• Anasayfa
  • Sertifikalarım
  • Network
    • Network ve OSI
    • ACL ve DHCP ve FTP/TFTP
    • STP
    • Frame Relay
    • Routing (Static/Dynamic)
    • RIP, IGRP,EIGRP ve OSPF
    • Redistribution ve PBR
    • Multicast Routing
    • Leaf and Spine
    • DMVPN ve IPSEC
  • Örnek Uygulamalar
    • VLAN Olusturma ve SSH
    • IRF Teknolojisi
    • Telnet,Software Upgrade
    • RIP, DHCP ve GRE (Huawei)
    • Juniper Basic
    • VRRP ve HSRP
    • GNS3 Lab
    • Password Recovery
    • Huawei S5700 IOS BootROOM
    • IP SLA
  • Network Temelleri Serisi
  • Teknik Dokumanlar
  • Blog ve Anketler
  • Cekilis
  • Giriş Yap
  • Hesap Oluştur
  • Rezervasyonlar
  • Hesabım

  • Şu kullanıcı olarak giriş yapıldı:

  • filler@godaddy.com

  • Rezervasyonlar
  • Hesabım

  • Oturumu kapat

Youtube kanalımıza abone olmak için buraya tıklayınız..

Şu kullanıcı olarak giriş yapıldı:

filler@godaddy.com

  • Anasayfa
  • Sertifikalarım
  • Network
    • Network ve OSI
    • ACL ve DHCP ve FTP/TFTP
    • STP
    • Frame Relay
    • Routing (Static/Dynamic)
    • RIP, IGRP,EIGRP ve OSPF
    • Redistribution ve PBR
    • Multicast Routing
    • Leaf and Spine
    • DMVPN ve IPSEC
  • Örnek Uygulamalar
    • VLAN Olusturma ve SSH
    • IRF Teknolojisi
    • Telnet,Software Upgrade
    • RIP, DHCP ve GRE (Huawei)
    • Juniper Basic
    • VRRP ve HSRP
    • GNS3 Lab
    • Password Recovery
    • Huawei S5700 IOS BootROOM
    • IP SLA
  • Network Temelleri Serisi
  • Teknik Dokumanlar
  • Blog ve Anketler
  • Cekilis

Hesap

  • Rezervasyonlar
  • Hesabım

  • Oturumu kapat

  • Giriş Yap
  • Rezervasyonlar
  • Hesabım

DMVPN (Dynamic Multipoint Virtual Private Network)

DMVPN nedir diye soracak olursak açılımı “Dynamic Multipoint Virtual Private Network” şeklinde olan bu teknoloji; Cisco tarafından geliştirilmiş, dinamik ve ölçeklenebilir bir VPN teknolojisidir. DMVPN’ in temel mantığı; birden fazla uzak lokasyonu yani branch ofisi, merkezi bir Headquarter noktaya bağlamak ve bu bağlantıyı dinamik bir şekilde yapılandırarak ağ yönetimini kolay bir hale getirmektir. 


DMVPN; Hub and Spoke dediğimiz yapılarda kullanılır. Hub dediğimiz noktalar merkezi, Spoke dediğimiz noktalar da uç lokasyonları temsil eder. DMVPN yapı içerisinde Hublar ile Spoke noktalar arası bağlantı kurulurken trafiğin güvenli bir yapı üzerinden iletilmesini sağlarken aynı zamanda tüm uç lokasyonların tek bir merkezden yönetilmesine de olanak tanır.


Özet olarak DMVPN'in amacı, farklı uzak noktalarda (şubeler, ofisler vb.) bulunan ağları, dinamik, güvenli ve merkezi bir yapı kullanarak birleştirmek ve iletişim masraflarını azaltmaktır. Özellikle, geniş bir ağda her yeni nokta eklemede ortaya çıkan konfigürasyon karmaşıklığını ve maliyeti minimuma indirir.


DMVPN, birden fazla uzak lokasyonun birbirleriyle veri alış verişi yapmasını yani networksel olarak haberleşmesini sağlar. İletişim, genellikle hub-and-spoke topolojisi kullanılarak gerçekleştirilir. Ancak DMVPN, gerektiğinde bir "spoke" cihazının başka bir "spoke" cihazıyla doğrudan bağlantı kurmasına (spoke-to-spoke iletişim) olanak tanır. Bu, mGRE (Multipoint GRE) tünelleri ve NHRP (Next Hop Resolution Protocol)kullanılarak yapılır. 


mGRE; tek bir bir GRE tünel üzerinden birden fazla uç noktayı birbiriyle haberleştirmek için kullanılır. NHRP ise dinamik routing yani yönlendirme ve IP adreslerinin çözümlemesini gerçekleştirir.


DMVPN’ in özellikleri nelerdir?

