آنچه تاکنون یاد گرفته ایم به ما نشان می دهد که پروتکل GRE روش Tunneling از نوع point-to-point است. بنابراین برای ایجاد ارتباط Tunnel بین بیش از دو سایت از چندین Tuunel استفاده می شود.به عنوان مثال اگر بخواهید دفاتر و...

یا شعب سازمانی را به شعبه مرکزی با توپولوژی Hub-and-Spoke به یکدیگر متصل کنید، روی هر سایتیک تونل GRE از نوع Point-to-Point به دفتر مرکزی ایجاد می شود.

اما در دفتر مرکزی به تعداد سایت ها تونل GRE از نوع Point-to-Point ایجاد می شود. شکل زیر ارتباط HUB-and-Spoke بین سه سایت را با دفتر مرکزی نشان می دهد که در آن سه اینترفیس Tunnel در دفتر مرکزی و یا نقطه HUB ایجاد شده است.حال اگر بخواهید ارتباط بین دفاتر به صورت مستقیم و بدون واسطه HUB برقرار شود، آنگاه تعداد Tunnel های Point-to-Point در هر سایت بسیار زیاد خواهد شد زیرا هر سایت باید به صورت مستقیمی تونلی با دیگر سایت ها و با دفتر مرکزی ایجاد نماید. اگر تعداد دفاتر n باشد، در توپولوژی Spoke-to-Spoke (که بین هر دو سایت ارتباط مستقیم وجود دارد)، تعداد Tunnel ها در هر سایت (n-1) و در مجموع n*(n-1) خواهد بود.

 توپولوژی Spoke-to-Spoke در سازمانهایی که ارتباطات Voice و یا Video روی IP بین سایت ها ایجاد می کنند، معمولا ضروری است زیرا عبور این ترافیک ها از نقطه HUB باعث تاخیر در ارسال ترافیک ها می شود که قابل تحمل برای Voice و Video نیست. توپولوژی Hub-and-Spoke بیشتر مناسب سازمانهایی است که امنیت در آنها از اهمیت بیشتری برخوردار است. ترافیک بین دفاتر اینگونه سازمانها از نقطه HUB عبور می کند که در آن روتر HUB نقطه مرکزی مدیریت و کنترل ترافیک هاست.

HUB and Spoke

ایجاد ارتباط HUB-and-Spoke با Point-to-Point GRE

DMVPN با بکارگیری تکنولوژی mGRE که نوعی روش Multipoint Tunneling است، مهمترین ابزار در کاهش تعداد Tunnel ها به شمار می رود. به عبارت دیگر در توپولوژی Hub-and-Spoke به جای ایجاد (n-1) تونل GRE از نوع Point-to-Point فقط یک تونل mGRE که از نوع Multipoint است، در دفتر مرکزی ایجاد می شود. همچنین در توپولوژی Spoke-to-Spoke و یا Full-Mesh که همه سایت ها به صورت مستقیم با هم صحبت می کنند، استفاده از صرفا یک تونل mGRE در هر سایت کافی است.

در شکل زیر ابتدا توپولوژی HUB-and-Spoke نشان داده شده است که در آن دفتر مرکزی به جای استفاده از چندین تونل Point-to-Point GRE از یک تونل Multipoint استفاده نموده است. در شکل بعدی نیز توپولوژی Spoke-to-Spoke آمده است که در هر سایت صرفا از یک تونل mGRE استفاده شده است.

HUB and Spoke2

توپولوژی Hub-and-Spoke و استفاده از mGRE در نقطه HUB

HUB and Spoke2

 توپولوژی Spoke-to-Spoke و استفاده از mGRE درهمه سایت ها

بنابراین هدف اصلی DMVPN کاهش تعداد Tunnel ها در ایجاد ارتباط بین دفاتر سازمان است. امروزه این تکنولوژی در ایران بسیار فراگیر شده و به عنوان یکی از روش های اصلی ارتباط در اکثر سازمانهای بزرگ در حال استفاده است. اکثر بانک ها از DMVPN به عنوان یکی از بسترهای ارتباطی در کنار VSAT و MPLS استفاده می کنند.

کاهش تعدا تونل تنها مزیت استفاده از DMVPN نیست. در ذیل بعضی از مزایایی که به واسطه بکارگیری DMVPN بدست می آورید، آمده است.

  1. کاهش تعداد Tunnel ها که اصلی ترین هدف DMVPN است.
    1. تونل بین سایت ها به صورت Dynamic ایجاد می شود.
  2. امکان ایجاد توپولوژی Huab-and-Soke و Spoke-to-Spoke
  3. عدم نیاز به آدرس های Static در Spoke ها. به عبارت دیگر Spoke ها می توانند ارتباط اینترنتی مثلا از نوع DSL داشته باشند که آدرس اینرتنتی آن هر چند وقت یکبار عوض می شود.
  4. در زمان ایجاد Spoke جدید نیاز به هیچ نوع پیکربندی جدید در HUB نیست
  5. در صورت استفاده از IPSec به همراه DMVPN، ایجاد تونل IPSec به صورت اتوماتیک انجام می شود. هدف از IPSec امن سازی تونل های GRE است. تونل GRE به تنهایی هیچگونه امنیتی ایجاد نمی کند.
  6. Hierarchical DMVPN به عنوان راه حل Scalability که امکان پیاده سازی DMVPN را در سازمانهای بزرگ فراهم می کند.
  7. وجود راه حل های Redundancy (dual HUB dual DMVPN و dual HUB single DMVPN)

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید