1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data Center und Branch Office Data Center und Remote User Agenda 2 www.it-symposium2008.de 1
VPN Verbindungen Zwischen Data Center und Backup Data Center Zwischen Data Center und Branch Office Zwischen Data Center und Remote User Layer 2 VPN Layer 3 VPN 2008 BKM Dienstleistungs GmbH IP Router RZ 2 ATM, FR RZ 1 Cluster Node 1 VLAN 100 IP Router IP/Internet Netzwerk Layer 2 Verbindung Für Cluster Heart-beat ATM, FR Cluster Node 2 VLAN 100 Cluster Server benötigen Layer-2/3 Verbindungen Alte WAN Technologien über IP anbinden Zwischen Data Center und Backup Data Center 4 www.it-symposium2008.de 2
ISP A ISP Router Zentrale Firewall L3 Distribution Switch Gebäude Stockwerke Server Farm Management ISP B ISP C SOHO Niederlassung Zwischen Data Center und Branch Office 5 Windows 2003 Server Zentrale Internet Windows XP Prof. Remote User Linux/ Nur Browser Zwischen Data Center und Remote User 6 www.it-symposium2008.de 3
Virtuelle Private Netzwerke (VPN) Layer-2 VPN MPLS Core IP Core VPWS VPLS GRE L2TP PPTP EoMPLS AToM Ethernet Layer 2 VPN 7 Virtuelle Private Netzwerke (VPN) Layer-2 VPN Layer-3 VPN MPLS Core IP Core MPLS Core IP Core VPWS VPLS GRE L2TP PPTP MPLS VPN IPsec GET SSL SSH EoMPLS AToM Ethernet Layer 3 VPN 8 www.it-symposium2008.de 4
Layer 2 VPN Verbindungen zwischen Data Center und Backup Data Center L2TPv3 Any Transport over MPLS (AToM) Ethernet over MPLS (EoMPLS) VPLS 2008 BKM Dienstleistungs GmbH RZ 2 ATM, FR L2TPv3 Tunnel (Pseudowire) IP Netzwerk IP Router Cluster Node 2 VLAN 100 RZ 1 ATM, FR Cluster Node 1 VLAN 100 IP Router Layer 2 Tunnel Protocol Version 3 (L2TPv3) 12 www.it-symposium2008.de 5
Vorteile von L2TPv3: L2TPv3 ist ein Industriestandard (RFC 3931) Einfache Installation und Administration L2TPv3 benötigt nur IP als Transport kein MPLS Netzwerk Transport von Layer 2 Protokollen wie z.b.: Ethernet IEEE 802.1q (VLANs) Frame Relay HDLC PPP ATM IPv6 Protocol Demultiplexing Layer 2 Tunnel Protocol Version 3 (L2TPv3) 13 RZ 2 CE Router RZ 1 PE Router P Router LDP LDP PE Router MPLS Netzwerk Cluster Node 2 VLAN 100 Cluster Node 1 VLAN 100 CE Router Pseudowire Any Transport over MPLS (AToM) 14 www.it-symposium2008.de 6
Vorteile von Any Transport over MPLS: Transparenter Datentransport (Pseudowire) für den Kunden Funktioniert nur mit einem MPLS Netzwerk Skalierbare Layer-2 VPN Lösung AToM mit QoS und Traffic Engineering kombinierbar Transport von jedem Layer 2 Protokoll wie z.b.: Ethernet VLAN (Ethernet over MPLS EoMPLS) Frame Relay HDLC PPP ATM Any Transport over MPLS (AToM) 15 RZ 3 RZ 2 RZ 1 CE L3 Switch CE L3 Switch PE Router LDP PE Router PE Router LDP MPLS Netzwerk Pseudowires Virtual LAN Bridge/Switch Vorteile: VPLS = Transparent LAN Service CE L3 Switch Ethernet-based Multipoint Layer-2 VPN Service Netzwerk simuliert einen Layer 2 Switch Voraussetzung: MPLS Netzwerk PE Router RZ 4 Virtual Private LAN Service (VPLS) 17 www.it-symposium2008.de 7
VPN Verbindungen zwischen Data Center und Branch Office PPTP IPsec MPLS 2008 BKM Dienstleistungs GmbH MS Windows Client MS Windows 2000/2003 Server IP Netzwerk MS Windows 2000/2003 Server Point-to-Point Tunnel Protocol (PPTP) 21 www.it-symposium2008.de 8
Entwickelt von Microsoft, Ascend Communication und 3COM beteiligt. PPTP ist im RFC 2637 definiert Vorteile: PPTP ist ein Tunnel-Protokoll, das OSI Layer 2 oder 3 Protokolle in PPP, GRE und IP einpackt. PPTP ist in den Microsoft Windows Varianten Windows 98, Windows ME, Windows 2000 (Server und Professional), Windows XP und Windows Server 2003 implementiert sowie in vielen (DSL-) Routern und in Linux Datenverschlüsselung mit MPPE (Microsoft Point-to-Point Encryption 40 oder 128 Bit), definiert im RFC 2118 Authentifizierung über CHAP mit EAP oder EAP-TLS Point-to-Point Tunnel Protocol (PPTP) 22 IPsec Tunnel IP Netzwerk IPsec Tunnel Datenintegrität Paketvertraulichkeit (Verschlüsselung) Paketauthentifizierung (vom Absenders) Anti-Replay Service Transport Mode für Ende-zu-Ende Verbindungen Tunnel Mode für alle anderen Verbindungen IP Security (IPsec) Überblick 23 www.it-symposium2008.de 9
