|
◆ GET VPNとは
GET(Group Encrypted Transport)VPNとは、トンネルを使用することなくVPNを実現する新しいWAN
セキュリティの技術のことです。GET VPNは、IPやMPLSを含む様々なWAN環境で実現できるフルメッシュ
VPNテクノロジーです。
GET VPNでは、キー管理プロトコルであるGDOI(Group Domain of Interpretation)と、IPsec暗号化が
組み合わせて使用されて、ユニキャストトラフィックまたはマルチキャストトラフィックを保護するための
効率的な手法がユーザに提供されます。具体的には、GET VPNではルータによってトンネル化されていない
ユニキャストやマルチキャストに対して暗号化が適用されるので、トラフィックを保護するためのトンネルの
設定が不要となります。
このセキュリティモデルは、共通のセキュリティ手法を実装している「信頼された」グループメンバールータ
という概念を採用しており、ポイントツーポイント関係を不要にしています。GET VPNの利点は次の通りです。
・ トンネルレスを実現して、既存のルーティングインフラを維持できる
・ 管理しやすくスケーラブルなAny-to-Any暗号化コミュニケーションの実現
・ ネットワーク全体におけるQoSとマルチキャスト機能を維持できる
・ アプリケーションごとにカスタマイズできる暗号化の実現
・ グループ暗号化キーを使用することで、ピアツーピアの複雑なキー管理が不要
・ 集中型のキーサーバを使用することにより、メンバーシップ管理が容易となる
・ 中央のハブを経由して転送する必要がないため、サイト間での直接通信が可能となる
なお、GET VPNとDMVPNの違いは以下の通りです。WAN Architechtures & Desgin の抜粋となります。
| 比較項目 |
DMVPN |
GET VPN |
| ネットワークインフラ |
Private & Public Internet Transport |
Private IP Transport |
| ネットワークスタイル |
Hub-Spoke and Spoke-to-Spoke(Site-to-Site) |
Any-to-Any(Site-to-Site) |
| ルーティング |
Dynamic routing on tunnels |
Dynamic routing on IP WAN |
| Failover冗長化 |
Route Distribution Model |
Route Distribution Model + Stateful |
| 暗号化スタイル |
Peer-to-Peer Protection |
Group Protection |
| IPマルチキャスト |
Multicast replication at hub |
Multicast replication in IP WAN network |
◆ GET VPNの仕組み
GET VPNでは、信頼されたグループメンバーは「グループSA」と呼ばれる共通の Security Association を
共有して、各グループメンバーは、他のグループメンバーが暗号化したトラフィックを復号できます。つまり
ポイントツーポイントトンネルを使用するのではなく「信頼グループ」を使用してフルメッシュに構成します。
GET VPNで使用される用語は以下の通りです。
| GET VPNの用語 |
説明 |
| グループメンバー |
VPN内で実際のトラフィックを交換するルータ。グループメンバーによりトラフィックに対する
暗号化サービスが行われる。暗号化ポリシーは、キーサーバに集中的に定義されて、登録時に
グループメンバーにダウンロードされる。そしてそのダウンロードされたポリシーにもとづいて
トラフィックの暗号化と復号が必要であるのかや、使用するキーを決定する。
|
| キーサーバ |
キーサーバとして動作するルータ。トポロジーにおけるゲートキーパーの役割を担うルータ。
グループメンバーがVPNのアクティブなメンバーとなるためには、最初にキーサーバに正常に
登録される必要がある。キーサーバは共有サービスポリシーを管理して、キーの生成を行って
グループメンバーにキーを送信する役割を担う。キーサーバはグループメンバーにはなれない。
|
| GDOI |
GDOIプロトコルは、グループメンバーに対して暗号化キーとポリシーのセットを提供する。
参加する全てのVPNゲートウェイはIKEフェーズ1 SAを使用して認証されて、適切なキーが
提供された後、そのIKEフェーズ1 SAは役割を終えて期限切れとなる。これ以降は、GDOIを
使用して、効率的な方法でグループメンバーが更新されることになる。
|
なお、GET VPNでは外側のIPヘッダーで元の送信元と宛先アドレスが伝送されることから、トンネルエンド
ポイントのアドレスに置換されず、アドレスが維持されます。さて、最後にGET VPNの動作を見てみましょう。
Step1:キーサーバへの登録
グループメンバーは、GDOIプロトコルを使用してキーサーバに登録を行います。キーサーバーは、グループ
メンバーを認証と認可して、パケットの暗号化と復号に必要なIPsecポリシーとキーをメンバーにダウンロード
させます。この登録プロセスでは、ユニキャストまたはマルチキャスト通信を使用できます。
Step2:グループメンバー間の暗号化通信
グループメンバーは、IPsecを使用して暗号化されたIPパケットを交換します。この時グループメンバーだけが
VPNのアクティブな要素となります。The traffic uses IPsec Tunnel mode with "address
preservation" !
Step3:定期的なキーの再生成
キーサーバは、現在のIPsecキーが期限切れになる前に、グループメンバーに対してキーの再生成メッセージを
プッシュします。キーの再生成メッセージには、新しいIPsecポリシーとキーが含まれています。
なお、Security Managerを使用してGET VPNをプロビジョニングする場合は、VRFがサポートされていない点
DMVPNとGET VPNを併用できない点、グループメンバーを手動で設定することによりマルチキャストグループ
に参加させる(ip igmp join-group)ことができない点については認識しておくようにしましょう。
|