Flex VPN / IKEv2 Teknolojileri

Flex VPN/IKEv2 Teknolojileri ve Yenilikleri

Bu makalemizde “IKEv2 ve Flex VPN nedir, Flex VPN’i neden kullanmalıyız? ” anlatılmaktadır.

Flex VPN;
Büyük enterprise networklerde aynı anda farklı VPN çeşitlerine ihtiyaç duyulmaktadır.
Bu teknolojilerin iç içe geçmesi bizim networkümüzü karmaşıklaştırmada ve yönetim zorluğu sebebiyle hata çözme sürelerini uzatmaktadır. Flex VPN çözümünde birçok vpn teknolojisi (site to site, remote site, remote access, spoke to spoke, mobility..) aynı anda
kullanılabilmektedir. Flex VPN tüm bunları yapabildiği gibi ayrıca GRE, Crypto, VTI tabanlı güçlü ve stabil çözümlerde sunmaktadır.

IKEv2;
Flex VPN, IKEv2 standartlarını kullanmaktadır. IKEv2 next-generation key management protokolü olarak tasarlanmıştır (RFC 4306). IKEv2 teknolojisi ile birlikte bir takım yenilikler gelmiştir. Bunlardan bahsedecek olursak;

  • VPN cihazlarının negotiation süreleri kısaltılmıştır. 4 mesaj CHILD_SA kurulması için yeterli olmaktadır.
  • Encryption, hash, Diffie-Hellman groups ve prf fonksiyonları tek bir policy içinde desteklenmektedir.
  • Main ve Aggressive modu yoktur.
  • Bazı temel fonksiyonlar protokolün içerisine yedirildi. (liveness/DPD (dead peer detection) check, NAT detection (NAT-T), DoS protection(IP Spoofing))
  • EAP (Extensible Authentication Protocol) protokolü desteklenmektedir.
  • Asimetrik authentication mekanızması desteklenmektedir (PKI)
  • Ipv4 ve Ipv6 encrption için tek bir crypto engine kullanmaktadır.
  • IKEv2 sequence ve acknowled mesajlarının kullanılması ile birlikte daha fazla güvenilirlik sağlanmıştır.
  • Tüm VPN cihazlarının tamamının aynı IKE versiyonunu kullanması gerekmektedir.
  • İnternet üzerinde telefon haberleşmeleri için (VoIP) SCTP protokolü desteklenmektedir.

IKEv1 ve IKEv2 mesajlarının karışıtırılması, görüldüğü gibi IKEv2 sadeleştirilmiş bir mesaj yapısına sahip.

Cisco IOS Flex VPN Özellikleri:

  • FlexVPN public ya da private networke uygulanabilmektedir. Yani internet veya MPLS networklerinede ygulanabilir.
  • Üç şekilde yedeklenebilmektedir;

1) Dinamik Routing Protokolü ile
2) IKEv2 tabanlı dynamic route distribution ve server clustering ile
3) İki cihaz arasında IPsec/IKEv2 active/standby stateful failover (cihaz ve IOS versiyonu kontrol edilmelidir.)

  • IKEv2 destekleyen cihazlar ile birlikte çalışabilmektedir.
  • Site to Site ve Remote Access VPN tek bir Flex VPN içerisinde desteklenmektedir. Connection isteklerine göre Flex VPN cevap vermektedir.
  • Native IP Multicast desteklenmektedir.
  • QoS fonksiyonu desteklenmetedir.
  • Oluşturulan VPN’ler için dinamik policyler uygulanabilmektedir. Örneğin; split-tunnel policy, encryption network policy, Virtual Route Forwarding (VRF) selection, Remote Access Server için Domain Name System (DNS) ve full entegre authentication, authorization ve accounting (AAA)/RADIUS fonksiyonları desteklenmektedir.
  • VRF desteği bulunmaktadır. MPLS VPN networklerine full entegre olabilmektedir. VRF policyleri merkezi bir AAA server ile uygulayabilirsiniz.
  • Hub & Spoke ve Spoke to Spoke VPN desteği mevcuttur ve NHRP ile entegre çalışabilmektedir.

Flex VPN içerisinde NHRP çözümlemesi Request ve Reply Şeması:

Flex VPN yapabileceğiniz cihazların listesi aşağıdaki gibidir;

BGP ile Spoke to Spoke Flex VPN örnek konfigurasyonu aşağıdaki gibidir.
Flex VPN Hub Konfigurasyonu;

hostname hub
!
crypto ikev2 authorization policy default
pool flex-pool
def-domain cisco.com
route set interface
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Loopback0
ip address 172.16.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.0.100 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip nhrp network-id 1
ip nhrp redirect
tunnel protection ipsec profile default
!
ip local pool flex-pool 172.16.0.1 172.16.0.254
!
router bgp 65100
bgp router-id 10.0.0.100
bgp log-neighbor-changes
bgp listen range 172.16.0.0/24 peer-group spokes
neighbor spokes peer-group
neighbor spokes remote-as 65100
neighbor spokes transport connection-mode passive
neighbor spokes update-source Loopback0
!
address-family ipv4
neighbor spokes activate
neighbor spokes default-originate
neighbor spokes prefix-list no-default in
exit-address-family
!
ip prefix-list no-default seq 5 deny 0.0.0.0/0
ip prefix-list no-default seq 10 permit 0.0.0.0/0 le 32

Flex VPN Client Konfigurasyonu;
Birinci client konfigurasyonu (spoke1);

hostname spoke1
!
crypto ikev2 authorization policy default
route set interface
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke1.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.110 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.110.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
router bgp 65100
bgp router-id 10.0.0.110
bgp log-neighbor-changes
neighbor hubs peer-group
neighbor hubs remote-as 65100
neighbor hubs update-source Tunnel0
neighbor 172.16.1.1 peer-group hubs
!
address-family ipv4
network 192.168.110.0
neighbor 172.16.1.1 activate
exit-address-family
İkinci client konfigurasyonu (spoke2);
hostname spoke2
!
crypto ikev2 authorization policy default
route set interface
route set access-list flex-route
!
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn spoke2.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination 10.0.0.100
tunnel protection ipsec profile default
!
interface Ethernet0/0
ip address 10.0.0.120 255.255.255.0
!
interface Ethernet1/0
ip address 192.168.120.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
!
router bgp 65100
bgp router-id 10.0.0.120
bgp log-neighbor-changes
neighbor hubs peer-group
neighbor hubs remote-as 65100
neighbor hubs update-source Tunnel0
neighbor 172.16.1.1 peer-group hubs
!
address-family ipv4
network 192.168.120.0
neighbor 172.16.1.1 activate
exit-address-family

BARIŞ GENÇ
CCIE # 27940
CCSI # 33089
www.cliguru.com

Kaynaklar;
http://www.cisco.com/en/US/products/ps12922/products_configuration_example09186a0080c0e3f0.shtml
http://www.cisco.com/en/US/prod/collateral/routers/ps9343/data_sheet_c78-704277.html
http://en.wikipedia.org/wiki/Internet_Key_Exchange
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080bf2932.shtml
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-mt/sec-flex-spoke.html#GUID-93BA760D-DB01-4849-BCE2-C21A047FE0ED

3 yorum

  1. Mükemmel aciklama. Ingilizce sitelerde cok karmasik anlatilmis. Burada anlatim cok iyiydi 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir