DM VPN چیست و چگونه کار می کند و چه کاربردی دارد؟

DMVPN چیست و چگونه شبکه‌های گسترده را متحول می‌کند؟

Dynamic Multipoint Virtual Private Network که به اختصار DMVPN نامیده می‌شود، یک شکل از شبکه خصوصی مجازی (VPN) پویا است که برای ایجاد شبکه‌های VPN هاب و اسپوک (Hub-and-Spoke) با قابلیت تونل‌سازی خودکار طراحی شده است.

این فناوری به سازمان‌ها اجازه می‌دهد تا بدون نیاز به پیکربندی ایستا برای تمام جفت‌های انتهایی تونل، یک شبکه مش پویا (dynamic-mesh) ایجاد کنند. DMVPN با فراهم کردن امکان برقراری ارتباط مستقیم بین سایت‌های راه دور (اسپوک‌ها)، از بروز گلوگاه در هاب مرکزی جلوگیری کرده و یک جایگزین مقیاس‌پذیر و کارآمد برای شبکه‌های خصوصی گران‌قیمت مانند MPLS VPN محسوب می‌شود.

DMVPN(شبکه خصوصی مجازی چندنقطه‌ای پویا) چیست؟

DMVPN یک راه‌حل تونل‌سازی پویا است که عمدتاً توسط روترهای مبتنی بر Cisco IOS و روترهای Huawei AR G3 پشتیبانی می‌شود. این شبکه در ابتدا به صورت یک توپولوژی هاب و اسپوک پیکربندی می‌شود؛ جایی که اسپوک‌ها (محل‌های راه دور) به صورت ایستا هاب‌ها (سرورهای مرکزی VPN) را می‌شناسند، اما هاب نیازی به تغییر پیکربندی برای پذیرش اسپوک‌های جدید ندارد.

پس از برقراری اتصال اولیه از طریق هاب، تونل‌ها بین اسپوک‌ها به صورت پویا و بر اساس تقاضا ساخته می‌شوند، که این قابلیت مش پویا نیاز به بارگذاری بر روی هاب برای مسیریابی داده‌های بین شبکه‌های اسپوک را از بین می‌برد.

تفاوت DMVPN با VPNهای معمولی

در حالی که شبکه‌های VPN سنتی برای شبکه‌های کوچک‌تر و ایستا به خوبی کار می‌کنند، مدیریت چندین اتصال ثابت و نقطه‌به‌نقطه با گسترش شبکه پیچیده و نیازمند منابع زیاد می‌شود. DMVPN یک راه‌حل انعطاف‌پذیر و مقیاس‌پذیر برای شرکت‌های بزرگ با نیازهای متغیر ارائه می‌دهد؛ زیرا امکان اضافه یا حذف مکان‌ها را به سادگی و به صورت خودکار فراهم می‌کند.

مهم‌ترین تفاوت این است که DMVPN با فعال کردن اتصالات مستقیم بین سایت‌ها (Spoke-to-Spoke) پس از راه‌اندازی اولیه، کارایی شبکه را افزایش می‌دهد و از کندی در هاب مرکزی جلوگیری می‌کند.

اجزای اصلی تشکیل‌دهنده DMVPN

برای عملکرد DMVPN، چهار جزء اصلی و حیاتی با یکدیگر همکاری می‌کنند که نحوه ایجاد تونل‌های پویا و مسیریابی را تعریف می‌کنند:

1. Multipoint GRE (mGRE)

تونل‌های GRE معمولی معمولاً نقطه‌به‌نقطه هستند و مقیاس‌پذیری بالایی ندارند، که منجر به پیچیدگی و نیاز به ایجاد رابط‌های تونل متعدد می‌شود. اما mGRE به یک رابط تونل واحد در هاب اجازه می‌دهد تا به چندین مقصد متصل شود و این امر هزینه‌ها را کاهش، پیچیدگی پیکربندی را به حداقل و انعطاف‌پذیری را افزایش می‌دهد. استفاده از mGRE این امکان را می‌دهد که در صورت نیاز، تونل‌های اسپوک به اسپوک به صورت خودکار ایجاد شوند و ترافیک از طریق یک رابط تونل واحد جریان یابد.

2. NHRP (Next Hop Resolution Protocol)

NHRP به عنوان یک سرویس دایرکتوری در DMVPN عمل می‌کند و به روترها کمک می‌کند تا آدرس‌های IP عمومی (که در اصطلاح NHRP، آدرس‌های NBMA نامیده می‌شوند) روترهای دیگر را کشف کنند.

در این ساختار، روتر هاب به عنوان سرور NHRP (NHS) و روترهای اسپوک به عنوان کلاینت‌های NHRP (NHC) عمل می‌کنند و آدرس‌های عمومی خود را نزد هاب ثبت می‌کنند. هنگامی که یک اسپوک می‌خواهد با اسپوک دیگری ارتباط برقرار کند، با ارسال یک درخواست وضوح NHRP (NHRP resolution request) از هاب آدرس عمومی مقصد را می‌پرسد.

3. پروتکل‌های مسیریابی (Routing Protocols)

برای اطمینان از مقیاس‌پذیری و رشد شبکه، پروتکل‌های مسیریابی مبتنی بر IP مانند EIGRP، OSPF، RIPv2، BGP یا ODR (فقط برای هاب و اسپوک) معمولاً بین هاب و اسپوک اجرا می‌شوند.

این پروتکل‌ها به تعیین بهترین مسیر برای عبور داده‌ها در سراسر شبکه کمک می‌کنند و می‌توانند به صورت پویا با تغییرات شبکه مانند اضافه شدن اسپوک‌های جدید یا خرابی لینک‌ها، به‌روزرسانی شوند. لازم به ذکر است که EIGRP و BGP برای تعداد بیشتری اسپوک در هر هاب مناسب‌تر هستند.

4. IPsec (Internet Protocol Security)

IPsec وظیفه رمزگذاری داده‌هایی را بر عهده دارد که از طریق تونل‌های DMVPN عبور می‌کنند و امنیت را فراهم می‌آورد. اگرچه استفاده از IPsec اجباری نیست، اما برای ایمن‌سازی اطلاعات حساس که در شبکه‌های عمومی مانند اینترنت جابجا می‌شوند، به شدت توصیه می‌شود. سیسکو برای حفظ امنیت بالاتر، پیشنهاد می‌کند که مشتریان از الگوریتم رمزگذاری AES استفاده کنند.

نحوه کارکرد DMVPN (چگونه تونل‌ها ایجاد می‌شوند؟)

DMVPN با استفاده از NHRP و mGRE فرآیند ایجاد تونل‌های پویا را تسهیل می‌کند تا نیاز به پیکربندی ایستا از بین برود. در ابتدا، اسپوک‌ها یک تونل دائمی با هاب برقرار می‌کنند و آدرس IP عمومی (NBMA) و آدرس IP تونل خصوصی خود را نزد سرور NHRP (هاب) ثبت می‌کنند.

هنگامی که یک اسپوک (مثلاً Spoke1) نیاز به ارسال ترافیک به اسپوک دیگری (مثلاً Spoke2) دارد، Spoke1 یک درخواست NHRP به هاب ارسال می‌کند تا آدرس عمومی Spoke2 را پیدا کند.

هاب اطلاعات را از حافظه کش خود بازگردانده و پس از آن Spoke1 می‌تواند مستقیماً یک تونل IPsec VPN جدید و پویا با Spoke2 برقرار کند، که این تونل تا زمانی که ترافیک بین آن‌ها جریان دارد فعال باقی می‌ماند.

فازهای DMVPN

طراحی DMVPN به سه فاز ساختار یافته است که نحوه جریان ترافیک اسپوک به اسپوک را تعیین می‌کنند:

فاز 1 DMVPN

در فاز 1، تمام ترافیک بین اسپوک‌ها باید از طریق روتر هاب مرکزی عبور کند، به این معنی که ارتباط مستقیم اسپوک به اسپوک وجود ندارد. در این فاز، تنها هاب از رابط GRE چندنقطه‌ای (mGRE) استفاده می‌کند، در حالی که تمام اسپوک‌ها از رابط‌های تونل GRE نقطه‌به‌نقطه معمولی به هاب استفاده می‌کنند. این روش مسیریابی بسیار ساده‌ای دارد و روترهای اسپوک تنها به یک مسیر جمع‌بندی یا پیش‌فرض به سمت هاب نیاز دارند، اما با رشد شبکه می‌تواند منجر به گلوگاه در هاب شود.

