A Cisco Systems lançou em 2006 uma nova modalidade de VPN do tipo any-to-any, o Group Encrypted Transport VPN (ou GET VPN). O GET VPN é uma excelente alternativa em cenários onde são utilizadas VPN IPSEC point-to-point entre várias localidades.
Cenário com IPSEC VPN point-to-point e GET VPN
No GET VPN um Key Server Primário é configurado (normalmente um roteador da matriz) com as chaves e políticas da VPN, e os demais roteadores são configurados como Group Member. Também pode-se ter vários Key Servers Secundários.
Os roteadores membros do grupo se registram no Key Server, são autenticados e então recebem as políticas referentes a VPN. O GET VPN utiliza o protocolo GDOI – Group Domain of Interpretation, do IETF, para este processo.
O Key Server Primário sincroniza as politicas e chaves da VPN com os Keys Servers Secundários, caso existam, permitindo a redundância e alta disponibilidade. E de tempos em tempos o Key Server Primário refaz o IPSEC Security Association entre os roteadores do grupo.
Esta nova VPN traz inúmeras vantagens em relação aos outros modelos de VPN any-to-any. Com o GET VPN os IPs de origem e destino originais são preservados, melhorando assim o roteamento e evitando o overlay routing. Além disso podemos trabalhar com multicast e QoS avançado na WAN através da VPN, de forma semelhante a uma LAN, sem a necessidade de utilizar túneis (GRE, por exemplo).
IPs originais são conservados no GET VPN
Além disso o GET é altamente escalável e a administração é mais simples, comparado com os demais modelos de VPN any-to-any, pois as politicas e chaves ficam centralizadas.
O GET suporta criptografia DES, 3DES e AES e pode ser utilizado em conjunto com o DMVPN, melhorando o tempo de resposta para tráfego sensível, como voz e vídeo.
Fácil para gerenciar e extensão da capacidade de QoS e multicast na WAN, com GET VPN
Equipamentos:
Está feature está disponível em roteadores da série 800 até roteadores da série 7200 e no 7301 (Group Member). Para Key Server podem ser utilizados roteadores a partir do 1841 até o 7301.
Nos dois casos (Group Member ou Key Server) é necessário IOS Advanced Security (pelo menos), a partir da versão 12.4(11)T. No entanto é recomendada a utilização a partir da versão 12.4(15)T.
O GET VPN também pode ser gerenciado pelo CSM – Cisco Security Manager, a partir da versão 3.1.
Até a próxima.
Fonte: www.cisco.com/go/getvpn
