🤼 🤜🏻 🌵 HP Dynamic VPNテクノロジー。パート1 👦🏽 🕌 🌨️

はじめに

ブログのすべての読者への挨拶。

この一連の記事は、HP Dynamic VPN（またはHP DVPN）と呼ばれるすばらしいソリューションに捧げられます。

これはシリーズの最初の記事です。この記事では、HP DVPNソリューションとは何か、またその機能とアプリケーションシナリオについて説明します。このシリーズの以下の記事では、DVPN機能の実用的な実装と機器自体の構成に焦点を当てます。

DVPNとは何ですか？

つまり、DVPNは、複数の支店または地域オフィス（スポーク）が任意のIPトランスポートを介してセキュアなIPsec VPNトンネルを動的に作成し、中央オフィスまたはデータセンター（ハブ）に接続できるようにするアーキテクチャです。

これは誰にとって、どのように役立つのでしょうか？

市内や全国に散らばる多くの支店やリモートオフィスがある特定の組織があると仮定します（たとえば、銀行や店のネットワークなど、そのような組織の例はたくさんあります）。 1つのトランスポートネットワークを使用してこれらすべてのブランチを相互に結合し、この企業の主要ITリソースをホストするセントラルオフィスまたはデータセンターに接続する機能を提供するという課題に直面しています。

タスクは非常に簡単に思えますが、いくつかのニュアンスがあるかもしれません。

一部の支店では、ISPからのインターネットチャネル（代替手段がないことや経済的な目的がないため）を使用して、外の世界に接続する1つの方法しか使用できません。したがって、この場合、すべてのブランチを一度に1つのWAN「クラウド」に接続するために、通信事業者からVPNサービスをレンタルするオプションはなくなります。
トランスポートネットワーク内の送信データの保護を確保する問題があります。ご存知のように、インターネットを介して機密情報を直接送信することはまったく安全ではなく、VPNレンタルオプションで通信事業者を完全に信頼したいと思う人がいるとは限りません。
そのようなネットワークを展開するにはどれくらい時間がかかりますか？日？週？そして、数千のブランチがある場合はどうなりますか？各ブランチで機器を構成する必要がありますか？新しいブランチを追加するときに、ネットワーク上の既存のデバイスを構成する必要がありますか？一部の支店がセンターをバイパスして、支店間で直接データを転送できるようにするにはどうすればよいですか？

通信事業者から専用のVPNネットワークをレンタルする可能性や、インターネットを介して支社をセンターに直接接続するという前述の可能性など、この問題の解決策は、このようなニュアンスと落とし穴の存在を正確に考慮しています。

この問題を解決するために受け入れられるオプションは何ですか？最初に思い浮かぶのは、スタートポロジでインターネット上のセンターとブランチ間でセキュリティで保護されたIPsec VPNトンネルを使用することです（つまり、各ブランチがセンターへのIPsecトンネルを構築するとき、センターはVPNトンネルのハブとして機能します）同時に、ブランチのニューストラフィックはセンターを通過します）。

このソリューションは多くの組織で長年使用されており、多くのメーカーの機器でもサポートされています（IPsecは一般に認識されている標準であるため）が、タスクの一部として、いくつかの大きな欠点がないわけではありません：

中央の新しいブランチごとに個別のIPsecトンネルを構成する必要があるという事実は、このようなソリューションのスケーラビリティに悪影響を及ぼし、新しいノードがトランスポートネットワークに接続するのにかかる時間も長くなります。センターで新しいIPsecトンネルを構成してから、ブランチで同じトンネル設定を行うにはどのくらい時間がかかりますか？そして、突然設定を間違えた場合はどうなりますか？問題を探す場所とその期間は？
トランスポートネットワークのNノードについて、センターをバイパスして（遅延を減らし、通信チャネルの負荷を最適化するために）ブランチ間で直接通信する機能を提供することがタスクの場合、N *（N-1）/ 2トンネル（いわゆる「フルメッシュ」）。少なくとも数十個のノードを持つネットワークの作業量を想像してください。
しかし、将来、ネットワークノードの一部（たとえば、地域オフィスのノード）がより信頼性の高いトランスポートに移動し、サービス品質を保証しながら通信事業者からの専用チャネルを使用して相互接続する場合はどうでしょうか。残りのノードはまだインターネット経由で接続していますか？これらのノードの構成を完全に再構成しますか？