فاز 2 DMVPN

فاز 2 برای رفع مشکل گلوگاه در فاز 1 طراحی شده است و اجازه می‌دهد تا تونل‌های اسپوک به اسپوک بر اساس تقاضا و محرک‌ها ساخته شوند. در این فاز، تمامی روترهای اسپوک نیز از تونل‌های GRE چندنقطه‌ای استفاده می‌کنند و می‌توانند پس از تماس اولیه با هاب و دریافت آدرس عمومی مقصد از طریق NHRP، اتصالات مستقیمی را برقرار کنند. این روش کارایی را افزایش می‌دهد اما همچنان ممکن است محدودیت‌هایی در مقیاس‌پذیری و مسیرهای خاص مورد نیاز در جدول مسیریابی اسپوک‌ها ایجاد کند.

فاز 3 DMVPN

فاز 3 یک ارتقاء برای فاز 2 است که مقیاس‌پذیری را بهبود می‌بخشد و در مقایسه با فاز 2 محدودیت‌های کمتری دارد. این فاز ایده‌آل‌ترین و رایج‌ترین پیاده‌سازی DMVPN است؛ زیرا به اسپوک‌ها اجازه می‌دهد تا با استفاده از مفهوم “میانبرها” (shortcuts)، مسیریابی خود را با کمترین کمک از هاب مدیریت کنند. فاز 3 استقلال و کارایی بیشتری را فراهم می‌کند و نیازی به ورودی‌های خاص در جداول مسیریابی اسپوک‌ها ندارد، که مدیریت شبکه را در مقیاس‌های بزرگ‌تر ساده‌تر می‌کند.

اگر مفاهیمی مثل mGRE، NHRP و فازهای DMVPN برای رشد مسیر شغلی‌تان حیاتی هستند، دوره CCNP عصر شبکه دقیقاً جایی است که این مباحث را به‌صورت کاربردی، لابراتواری و پروژه‌محور یاد می‌گیرید.

مزایای کلیدی پیاده‌سازی DMVPN

استفاده از DMVPN در یک شبکه سازمانی مزایای عملی و مدیریتی مهمی را به همراه دارد:

کاهش هزینه‌های مدیریتی و پیچیدگی

DMVPN با حذف نیاز به پیکربندی ایستا و پیچیده تنظیمات امنیتی برای هر اتصال، وظایف مدیریتی را در یک شبکه گسترده (WAN) ساده می‌کند. همچنین، برای افزودن اسپوک‌های جدید، نیازی به اصلاح پیکربندی در هاب مرکزی نیست، که این امر بار کاری مدیران شبکه را به طور قابل توجهی کاهش می‌دهد. علاوه بر این، DMVPN نیاز به خطوط استیجاری (leased lines) گران‌قیمت بین سایت‌های شبکه را از بین می‌برد.

انعطاف‌پذیری و مقیاس‌پذیری بالا

قابلیت DMVPN در اضافه کردن دینامیک سایت‌های جدید و مدیریت خودکار مسیریابی ترافیک، آن را برای کسب‌وکارهای در حال رشد که نیاز به گسترش سریع زیرساخت‌های شبکه‌ای خود دارند، ایده‌آل می‌سازد. پیکربندی ساده‌تر روتر هاب، سربار مدیریتی را کاهش می‌دهد و طراحی انعطاف‌پذیر DMVPN به سازمان‌ها اجازه می‌دهد بدون تغییرات اساسی در زیرساخت کلی، سایت‌ها را اضافه یا حذف کنند.

کاهش مصرف پهنای باند و بهبود کارایی

اتصالات مستقیم بین سایت‌های راه دور، که به لطف قابلیت Spoke-to-Spoke در فازهای 2 و 3 فراهم می‌شود، استفاده از پهنای باند را به طور قابل ملاحظه‌ای بهبود می‌بخشد. در مدل‌های سنتی هاب و اسپوک، هاب تمام ترافیک را مدیریت می‌کند که می‌تواند منجر به ازدحام شود، اما DMVPN با هدایت داده‌ها مستقیماً از یک سایت راه دور به سایت دیگر، ترافیک را به طور یکنواخت توزیع کرده و تأخیر (jitter) را کاهش می‌دهد.