IPsec wurde für IP Version 6 entwickelt Definiert in einer Reihe von RFC 2401 ff. Vorteile: Datenverschlüsselung Authentifizierung Anti-Replay Integrität Sichere VPN-Verbindung über das Internet Vielfach implementiert in Betriebssystemen und Routern Nachteile: Keine Übertragung von Broadcast und Multicast Pakten Oft nicht einfach zu konfigurieren Vollvermaschung IP Security 24 IP IP IP IP IP MPLS MPLS MPLS Data Link Data Link Data Link Data Link Data Link Routing Switching Routing Ingress LSR PE Router Egress LSR PE Router Transit LSR P Router Customer Edge CE Router MPLS Netzwerk Customer Edge CE Router Multi-Protocol Label Switching (MPLS) 27 www.it-symposium2008.de 10
Entwickelt von IETF, definiert in einer Reihe von RFC's 3031 ff. Transport Netzwerktechnik für die Carrier: Tripple Play (Daten, Sprache, Video/TV) Vorteile: Any-to-Any Kommunikation Quality of Service (DiffServ) Hohe Bandbreiten Übertragung von IP und Ethernet (mit VPLS) Nachteile: Nicht flächendeckend (günstig) erhältlich Multi-Protocol Label Switching (MPLS) 28 VPN Verbindungen zwischen Data Center und Remote User IPsec SSL VPN 2008 BKM Dienstleistungs GmbH www.it-symposium2008.de 11
IP Netzwerk IPsec Tunnel VPN Client für Windows nötig (wird vom VPN Router Hersteller bereitgestellt) Windows 2000/XP enthält L2TP/IPsec Client, der kompliziert zum konfigurieren ist In Linux ist ein VPN Client enthalten IP Security (IPsec) Überblick 30 WebVPN Router OpenVPN Server Browser (incl. Java) IP Netzwerk SSL VPN Server SSL (Secure Socket Layer) VPN 31 www.it-symposium2008.de 12
SSL wurde von Netscape entwickelt Vorteile: Keine VPN Client Software nötig, nur Browser (mit Java) Zugriff auf die Server/Daten weltweit möglich über das Internet SSL Server als Open-Source Software erhältlich SSL/WebVPN Router Verschiedene Verschlüsselungen und Authentifizierungen werden unterstützt Nachteile: Oftmals muss ein Java Applet installiert werden Manuelle Konfiguration der einzelnen Port-Umleitungen SSL (Secure Socket Layer) VPN 32 Clientless Mode Browser-based (clientless) Microsoft Windows or Linux Web-enabled applications, file sharing, Outlook Web Access Gateway performs address or protocol conversion and content parsing and rewriting Thin-Client Mode TCP port forwarding Uses Java Applet Extends application support Telnet, E-mail, SSH, Meeting Maker, Sametime Connect Static port-based applications Tunnel Mode Works like clientless IPsec VPN Tunnel client loaded through Java or ActiveX (approximately 500 kb) Application agnostic supports all IP-based applications Scalable Local administrative permissions required for installation Beispiel: Cisco SSL VPN (WebVPN) 33 www.it-symposium2008.de 13
VPN Verbindungen Data Center und Backup Data Center Data Center und Branch Office Data Center und Remote User Zusammenfassung 34 Windows 2000/2003 Server Windows 2000/2003 Server SOHO Windows 2000 Prof. Windows XP Prof. DSL Router DSL Router T-DSL PPTP Tunnel Verbindung SSL/SSH Zentrale Linux Server: SSL VPN Server SSH Server Mitarbeiter Windows/Linux Browser SSH Home-Office/Kleine Unternehmen 35 www.it-symposium2008.de 14
VPN Konzentrator IPsec/SSL VPN L3 Distribution Switch Firewall Gebäude Stockwerke Server Farm Management ISP Internet Router L2 Switch Zentrale VPN Router mit IPsec Web Server Mitarbeiter Windows 2000 Prof. Windows XP Prof. mit IPsec oder SSL VPN SOHO Mittlere Unternehmen 36 VPN IPsec ISP Router IPsec Router Zentrale Firewall L3 Distribution Switch Gebäude Stockwerke Server Farm Management ISP A ISP B VPN IPsec Mitarbeiter VPN Router mit IPsec MPLS Router MPLS Netzwerk SOHO Niederlassung Große Unternehmen - Standorte 37 www.it-symposium2008.de 15
Christoph Bronold Christoph.Bronold@bkm-gmbh.com BKM Dienstleistungs GmbH Hauptstrasse 5 D-83607 Holzkirchen www.bkm-gmbh.com 38 www.it-symposium2008.de 16