  • Spoke'lar arasında tünel bağlantıları dinamik olarak oluşturulur. Merkezi bir hub cihazı üzerinden tüneller konfigüre edilmez.
  •  Statik VPN bağlantılarında olduğu gibi her bir uç nokta için manuel konfigürasyon gerekmez.
  • Yeni bir cihaz veya şube eklendiğinde, yalnızca hub ile iletişim kurması yeterlidir.
  • IPsec protokolü ile uçtan uca güvenlik sağlar.
  • İhtiyaca bağlı olarak hem merkezi yönetim (hub-spoke) hem de noktadan noktaya (mesh) iletişim sağlayabilir.
  • DMVPN, veri trafiğini önceliklendirme ve ağ performansını optimize etme imkanı tanır.


DMVPN teknolojisi Faz1, Faz2 ve Faz3 olmak üzere 3 ayrı başlık altında incelenebilir. DMVPN Faz1’ de sadece hub-and-spoke topolojisi desteklenir. Spoke-to-spoke iletişim yoktur. Tüm trafik hub üzerinden akar. DMVPN Faz2’ de spoke'lar doğrudan birbirleriyle iletişim kurabilir (spoke-to-spoke). Statik rota gereksinimi kalkar, dinamik yönlendirme protokolleri (OSPF, EIGRP) kullanılabilir. DMVPN Faz3 büyük ölçekli ağlar için optimize edilmiştir. Spoke cihazları, hub üzerinden minimum trafik yönlendirmesi ile doğrudan konuşabilir. Rota özetleme ve dinamik protokol entegrasyonu daha verimlidir.


DMVPN’ in kullanım alanları şu şekildedir:

  • Büyük Şirketler ve Kurumlar:Farklı lokasyonları merkezi bir ağda birleştirmek için.
  • Mobil ve Geçici Ofisler:Hızlı bir şekilde bağlantı sağlamak için.
  • Bulut Tabanlı Çözümler:Bulut hizmetlerine erişimde güvenli bir ağ altyapısı sağlamak.


Kullanım alanları göz önünde tutulduğunda DMVPN’ in avantajları nedir diye bakacak olursak;

  • Esneklik
  • Ölçeklenebilirlik
  • Daha Az Yönetim Yükü
  • Çoklu Protokol Desteği
  • Düşük Maliyet

  

DMVPN paralelde IPSec, GRE Tunnel, NHRP ve Dynamic Routing Protokoller ile doğrudan bağlantılıdır. Uygulamadan önce mutlaka diğer teknolojiler de gözden geçirilmelidir. Uygulamaya geçmeden önce diğer konu başlıkları üzerinden de kısaca gerekli bilgileri buraya eklemek istiyorum.

Örnek Uygulama

GRE Tunnel, IPSec ve DMVPN için örnek uygulamaya ulaşabilirsiniz.

Örnek için tıklayınız.

IPSEC (Internet Protocol Security)

IPSec nedir diyerek giriş yapalım. Açılımı “Internet Protocol Security” olan bu teknoloji; internet protokolü yani IP üzerinde güvenli veri aktarımını sağlamak için kullanılan bir güvenlik (hashing) mekanizmasıdır. IPsec, hem bireysel cihazlar (ör. bilgisayarlar) hem de ağlar arasında güvenli iletişim sağlayarak verilerin gizliliğini, bütünlüğünü ve doğruluğunu korur.   

IPSec’ in temel amacı veri gizliliği, veri bütünlüğü, kimlik doğrulama ve replay-attack protection gibi temel unsurları sağlamaktır.

IPSec’ in 2 adet modu bulunur. Bunlar Transport ve Tunnel modlarıdır. Transport modunda; ilgili IP headeri’nin sadece payload kısmı şifrelenir. Genelde uçtan uca iletişim için kullanılır. Tunnel modunda ise IP Header şifrelenir ve önünde yeni bir IP Header eklenir. Ağırlıklı olarak VPN tüneller için kullanılır. IPSec altında kullanılan iki adet protokol mevcuttur. Bunlar AH (Authentication Header) ve ESP (Encapsulating Security Payload) şeklindedir. AH; veri bütünlüğünü ve kimlik doğrulamayı sağlar, şifreleme içermez, bu nedenle verilerin gizliliğini sağlamaz. ESP; hem veri bütünlüğü hem de şifreleme sağlar, trafik gizliliği ve güvenliği için yaygın olarak kullanılır. Bu iki protokol haricinde IPSec başlığı altında yer alan bazı bileşenler mevcuttur. Bunlar IKE (Internet Key Exchange), SA (Security Association) ve Kriplotolojik Algoritmalardır (AES, 3DES). IKE; taraflar arasında güvenli oturum anahtarlarının oluşturulmasını ve değişimini sağlar. IPsec bağlantısını kurmadan önce kullanılır.  