DVPNアーキテクチャを実装できるのは何ですか？

このような問題と欠点を解決するために、単一の安全なトランスポートネットワーク（またはDVPNドメイン）で最大3,000ノードを接続できるHP Dynamic VPN（HP DVPN）アーキテクチャを開発しました。

このアーキテクチャの主な機能：

DVPNでは、IPトランスポート（インターネットまたはWAN）を介してDVPNドメインのノード間でIPsec VPNトンネルを動的に上げることができます。
そのようなネットワークに新しいノードを接続すると、既に接続されているネットワークノードからデバイス構成を取得し、そのブランチ内の各ブランチに固有のネットワークインターフェイスのIPアドレスのみを変更して、新しいデバイスにアップロードできます。センターへのIPsec VPNトンネルが自動的に上昇し、新しいブランチとセンター間の接続が確立されます。
DVPNは、スタートポロジ（またはハブアンドスポーク）向けに最適化されています。ちょうど私たちの場合。
さらに、フルメッシュモード（フルメッシュ）で動作するようにDVPNを構成できます。このモードでは、IPsec VPNトンネルは、ネットワークを介して相互にデータを送信し始めるとすぐに、ブランチ間に直接動的に作成されます。
DVPNは、標準のIPsecプロトコルを使用して、すべての利点（標準のオープン性、多くの暗号化および認証オプション、動的なキー変更など）を備えたトンネルを作成します。
中央サイト（ハブ）の構成は、新しいスポークノードがネットワークに追加されると動的に更新されます。同時に、他のスポークノードは自動的に新しいノードに関する情報を受け取り、データを交換する機会を得ます。
センターおよび他のブランチの機器の構成は影響を受けません。
要約すると、DVPNは、インターネットを含む既存のIPネットワーク上で「オーバーレイ」（または「オーバーレイ」）として機能する自動化された安全なトランスポートアーキテクチャを提供します。

DVPNアーキテクチャコンポーネント

DVPNは5つの主要なコンポーネントで構成されています。

VAMサーバー （フォールトトレランス用にドメインごとに最大2個）
- VAM-VPNアドレス管理またはVPNアドレス管理。
- センターにインストールされ、VAMクライアントを登録し、DVPNドメインのすべてのノードからアドレス情報を受信します。
- パブリックIPアドレス（下位トランスポートネットワークから）を各ノードのプライベートIPアドレス（「オーバーレイ」オーバーレイネットワークから）にマッピングし、要求に応じてこの情報を転送します。実際、これは一種のアドレス解決サーバーであり、DNSの類似性に取り組んでいます。
- ハブと連動して1つのデバイスで動作します。
VAMクライアント
- VAMサーバーにパブリックIPアドレス、プライベートIPアドレス、VAMノード識別子を登録します。
- VAMサーバーに情報を要求することにより、他のノードのアドレスを決定します。
- ハブアンドスポークデバイスはVAMクライアントです。
ハブ（フォールトトレランスのためにドメインごとに最大2個）
- 中央に位置し、スポークからのハブIPsec VPNトンネルとして機能するデバイス（ルーター）。
- アクティブ/アクティブモードの2つのハブ間でスポーク接続のバランスを取ることができます。
スポーク
- ハブにIPsecトンネルを作成し、トラフィックをセンターに向けてトンネリングする、ブランチにインストールされたデバイス（ルーター）。
- フルメッシュモードで他のスポークとのIPsecトンネルを動的に作成することもできます。
認証サーバー （RADIUS / TACACS）
- VAMサーバーでVAMクライアントを中央で認証できます。
- オプションで、VAMサーバーはVAMクライアントをローカルで認証する機能もサポートします。

どのように見えますか？

以下は、それぞれハブアンドスポークトポロジとフルメッシュトポロジの一般的なDVPNネットワークの簡略図です。

ハブアンドスポークトポロジの特徴は次のとおりです。

DVPNは、既存のIPトランスポートネットワーク上で実行され、同じオーバーレイネットワークセグメント内のプライベートIPアドレスによってDVPNノードをアドレス指定する、オーバーレイ非ブロードキャストマルチアクセス（NBMA）インフラストラクチャです。
スポークノードは相互に直接通信せず、ノード間のすべてのトラフィックは中央のハブノードを通過します。
DVPNは、デフォルトで同じオーバーレイネットワークトポロジを実装するため、ハブアンドスポークトランスポートトポロジ用に最適化されています。
ハブアンドスポークトポロジでは、1つのDVPNドメインに、ハブごとに最大3000のスポークノードを含めることができ、ノード間のダイナミックBGPルーティングが可能です。