پیکربندی و استفاده عملی (مثال DMVPN فاز 1)

استفاده از DMVPN شامل پیکربندی اجزای اصلی mGRE و NHRP بر روی روترها است. در یک سناریوی DMVPN فاز 1 (جایی که تمام ترافیک از هاب عبور می‌کند)، هاب از حالت تونل GRE چندنقطه‌ای استفاده می‌کند، در حالی که اسپوک‌ها از تونل‌های نقطه‌به‌نقطه استفاده می‌کنند.

به عنوان مثال، برای پیکربندی هاب (Router 1) در فاز 1، مراحل کلیدی شامل: تعریف آدرس IP در رابط تونل (مانند ip address 192.168.1.1)، مشخص کردن منبع تونل (مانند tunnel source 1.1.1.1) و تنظیم حالت تونل به صورت GRE multipoint است.

همچنین، در هاب باید شناسه شبکه NHRP تعریف شود (ip NHRP network-id 01) و مپینگ‌های ایستا برای آدرس‌های تونل و آدرس‌های NBMA اسپوک‌ها (اگرچه در فاز 1 ثبت پویا نیز امکان‌پذیر است، در مثال منبع، مپینگ ایستا ذکر شده) تعریف شود.

برای اسپوک‌ها (مانند Router 4)، علاوه بر تعریف آدرس IP تونل و منبع تونل، باید مقصد تونل به صورت ایستا آدرس عمومی هاب (tunnel destination 1.1.1.1) باشد و مپینگ NHRP هاب نیز تعریف شود.

نتیجه‌گیری

DMVPN یک معماری VPN پیشرو است که از ترکیب پروتکل‌های mGRE، NHRP و IPsec برای ایجاد شبکه‌های هاب و اسپوک بسیار مقیاس‌پذیر و خودکار استفاده می‌کند. هدف اصلی آن، فعال کردن ارتباط مستقیم و ایمن بین سایت‌های راه دور (Spoke-to-Spoke) بر اساس تقاضا است تا از وابستگی به هاب مرکزی برای مسیریابی ترافیک جلوگیری کند.

DMVPN با مزایایی مانند کاهش پیچیدگی مدیریتی، انعطاف‌پذیری بالا و بهبود کارایی پهنای باند، یک راه‌حل مدرن و قدرتمند برای سازمان‌هایی است که به دنبال اتصال امن و کارآمد دفاتر متعدد خود از طریق شبکه‌های عمومی هستند.

سوالات متداول (FAQ)

آیا DMVPN برای استفاده در شبکه‌های عمومی (مانند اینترنت) امن است؟

بله، DMVPN اغلب با استفاده از IPsec ترکیب می‌شود تا ترافیک عبوری از تونل‌ها را رمزگذاری کند. اگرچه IPsec برای عملکرد DMVPN الزامی نیست، اما استفاده از آن (ترجیحاً با رمزگذاری AES) به شدت توصیه می‌شود تا داده‌ها در هنگام عبور از شبکه‌های عمومی مانند اینترنت، محرمانه و محافظت شده باقی بمانند.

چرا فاز 3 DMVPN به فازهای دیگر ترجیح داده می‌شود؟

فاز 3 به عنوان نسخه‌ای تکامل یافته از DMVPN، مقیاس‌پذیری بالاتری نسبت به فاز 2 ارائه می‌دهد و محدودیت‌های کمتری دارد. مزیت اصلی فاز 3 این است که با استفاده از “میانبرها” (shortcuts)، نیازی به ورودی‌های خاص در جداول مسیریابی روترهای اسپوک نیست و این امر مدیریت شبکه را ساده‌تر می‌کند، به همین دلیل فاز 3 پیاده‌سازی ایده‌آل و رایج‌تر در نظر گرفته می‌شود.

اگر در DMVPN از آدرس IP عمومی پویا استفاده کنم، مشکلی پیش می‌آید؟

خیر، DMVPN به طور خاص برای رسیدگی به نیاز ایجاد خودکار تونل‌های VPN زمانی که از آدرس‌های IP پویا در اسپوک‌ها استفاده می‌شود، توسعه یافته است. پروتکل NHRP تضمین می‌کند که کلاینت‌های NHRP (اسپوک‌ها) با ثبت آدرس‌های IP عمومی (NBMA) خود نزد سرور NHRP (هاب)، قابلیت اتصال را حتی با وجود آدرس‌های پویا حفظ می‌کنند.