Cisco GET VPN

/ / Published in Cisco, Security

A Cisco Systems lançou em 2006 uma nova modalidade de VPN do tipo any-to-any, o Group Encrypted Transport VPN (ou GET VPN). O GET VPN é uma excelente alternativa em cenários onde são utilizadas VPN IPSEC point-to-point entre várias localidades.

VPNGETxIPSEC normal

Cenário com IPSEC VPN point-to-point e GET VPN

No GET VPN um Key Server Primário é configurado (normalmente um roteador da matriz) com as chaves e políticas da VPN, e os demais roteadores são configurados como Group Member. Também pode-se ter vários Key Servers Secundários.

Os roteadores membros do grupo se registram no Key Server, são autenticados e então recebem as políticas referentes a VPN. O GET VPN utiliza o protocolo GDOI – Group Domain of Interpretation, do IETF, para este processo.

O Key Server Primário sincroniza as politicas e chaves da VPN com os Keys Servers Secundários, caso existam, permitindo a redundância e alta disponibilidade. E de tempos em tempos o Key Server Primário refaz o IPSEC Security Association entre os roteadores do grupo.

Esta nova VPN traz inúmeras vantagens em relação aos outros modelos de VPN any-to-any. Com o GET VPN os IPs de origem e destino originais são preservados, melhorando assim o roteamento e evitando o overlay routing. Além disso podemos trabalhar com multicast e QoS avançado na WAN através da VPN, de forma semelhante a uma LAN, sem a necessidade de utilizar túneis (GRE, por exemplo).

vpn get x ipsec packet

IPs originais são conservados no GET VPN

Além disso o GET é altamente escalável e a administração é mais simples, comparado com os demais modelos de VPN any-to-any, pois as politicas e chaves ficam centralizadas.

O GET suporta criptografia DES, 3DES e AES e pode ser utilizado em conjunto com o DMVPN, melhorando o tempo de resposta para tráfego sensível, como voz e vídeo.

GETVPN beneficios

Fácil para gerenciar e extensão da capacidade de QoS e multicast na WAN, com GET VPN

Equipamentos:

Está feature está disponível em roteadores da série 800 até roteadores da série 7200 e no 7301 (Group Member). Para Key Server podem ser utilizados roteadores a partir do 1841 até o 7301.

Nos dois casos (Group Member ou Key Server) é necessário IOS Advanced Security (pelo menos), a partir da versão 12.4(11)T. No entanto é recomendada a utilização a partir da versão 12.4(15)T.

O GET VPN também pode ser gerenciado pelo CSM – Cisco Security Manager, a partir da versão 3.1.

 

Até a próxima.

Fonte: www.cisco.com/go/getvpn

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Novos nomes dos produtos de segurança Cisco
Filtrando comandos show no IOS (parte 2)
Configuração Syslog na VA Umbrella