フルメッシュトポロジには、独自の特性があります。

ハブアンドスポークトポロジと同様に、フルメッシュDVPNは、あらゆるIPトランスポート上での作業をサポートするNBMAオーバーレイインフラストラクチャです。
フルメッシュまたは部分メッシュトポロジ（すべてのノードの一部のみが相互に直接接続している場合）では、中央のハブノードのチャネルをアンロードしながら、スポークノード間で動的に作成されたIPsecトンネルを介してトラフィックを直接送信できます。
フルメッシュトポロジは、ハブアンドスポークトポロジよりもスケーラビリティが低くなります。最終的な数値は、ノード上のDVPNルーターのパフォーマンスなど、多くの要因に依存します。

DVPNをサポートするHPハードウェア

次の表は、DVPNをサポートする機器のリストと、使用することが望ましいDVPNアーキテクチャのコンポーネントに関する推奨事項を示しています。

この表は、HP 8800シリーズを除くほとんどすべてのHPルーターシリーズ（HP MSRおよびHP 6600）でDVPNがサポートされていることを示しています。

HPのDVPN対応製品ポートフォリオの詳細については、こちらをご覧ください。

DVPNおよび動的ルーティング

ノード間の動的ルーティングがなければ、DVPNアーキテクチャの構成とスケーリングの単純さのすべての利点は無駄になっていたでしょう。明らかに、ネットワーク内に多数のノードがある場合、静的ルーティングは適用されないため、DVPNは次の動的ルーティングプロトコルをサポートします。

大規模ネットワーク用のBGP（50〜100以上のノード、ドメインごとに最大3000）
NBMAモードのOSPF
フルメッシュトポロジのOSPFのブロードキャスト

DVPNのスケーリングと復元力

すでに述べたように、DVPNでは、ドメインごとに最大3000のスポークノードまで拡張できます。必要に応じて、ドメイン数を最大10まで増やすことができます（ハブとして動作するHP 6600ルーター上）。これにより、ノード数が30,000に達するネットワークの作成がサポートされます。

フォールトトレランスを確保するために、DVPNネットワークは、VANサーバー、ハブルーター、および認証サーバー（利用可能な場合）として機能するデバイスの複製を使用します。

同時に、スポークノードのVAMクライアントが両方のVAMサーバーに登録され、これらのノードのルーターに2つの独立したDVPNドメインが作成されます。内部に、IPsec VPNトンネルがプライマリハブルーターとバックアップハブルーターに同時に構築されます。

このアプローチでは、動的ルーティングプロトコルを使用して、両方のDVPNドメイン（プライマリおよびバックアップ）のIPsec VPNトンネル間でトラフィックのバランスを取ることができます。

以下は、冗長性を使用したDVPNネットワークの構築のより詳細な図です。

管理メカニズム

DVPNアーキテクチャを使用すると、さらに効率的で簡単にネットワークを管理および監視でき、HP Intelligent Management Center（IMC）管理システムが役立ちます。

たとえば、このブランチインテリジェント管理システム（BIMS）システム用の特別なモジュールを使用すると、TR-069プロトコルの加入者デバイスの自動構成を使用して、ブランチ内のスポークルーターの手動構成を完全に放棄できます。

IMCおよびBIMCモジュールの詳細については、当社のブログのHPネットワークに関する次の一連の記事を参照してください。

おわりに

DVPNアーキテクチャにより、既存のL3トランスポート（インターネット、専用WANチャネルなどを含む）に地理的に分散したユニット（ブランチ）の開発されたインフラストラクチャを備えた企業向けに、実質的にあらゆる規模の非常にスケーラブルで安全な企業データネットワーク（DSP）およびさまざまなトポロジを迅速に展開できます。）

次は？

DVPNアーキテクチャに関するシリーズの次回の記事では、典型的なDVPNネットワークのセットアップ例について詳しく説明します。

ブログの更新をお楽しみに！

HP Dynamic VPNテクノロジー。 パート1