci için bir virtual-access interface’i otomatik olarak oluşuyor. Virtual-access interface’leri de konfigürasyonunu virtual-template’ten kopyalıyor.

Aşağıdaki konfigürasyonu daha önce vermiş olduğum ISAKMP Profile örneğini değiştirerek hazırladım. Önceki örnekle karşılaştırıp aradaki farkları görmek faydalı olabilir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

İstemciler router üzerinde ulaşılabilir olan her hangi bir interface’in IP’sini girip VPN bağlantısı kurabilirler. İstemcilerin bağlandığı bu IP router tarafında o istemci için oluşturulan virtual access interface’inin tunnel source IP’si olarak kullanılır. Dolayısıyla virtual-template interface’i altında bir tunnel source IP’si belirtmeye gerek yok.

Virtual-template interface’lerinin kendi IP’leri ise “ip unnumbered” komutuyla başka bir interface’ten kopyalanır. Bu sayede aynı virtual-template interface’inden klonlanan birden fazla virtual-access interface’inin IP çakışması yaşamadan aynı IP’yi kullanabilmesi sağlanır. Biz bu örnekte dış IP’yi kullandık. Ancak unutulmamalıdır ki tünel interface’lerinin kendi IP’leri sadece bu interface routing’de rol alıyorsa önem kazanır. Dolayısıyla istemcinin routing’e dahil olmadığı durumlarda bu IP’nin hangi interface’ten kopyalandığı çok kritik değildir. Her zaman up oldukları için bir loopback interface’inden kopyalanması da tercih edilir.

Bunlara ek olarak interface altına IPSEC komutlarını da girdik ve virtual-template’i bir isakmp profile’a atadık. Böylece remote access VPN konfigürasyonunun DVTI ile ilgili kısmını tamamlanmış olduk. İstemciler FastEthernet0/1 IP’sine bağlanıp VPN’e dahil olduklarında virtual-access 1 interface’inin özelliklerinin aşağıdaki gibi olduğunu görebiliriz.

Yukarıdaki çıktıda istemci FastEthernet0/1 IP’sine bağlandığı için tunnel source 10.0.2.1 olarak gözükmektedir. 10.10.10.10 IP’si ise istemcinin gerçek IP’sidir. Bu IP’ler istemciye gönderilen VPN trafiğinin dış IP başlığında bulunur. Bunun yanı sıra Virtual-access 1’in kendi IP’sinin de FastEthernet0/1’den kopyalandığı için 10.0.2.1 olduğunu görebiliriz.

 

 

Bu ikinci çıktıda da istemciye VPN isimli pool’dan atanan IP için virtual-access interface’ine yönlendirme yapan bir statik routing satırı görülmektedir. Bu IP iç IP başlığında bulunur. Bu satır sayesinde istemciye geri dönen trafiğin VPN’e girmesi sağlanır.

2012″ye bir yazı daha sığdırmış olduk böylece 🙂 2013″te yeni yazılarda görüşmek üzere, herkese bol network”lü ve mutlu yıllar 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir