P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien Agenda 2 www.decus.de 1
VPN Überblick VPN Arten Vorteile von VPNs Einteilung der virtuellen Netzwerke VPNs über ein IP Netzwerk (Internet) 2004 BKM Dienstleistungs GmbH Intranet VPN Access VPN Service Provider Netzwerk Zentrale Extranet VPN VPN Arten 4 www.decus.de 2
Komplexität Kosten Erweiterbarkeit Administration www Vorhandene Hardware Vorteile von VPNs 5 Virtuelle Netzwerke Virtuelle Private Netzwerke Virtuelle Dial-Up Netzwerke Virtuelles LAN Overlay VPN Peer-to-Peer VPN Layer-2 VPN Layer-3 VPN Access-Lists (Shared Router) Split-Routing (Dedicated Router) MPLS/VPN X.25 FR ATM GRE L2TP PPTP IPsec SSL Layer 2 Layer 3 Einteilung der virtuellen Netzwerke 6 www.decus.de 3
MPLS PPTP IP Netzwerk GRE L2TP SSL IPsec VPNs über ein IP Netzwerk (Internet) 7 VPN Technologien für IP GRE PPTP L2TP SSL IPsec MPLS 2004 BKM Dienstleistungs GmbH www.decus.de 4
GRE Tunnel IP Netzwerk Pakete im GRE Tunnel: Data-Link GRE Generic Routing Encapsulation 9 MS Windows Client MS Windows 2000/2003 IP Netzwerk MS Windows 2000/2003 Point-to-Point Tunnel Protocol (PPTP) 10 www.decus.de 5
MS Windows Client MS Windows 2000/2003 IP Netzwerk Kontrollinformationen: Data-Link TCP Header PPTP Kontrollinformationen : Data-Link GRE PPP komprimierte + verschlüsselte PPTP Paketaufbau 11 L2TP Access Concentrator (LAC) ISDN PSTN L2TP Tunnel IP Netzwerk PPP L2TP Tunnel L2TP Network (LNS) Layer 2 Tunneling Protocol (L2TP) 12 www.decus.de 6
L2TP Access Concentrator (LAC) ISDN PSTN L2TP Tunnel IP Netzwerk PPP L2TP Tunnel L2TP Network (LNS) Pakete im L2TP Tunnel: Data-Link UDP L2TP PPP L2TP Paketaufbau 13 Browser (incl. Java) IP Netzwerk SSL VPN Intranet Web File/Terminal E-Mail pakete: SSL/ Data-Link TCP Verschlüsselte TLS SSL (Secure Socket Layer) VPN 14 www.decus.de 7
IPsec Transport IP Netzwerk IPsec Tunnel integrität Paketvertraulichkeit (Verschlüsselung) Paketauthentifizierung (vom Absenders) Anti Replay Service Transport Mode für Ende-zu-Ende Verbindungen Tunnel Mode für alle anderen Verbindungen IPsec Überblick 15 Transport Modus: AH authentifizierter Bereich Tunnel Modus: neu: AH authentifizierter Bereich Authentication Header (AH) 16 www.decus.de 8
Transport Modus: ESP Header ESP Trailer ESP Auth verschlüsselter Bereich authentifizierter Bereich Tunnel Modus: neu: ESP Header ESP Trailer ESP Auth verschlüsselter Bereich authentifizierter Bereich Encapsulating Security Payload (ESP) 17 IPsec ESP AH DES oder 3DES oder AES HMAC-MD5 oder HMAC-SHA HMAC-MD5 oder HMAC-SHA Tunnel oder Transport Tunnel oder Transport IPsec Transforms 18 www.decus.de 9
Security Association: Verschlüsselung Authentifzierung Hash Algorithmus Schlüsselaustausch Schlüssel Lebenszeit IP Hdr IPsec Tunel IKE Protokoll Internet Key Exchange (IKE) 19 A IPsec Tunnel B Pakete werden via IPsec Tunnel ausgetauscht Pakete werden verschlüsselt und entschlüsselt Verschlüsselung wird gemäß der SAs verwendet Der Tunnel wird terminiert IPsec Tunnel 20 www.decus.de 10
Wachstum im Internet Sehr hohe volumen (E-mail, WWW-Zugriff, FTP) Verschiedenste Anforderungen (Sprache, Musik und Video) Multiprotocol Label Switching RFC 3031 RFC 2702 2000 2001 1999 IETF 1998 IBM ARIS 1997 Nokia IP Switching Cisco Tag Switching Toshiba CSR MPLS: Hintergründe & Historisches 21 IP IP IP IP IP Data Link MPLS Data Link MPLS Data Link MPLS Data Link Data Link Routing Switching Routing Ingress LSR PE Router Egress LSR PE Router Transit LSR P Router Customer Edge CE Router MPLS Netzwerk Customer Edge CE Router MPLS Netzwerke 22 www.decus.de 11
Overlay VPN: Connection-Oriented MPLS VPN: Connectionless Any-to-Any Kommunikation Overlay und MPLS VPNs 23 VPN A VPN B PE Router VPN C CE Router Globale Routing Tabelle P Router VPN A Routing Tabelle VPN A Routing Tabelle VPN A Routing Tabelle PE Router CE Router VPN A VPN B VPN C VPN Routing and Forwarding Instance (VRF) 24 www.decus.de 12
VPN Netzwerk Design Kleine SOHO/SMB Netzwerke mit PPTP Mittlere Netzwerke mit IPsec Große Netzwerke mit IPsec und MPLS 2004 BKM Dienstleistungs GmbH Windows 2000/2003 Windows 2000/2003 DSL Router SOHO Windows 2000 Prof. Windows XP Prof. T-DSL PPTP Tunnel Verbindung DSL Router Zentrale Mitarbeiter Kleine SOHO/SMB Netzwerke mit PPTP 26 www.decus.de 13
Remote Access L2 Switch Mitarbeiter ISDN PSTN VPN Konzentrator IPsec L3 Distribution Switch Firewall Gebäude Stockwerke Farm Management ISP Internet Router L2 Switch Zentrale VPN Router mit IPsec Web Mitarbeiter Windows 2000 Prof. Windows XP Prof. mit IPsec SOHO Mittlere Netzwerke mit IPsec 27 Mitarbeiter ISDN PSTN VPN IPsec RAS ISP Router IPsec Router Zentrale Firewall L3 Distribution Switch Gebäude Stockwerke Farm Management ISP A ISP B VPN IPsec Mitarbeiter VPN Router mit IPsec MPLS Netzwerk MPLS Router SOHO Niederlassung Große Netzwerke mit IPsec und MPLS 28 www.decus.de 14
PPTP L2TP SSL IPsec MPLS RFC Standard (RFC 2637) (RFC 2661) (RFC 2246) (RFC 2401) (RFC 3031) Primäres Modell Ende-zu- Ende Provider-Enterprise Ende-zu- Ende Ende-zu- Ende Ende-zu - Ende Paket Authentifizierung Integritätsprüfung verschlüsselung QoS Signalisierung Transport Non-IP Intra VPN Routing (Broad-/Multicast) Skalierbarkeit niedrig mittel mittel mittel hoch Vergleich der VPN Technologien 29 VPN Auswahlkriterien 2004 BKM Dienstleistungs GmbH www.decus.de 15
Managed VPN VPN Verbindung Service Provider Unmanaged VPN VPN Verbindung Service Provider Managed oder Unmanaged VPN 31 Öffentlicher IP Backbone (Internet) Privater IP Backbone ISP A ISP A Internet Backbone Privater IP Backbone ISP A ISP A ISP A Öffentlicher oder Privater IP Backbone 32 www.decus.de 16
Videokonferenz: Das Bild ist sehr ruckartig. Die Sprache ist nicht synchronisiert! Telefon: Hallo, Hallo! Ich kann dich nicht verstehen! Filiale VPN mit DiffServ Zentrale Backbone Call Center Farm Call Center: Bitte warten Sie noch einen Moment, bis ich all ihre auf meinen Bildschirm habe. Quality of Service 33 Parameter Voice over IP IP VPN Throughput (Durchsatz) Utilization (Auslastung) Packet Loss Ratio (PLR) (Verlorene Pakete) Packet Delay (PD) Paket Laufzeit Availability (Verfügbarkeit) Packet Jitter (Verzögerung) Class of Service (CoS) Sollte in einer 5 Minuten Periode am Ziel gemessen werden. Gemessenen Durchsatz geteilt durch vertraglich zugesicherten Durchsatz Weniger als 0,1% in einem 5 Minuten Intervall Weniger als 150 msec 99,9% ± 45 msec Premium, Gold Sollte in einer 5 Minuten Periode am Ziel gemessen werden. Gemessenen Durchsatz geteilt durch vertraglich zugesicherten Durchsatz AF CoS: 0,1% für 95% vom Sample EF CoS: 2,0% für 95% vom Sample AF CoS: 50 msec für 95% vom Sample EF CoS: 25 mesc für 95% vom Sample 99,9% Nicht nötig Sliver, Bonze Service Level Agreement (SLA) 34 www.decus.de 17
Christoph Bronold Christoph.Bronold@bkm-gmbh.com BKM Dienstleistungs GmbH Hauptstrasse 5 D-83607 Holzkirchen www.bkm-gmbh.com 35 www.decus.de 18