V1 ve V2 olmak üzere iki versiyondan oluşur. V1 eski versiyon olduğu için V2 ye göre daha az güvenilirdir. SA; İki taraf arasındaki IPsec oturumunun parametrelerini tanımlar. SA'lar, şifreleme algoritmaları, anahtarlar ve protokol türlerini içerir. Kriptolojik algoritmalar dediğimiz AES (Advanced Encrption Standard) ve 3DES aslında şifreleme için kullanılan algoritmalardır. Ayrıca bu başlık altında HMAC dediğimiz Hash-Based Message Authentication Code ve SHA dediğimiz Secure Hash Algorithm bulunur. Bu hashing mekanizmaları ile veri bütünlüğünün kontrolü sağlanır. Ayrıca Diffie-Helman algoritması mevcuttur.   

IPSec’ in temel çalışma mantığını özet geçecek olursak; ilk aşama olarak IKE ile birlikte iki cihaz arasında güvenli bir kanal oluşturulur. Diffie-Hellman kullanılarak şifreleme algoritmaları birbirleri arasında paylaşılır. Sonrasında SA ile iletişimde kullanılacak protokoller, algoritmalar ve diğer parametreler tanımlanır. Son olarak AH veya ESP kullanılarak cihazlar arasında güvenli veri transferi gerçekleştirilir.

Diğer bir konu başlığımız olan GRE Tunnel’ i inceleyerek olursak GRE yani “Generic Routing Encapsulation”; farklı protokolleri (IPv4, IPv6, MPLS, veya başka herhangi bir protokol) başka bir protokol (genellikle IP) üzerinden taşımak için kullanılan bir tünelleme protokolüdür. GRE, özellikle yönlendiriciler ve diğer ağ cihazları arasında veri paketlerini tünellemek için kullanılır. GRE tüneli, bir ağdan diğerine veri taşımak için sanal bir tünel oluşturur. Bu, iki cihaz arasında bir tünel bağlantısı kurarak, bu cihazların başka ağ protokolleri kullanarak iletişim kurmasını sağlar.

Peki GRE’ nin özellikleri nedir?

  • GRE, orijinal veri paketini alır, kapsüller ve yeni bir IP başlığı ekler.
  • GRE, herhangi bir taşıma protokolü üzerinde herhangi bir ağ protokolünü taşıyabilir.
  • GRE’nin kendisi güvenlik sağlamaz. Veriler şifrelenmez veya kimlik doğrulama yapılmaz. Ancak, IPsec ile birlikte kullanılarak güvenlik sağlanabilir. (Burada IPSec ile arasındaki en önemli farklı aslında görmüş oluyoruz)
  • Sanal tüneller aracılığıyla mantıksal ağ segmentasyonu sağlar.

GRE’ nin çalışma mantığı içerisinde Source ve Destination noktalar mevcuttur. Trafik, bu iki nokta arasında kurulacak olan virtual tünel üzerinden aktarılır. GRE de orijinal paket alınıp önüne GRE başlığı eklenir. Daha sonra bu GRE Header önüne de yeni bir IP Header eklenerek paketin hedefe ulaşması sağlanır. 2 adet modu bulunur bunlar point to point ve point to multipoint şeklindedir. GRE kapsülleme ile taşınan veri, tünel kaynağından hedefe kadar ağ üzerinden "görünür" şekilde taşınır. Bu, aşağıdaki yollarla trafiğin izlenmesine olanak tanır: 

  • Wireshark veya benzeri araçlar: GRE trafiği kolayca yakalanabilir ve analiz edilebilir.   
  • IP Başlıkları:Tünellenen paketin başlığı analiz edilebilir, böylece kapsüllenen protokol türü ve yönlendirme bilgileri tespit edilebilir.
  • GRE, yükün ne olduğuna bakılmaksızın taşır. Örneğin, IPv4, IPv6 veya başka bir protokol.

Son olarak özet bir şekilde NHRP’ yi açıklayalım. NHRP (Next Hop Resolution Protocol), RFC 2332'de tanımlanmış bir protokoldür ve özellikle DMVPN (Dynamic Multipoint Virtual Private Network) gibi ağlarda kullanılır. NHRP, bir ağ cihazının, hedef adresine ulaşmak için en iyi "bir sonraki atlama (next hop)" adresini dinamik olarak belirlemesini sağlar. NHRP, esasen bir adres çözümleme protokolü olarak çalışır. Tıpkı ARP (Address Resolution Protocol) gibi, ancak daha büyük ağlar ve farklı türdeki adres çözümlemeleri için tasarlanmıştır.

DMVPN, IPSEC ve GRE Örnek Uygulama

Video çok yakında burada olacak...

Telif Hakkı © 2024 Yavuz Selim AKTÜRK - Tüm Hakları Saklıdır.

www.ysakturk.com

Bu web sitesinde çerez kullanılır.

Web sitesi trafiğini analiz etmek ve web sitesi deneyiminizi optimize etmek amacıyla çerezler kullanıyoruz. Çerez kullanımımızı kabul ettiğinizde, verileriniz tüm diğer kullanıcı verileriyle birlikte derlenir.

ReddediyorumKabul Et

Hoşgeldiniz.

Soru ve görüşleriniz için, anasayfa kısmında yer alan iletişim bilgilerimden ulaşabilirsiniz.

İletişim