Post on 18-Jun-2015
VPNTechnologieën en oplossingen
VPN en IP VPN
Er was eens… VVPN
• Leased line netwerk• Echt ‘privaat’ netwerk: eigen
lijnen met gegarandeerde capaciteit
• Per connectie een fysische interface nodig op de router: complexe setup, dure routers
• Routeringstabellen in elke router
• Meestal in een sternetwerk structuur
• Duur en niet flexibel
Toen kwam er… VPN – Frame Relay (1)
• De backbone wordt ‘gevirtualiseerd’
• De locaties worden niet meer rechtstreeks op elkaar aangesloten, sites komen op de backbone
• Per site een leased line naar de dichtste POP
• PVC (permanent virtueel circuit) wordt doorheen de backbone vastgelegd van site naar site
• Virtueel circuit = geen vaste capaciteit (gedeeld met andere connecties)
• VPN geschikt voor alle protocollen
Toen kwam er… VPN – Frame Relay (2)
Toen kwam er… VPN – Frame Relay (3)
Van VPN naar IP VPN
• Frame Relay vraagt nog steeds dure leased lines naar het backbone netwerk toe, vaak niet interessant wanneer de sites dicht bij elkaar liggen
• Moet vast geconfigureerd worden doorheen de backbone
• Zoektocht naar nog goedkopere oplossingen, gebaseerd op zuivere IP netwerken = IP VPN• Heeft geleid tot twee types:
– Netwerk gebaseerde IP VPN: de intelligentie en beveiliging zit in het (backbone) netwerk ingebakken– CPE gebaseerde IP VPN: de intelligentie en beveiliging wordt voorzien vanuit de eindpunten, met apparatuur op
de sites van het netwerk
Netwerk gebaseerde IP VPN: MPLS technologie (1)
•Gemeenschappelijke backbone voor alle klantennetwerken van de provider
•Sites worden op de backbone aangesloten (dichtstbijzijnde POP)
•Per VPN worden routeringstabellen opgesteld in de backbone
•Capaciteit in de backbone wordt gedeeld tussen de klanten
•Backbone en VPN’s onder beheer van 1 provider, die verantwoordelijk is voor de kwaliteit
Netwerk gebaseerde IP VPN: MPLS technologie (2)
Netwerk gebaseerde IP VPN: MPLS technologie (3)
eindapparatuur gebaseerde IP VPN: tunneling (1)
• Meestal publiek Internet als backbone
• Sites worden op Internet aangesloten
• Geen notie van VPN in de backbone
• Capaciteit in de backbone wordt gedeeld tussen alle internetgebruikers
• Provider heeft geen controle over de kwaliteit van de VPN over de backbone
eindapparatuur gebaseerde IP VPN: tunneling (2)
eindapparatuur gebaseerde IP VPN: tunneling (3)
Types van eindapparatuur
• Site-to-site connecties– Apparatuur die de tunnel opzet en permanent onderhoudt
– VPN/firewall appliances (Watchguard, Netscreen,…)
– VPN/firewall software op server
– routers met VPN functionaliteit
• Client-to-site connecties– Software die op de PC van de gebruiker geïnstalleerd wordt
– Tunnel wordt door de PC opgebouwd nadat de gebruiker een paswoord heeft ingegeven
IP VPN met tunneling naar centraal punt in het netwerk
Toegangstechnologieën voor (IP) VPN (1)
• Leased line• Symmetrische capaciteit• Duur, zelfs voor relatief lage
capaciteit
Toegangstechnologieën voor (IP) VPN (2)
• ADSL technologie• Asymmetrische capaciteit• Vrij goedkoop, afhankelijk
van de variant (vast IP adres of variabel)
• Voor MPLS technologie enkel ADSL Office mogelijk (vaste fysische connectie)
1-3 Mbit/s
128-256 kbit/s
Toegangstechnologieën voor (IP) VPN (3)
• SDSL• Symmetrische capaciteit• Vrij betaalbaar, grote keuze
qua capaciteit
SDSL voor private netwerken
• Configuratie zoals leased lines
Conclusie voor IP VPN
• Netwerk gebaseerd– Beste garantie voor kwaliteit, SLA’s mogelijk (oplossing volledig beheerd door 1 provider)– Beperkingen voor kleine sites: geen aansluitingen tegen zeer lage kost, enkel de duurdere
vorm van breedbandverbindingen met vast IP adres rechtstreeks op de backbone
• Eindapparatuur gebaseerd: tunneling over publiek (Internet) of half-publiek netwerk
– Lage kost voor kleine sites met goedkope breedbandaansluiting en lichte eindapparatuur– Meestal geen volledig beheer door 1 partij– Beheer van de VPN kan uitbesteed worden op basis van het beheer van de
eindapparatuur, maar geeft dus geen garanties over de kwaliteit van de backbone– Goedkoopste variant met client tunneling software op de PC van de eindgebruiker, maar
brengt een verborgen kost mee m.b.t. het beheer van de software op de PC’s– Kost van de hoofdsite kan oplopen bij symmetrische connectie op de hoofdsite (SDSL of
huurlijn) en zwaardere eindapparatuur om de tunnels van alle andere sites aan te kunnen
• Combinatie tussen netwerk gebaseerd en eindapparatuur gebaseerd– Op basis van dubbele aansluiting op de hoofdsite– Op basis van een gateway in het netwerk van de provider