Neste tópico serão abordadas as análises comparativas das principais características e protocolos utilizados visando vários aspectos com o propósito de alcançar os objetivos específicos do projeto por meio de pesquisas e laboratórios.
4.1 Comparação das principais características das tecnologias GET VPN e DMVPN
Baseado em estudos sobre as tecnologias GET VPN e DMVPN, foram verificadas as diferenças de suas características, onde o GET VPN foi criado com o propósito de prover segurança a redes MPLS, ao contrário da DMVPN que pode ser aplicada em vários cenários, podendo ser usado tanto em infraestrutura de rede públicas como privadas. A topologia utilizada pela tecnologia GET VPN é any-to-any, em contrapartida o DMVPN funciona com
hub-and-spoke e spoke-to-spoke. Os elementos encontrados no GETVPN são: Key Servers e Group Members, já o DMVPN possui como elementos o hub e o spoke.
Na tecnologia GET VPN para a comunicação entre os equipamentos na rede não é necessário a criação de túneis, já que a topologia do MPLS é um circuito malha completa onde todos estão conectados a todos, porém no DMVPN a troca de dados criptografados são por meio de túneis ponto-a-ponto.
A tecnologia GET VPN fornece criptografia para redes MPLS, mantendo a conectividade de malha completa, preservando o cabeçalho IP original do pacote, permitindo ser utilizado o caminho de roteamento do pacote original. Oferece flexibilidade de gestão, eliminando o gerenciamento complexo de chaves ponto a ponto, com chaves de criptografia de grupo. Simplifica a comunicação entre os elementos da rede, garantindo baixa latência, permitindo em tempo integral, a comunicação direta entre os elementos, sem a necessidade de transporte por meio de um hub central. Porém a tecnologia GET VPN é aplicada apenas em ambientes que utilizam WAN MPLS, tornando-se assim menos acessível, devido a maior complexidade exigida por uma infraestrutura MPLS.
Na tecnologia DMVPN quando há uma falha de conectividade decorrente de indisponibilidade do circuito de dados em algum elemento da topologia, o reestabelecimento ocorre de forma imediata, após a negociação da associação de segurança, porém na tecnologia GET VPN caso ocorra a falha de um GM da topologia e já tenha ocorrido a renovação da chaves, o GM aguardará a próxima renovação das chaves que ocorrerá pelo tempo determinado no protocolo Rekey ou atualização de alguma política de segurança.
Na utilização da tecnologia GET VPN nos ambientes coorporativos, é necessária a utilização de um link para a estrutura privada (MPLS) e outro link para a estrutura publica (Internet), o mesmo não ocorre com o uso do DMVPN, onde utiliza o circuito de dados da estrutura publica (Internet) para a construção da estrutura privada (túneis).
A tecnologia DMVPN tem propagações de multicast replicado por meio do hub, enquanto o GET VPN propaga multicast diretamente devido a sua malha completa, onde todos tem conexões com todos em tempo integral.
Segue no Quadro 43, a análise comparativa que elenca as características das tecnologias abordadas (GET VPN e DMVPN) de forma sintetizada com objetivos específicos.
Quadro 43: Análise comparativo
Características GET VPN DMVPN Principais características da tecnologia Estabelece a criptografia em IP para redes MPLS Disponibiliza túneis de forma dinâmica por meio do protocolo mGRE. Infraestrutura de Rede Privada Privada e pública
Topologia Full-mesh
Any-to-any
Hub-and spoke Spoke-to-spoke
(site-to-site) Roteamento Dinâmico por meio da
rede IP WAN
Dinâmico por meio de túneis
Tipo de Associação de Segurança
Associação de segurança de grupo através do cabeçalho ESP do IPSec
Ponto a ponto através do cabeçalho ESP do IPSec Peer-to-Peer
Protocolos Utilizados GDOI, IPSec NHRP, mGRE, IPSec Elementos de configuração Key Server (KS) e Group
Member (GM) Hub e spoke
Versões do IOS compatíveis
IOS image version:
12.4(15)T8 and 12.4(22)T2 IOS-XE image version: 12.2(33)XNC
IOS 15.1(4) M5 de nome ADVENTERPRISEK9-M.
IOS image version: 12.3(11)T02 ou versões posteriores.
Fonte: Adaptada Cisco, 2012
4.2 Comparação do funcionamento dos protocolos utilizados nas tecnologias GET VPN e DMVPN
Em relação aos protocolos utilizados pelas tecnologias, ambas utilizam o IPSec para prover segurança na comunicação entre os elementos. No DMVPN é estabelecido criptografia por meio de túneis, entretanto no GET VPN não se faz necessário à utilização de túneis para prover a criptografia nos dados. O DMVPN funciona tanto no modo transporte quanto no modo túnel do IPSec, já com o GET VPN é utilizado o modo de atuação transporte, pela característica da tecnologia preservar o cabeçalho IP do pacote original.
Para o funcionamento, as duas usam diferentes protocolos, no GET VPN o protocolo GDOI gerencia a criação e troca das chaves criptográficas, estabelecendo a segurança de grupo, em contrapartida DMVPN usa o NHRP é o protocolo de comunicação que faz a associação do IP público com o IP do túnel, e para estabelecimento de tuneis de forma estática é utilizado o GRE e o os tuneis construídos de forma dinâmica utilizam o protocolo mGRE.
4.3 Compatibilidade das versões do sistema operacional IOS
Para fazer uso das tecnologias GETVPN e DMVPN, é necessário que os equipamentos ativos (roteadores) tenham um sistema operacional (IOS, ou Internetwork Operating System) com suporte para os protocolos específicos de cada tecnologia. No caso do DMVPN é necessário que o sistema operacional dê suporte para pacotes de criptografia (IPSec) e possua recursos avançados IP (NHRP, mGRE) sendo disponibilizados a partir da versão do IOS 12.2(8)T com pacote Advanced Security (advsecurityk9-mz) ou superiores. Já para o uso da tecnologia GET VPN é importante que o sistema operacional também dê suporte a pacotes de criptografia (IPSec), recursos avançados de segurança (GDOI) e recursos de provedor de serviços (MPLS), sendo disponibilizados a partir das versões 12.4(15)T8 com o pacote