FlexVPN

Önceki yazımda IKEv2’den bahsetmiş ve point-to-point VPN topolojilerinde kullanımına örnekler vermiştik. Bu yazımda da multipoint topolojilerde kullanımını inceleyeceğiz. DMVPN ile çok uçlu routing alt yapısı oluşturabileceğimizi zaten biliyoruz. IKEv2 ve IPSEC kullanarak da bunun güvenliğini sağlamamız mümkün. Ancak DMVPN’in yapabildiklerinin fazlasını da yapabilen, dolayısıyla IKEv2 kullanılırken tercih edilebilen FlexVPN adını verdiğimiz bir yapı da mevcut. Bu yazıda da aslında daha çok bu yapıyı inceliyor olacağız.
Okumaya devam et “FlexVPN”

IKEv2 (Internet Key Exchange version 2)

Merhaba

Bu yazımda IKEv2’den bahsedeceğim. Daha önceki yazılarda incelediğimiz üzere ISAKMP protokolü IPSEC bağlantısını güvenli bir şekilde başlatma görevini üstlenen bir protokoldür. Önceden çok detaylı bahsetmemiş olsam da ISAKMP aslında daha geniş ve IKE adını verdiğimiz bir protokolün bir parçası. İkisi aynı şey olmasa da yapılandırma perspektifinden hemen hemen aynı şeyi ifade etmekte ve neticede cümle içinde kullanılırken de çoğu kez birbirlerinin yerine kullanılmaktadır. İşte IKEv2 de IPSEC için aynı amaca yönelik tasarlanmış yeni bir protokol.
Okumaya devam et “IKEv2 (Internet Key Exchange version 2)”

Enhanced Easy VPN

Daha önce Cisco IOS’ta Easy VPN yazımda sadece software client’ların değil router’ların da bir istemci gibi davranıp Remote-access VPN gateway’lerine bağlanabileceğinden bahsetmiş ve farklı istemci yapılandırmalarını incelemiştik. Bunun yanı sıra DVTI yazımda da Remote-access VPN’i dinamik crypto map yerine dinamik VTI kullanarak nasıl yapılandırabileceğimizi açıklamıştık. DVTI sayesinde VPN gateway’de her istemci için ayrı bir Virtual-access interface’i elde ediyorduk. Aynı şekilde router’ların istemci olarak davrandığı Easy VPN senaryosunda da DVTI kullanabiliriz. İstemci router’ların da bir tunnel interface aracılığıyla VPN’e dahil oldukları bu yapıya da Enhanced Easy VPN adı veriliyor.
Okumaya devam et “Enhanced Easy VPN”

DMVPN (5): Faz 3

Önceki yazılarımda DMVPN Faz 1’de spoke’ların tüm rotaları hub üzerinde bildiğini ve tüm trafiğin hub üzerinden geçtiğini, Faz 2’de ise tüm spoke’ların tüm rotaları bildiğini ve spoke’ların birbirleriyle doğrudan haberleşebildiğini söylemiştim. Faz 2’nin avantajı ortada; trafik hub’ın bant genişliğini harcamaz ve gecikme daha küçük tutulur. Faz1’de ise genellikle özetleme yapıldığı için spoke’ların routing table’larının küçük olması gibi bir avantaj var. Faz 3’te bu iki avantaj bir araya getirilmeye çalışılır: Tüm rotalar yine merkezde bilinir ama trafik doğrudan spoke’lar arasında akar.
Okumaya devam et “DMVPN (5): Faz 3”

DMVPN (3): Faz 1

Önceki yazımda NHRP kullanarak bir router’ın mGRE tünelindeki diğer routerların tunnel source IP’lerini – her birini statik olarak girmektense – nasıl dinamik olarak keşfedebildiğinden bahsetmiştim. Bunun yanı sıra ilk yazımda da bahsettiğim gibi DMVPN’in en verimli şekilde çalışabilmesi için hem tünel source IP’si keşfinin hem de routing’in dinamik olarak yapılması gerekmektedir. Önceki yazılarımda ise mGRE’nin çalışma mantığını anlatırken basitlik adına routing’i hep statik yapmıştım. Bu yazıdan itibaren routing’i de dinamik yapacağız.
Okumaya devam et “DMVPN (3): Faz 1”

DMVPN (2): NHRP Operasyonu

Önceki yazımda mGRE kavramını açıklayarak DMVPN teknolojisine bir giriş yapmıştım. DMVPN’i verimli bir şekilde kullanabilmek için dinamik yönlendirme ve tünel source’larının dinamik bir şekilde keşfedilmesi (NHRP) gerektiğinden bahsetmiş ancak çalışma mantığını kavramak adına hem yönlendirmeyi statik yapmış hem de NHRP girdilerini staik girmiştim. Bu yazıda ise NHRP’yi dinamik olarak yapılandırıp çalışma mantığını inceleyeceğiz. Yönlendirmeyi ise şimdilik yine statik olarak bırakacağız.
Okumaya devam et “DMVPN (2): NHRP Operasyonu”

DMVPN (1): mGRE ve NHRP

Merhaba

Bu zamana kadarki yazılarımda hep iki uçlu VPN topolojilerini ele aldım. Artık çok uçlu VPN topolojilerine geçiş yapıyoruz. Bu yazımda  DMVPN (Dynamic Multipoint VPN)’den bahsedeceğim. Adından da anlaşılacağı üzere DMVPN bir çok uçlu VPN modeli. Hemen belirteyim DMVPN geniş bir konu. O yüzden DMVPN için bir kaç yazı yazmayı düşünüyorum. Bu ilk yazıda DMVPN’in çalışma mantığını anlatıp çok basit bir topoloji örneği vereceğim.
Okumaya devam et “DMVPN (1): mGRE ve NHRP”

Çakışan IP blokları arasında IPSEC VPN

Merhaba

IPSEC VPN’in uzak noktalardaki iki site arasında güvenli bağlantı sağlayan bir teknoloji olduğunu biliyoruz. IPSEC VPN bir kurumun uzak noktalardaki şubeleri arasında güvenli bağlantı sağlamak amacıyla kullanılabileceği gibi, iki farklı kurumun karşılıklı anlaşmasıyla bu kurumlar arasındaki belli bir trafiğin güvenliğinin sağlanması amacıyla da kullanılabilir. Bu “kurumlar arası” VPN türünde “kurum içi” VPN’de karşılaşılması pek olası olmayan bir durum ortaya çıkabilir: İki kurumun da aynı private IP aralığını kullanıyor olması.
Okumaya devam et “Çakışan IP blokları arasında IPSEC VPN”

Cisco IOS'ta Easy VPN

Merhaba

Bildiğiniz gibi bir Cisco router’ı VPN geçidi olarak tanımlayıp, uzak istemcileri bu router ile IPSEC bağlantısı kurmaları suretiyle iç ağa güvenli bir şekilde dahil etmek mümkündür. Genel adı remote-access olan bu yapı Cisco terminolojisinde Easy VPN olarak geçiyor.

Easy VPN kavramı sadece üzerinde bir VPN yazılımı olan son kullanıcı cihazlarını kapsamamaktadır. Uzak noktalardaki router’lar da bir IPSEC VPN istemcisi olarak yapılandırılabilir. Yani IPSEC VPN gateway olarak yapılandırılan bir router’a son kullanıcıların yanı sıra başka ağ cihazları da bağlanabilir. Bu yazıda ben daha çok istemci router yapılandırmasını ve farklı istemci yapılandırmalarındaki özellikleri inceleyeceğim.
Okumaya devam et “Cisco IOS'ta Easy VPN”