تانلینگ یا VPN راه حل بسیار مناسبی برای اتصال دو شبکه محلی از طریق یک شبکه Wan می باشد . به طور مثال می توانید دو شعبه از یک شرکت را از طریق بستر اینترنت و یا اینترانت به هم متصل کنید. از دیدگاه سیسکو VPN به دو دسته کلی زیر تقسیم میشود :
1- service provider VPN
2-enterprise VPN
Enterprise VPN :
1- ipsec
2- cisco easy VPN
3- L2TP
4- GRE
5- DMVPN
6- VTI
7- GetVPN
Service provider VPN :
1- MPLS(Multi protocol label switching)
2- metro ethernet
3- VPLS(Virtual Private Lan Service)
GRE :
ارتباط از نوع point to point را برقرار میکند.
قابلیت های بسیاری به ما میدهد.به عنوان مثال میتوانیم ایتترفیس tunnel را در اختیار داشته باشیم و dynamic routing protocol کانفیگ کنیم و policy هایی مثل QOS را روی آن پیاده کنیم.
اما این روش که کانفیگ ساده ای دارد فاقد امنیت می باشد.
DMVPN :
همان GRE هستش با این تفاوت که میتوانیم ارتباط چند نقطه را بهم وصل کنیم.همچنین برای امنیت آن میتوان از ipsec استفاده کرد.
VTI :
در واقع همان ipsec هستش که قابلیت های GRE به آن اضافه شده و دارای امنیت شده است.
GETVPN :
يكي از تكنولوژي هاي جديد site-to-site vpn می باشد. اما اين vpn , تانل ايجاد نميكند و در نتيجه نميتواند روي بستر اينترنت ارتباط شعبه ها را برقرار كند اما ميتوان براي ايجاد ارتباط از روش DMVPN استفاده كرد وبراي protect كردن اين ارتباط از GETVPN.
تفاوت protect كردن ارتباط توسط IPSEC با GETVPN
در GETVPN هم از IPSEC استفاده ميشود با اين تفاوت كه negotiation كليد ها قبل از ارسال بسته و به صورت افلاين انجام ميشود بنابراين delay در GET VPN وجود ندارد وبراي ترافيك هاي Video , Voice بسيار مناسب است.
تفاوت ipip , l2tp, pptp چیست؟
هر سه پروتکل های VPN مربوط به VPN هستند.
PPTP : ساده ترین نوع پروتکل VPN هست که encryption نداشته (امنیتش آن ضعیف بوده) و چون encryption ندارد نسبت به سایر پروتکل های VPN سریعتر کار میکند و سربار هم ندارد. جزء پروتکل های Point-To-Point VPN و Remote-Access VPN هم می باشد(یعنی کاربران میتوانند از طریق VPN Client و از راه دور به VPN Server وصل شوند).
L2TP : از طریق یک رشته یا string که اصطلاحاً به آن Pre-Shared-Key گفته می شود(شبیه به یه پسورد هست) و بنابراین به نسبت PPTP امنیت آن مقداری بیشتری می باشد. همانند PPTP این پروتکل جز پروتکل های P2P VPN همینطور Remote-Access VPN می باشد.
IPIP بر خلاف دو مورد قبلی، تنها جزء پروتکل های Site to Site VPN هست یعنی دو تا سایت رو میتواند به یکدیگر متصل کرده و از طریق ایجاد یه تانل (از این لحاظ شبیه به GRE کار میکند). مثلاً هنگامی که تصمیم دارید دو شعبه از یک شرکت رورا به هم متصل کنید VPN یا GRE یا IPSec استفاده کنید (البته IPSec هم میتواند به صورت P2P VPN کار کند و هم به صورت Remote-Access VPN). IPIP بیشتر روی شبکه اینترنت کار میکنه و بسته های IP را در داحل بسته های IP دیگر قرار داده و ارسال می نماید.
جدیدترین نوی VPN استفاده از SSL و TLS است که بدون نیاز به نرم افزار خاصی در سمت کاربر و تنها به کمک مرورگر می توان به آن وصل شد و شروع به کار کرد. به طور مثال SSL VPN را روی Cisco ASA در شرکت فعال می کنیم و از منزل با وصل شدن به صفحه Web Page شرکت و وارد کرده نام کاربری و کلمه عبور به فایل سرور و RDPهای روی سرور متصل می شویم.
نکته 1: در مدل Site to Site اگر نیازی به رمزگذاری نباشد می توان از پروتکل GRE یا Generic Routing Encapsulation استفاده کرد. در صورتیکه به Encryption نیاز باشد از IPsec همراه با ISAKMP یا IKE برای رد و بدل کردن کلید و Certificate استفاده می شود. حالت ترکیبی استفاده از GRE همراه با IPsec امکان خوبی برای Routing و همچنین انتقال دیتا را فراهم می سازد.
سیسکو EZVPN را برای ساده کردن پیاده سازی Site to Site VPN ارائه کرده است بدین صورت که با IPهای داینامیک اینترنت نیز بتوان از VPN استفاده کرد.
نکته 2: مدل های DMVPN و GETVPN دو مدل دیگر وی پی ان برای شبکه هایی است که می خواهند تعداد زیادی از شعب را روی اینترنت به هم وصل کنند در این مدل غیر از سایت های اصلی بقیه می توانند از IP داینامیک و ADSL استفاده کنند که نیازی به آدرس استاتیک نباشد.(پایین آوردن هزینه)
