Cisco Meraki Auto VPN là gì? Cách cấu hình Auto VPN trên Meraki

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi ptminh, 17/9/21.

Tags:
  1. ptminh

    ptminh Member

    I/. GIỚI THIỆU:
    - Mạng Riêng Ảo - Virtual Private Networks (VPN) đã trở thành trụ cột chính trong các doanh nghiệp trong 20 năm qua. Chúng cho phép các công ty, cơ quan chính phủ và các phòng ban gửi thông tin liên lạc qua một mạng không đáng tin cậy một cách an toàn. Trong vài năm gần đây, chúng đã trở thành một lớp độc lập truyền tải của hầu hết các giải pháp SD-WAN.

    - Vấn đề là cấu hình của các công nghệ này và qua rất nhiều giai đoạn, chế độ và thuật toán mã hóa có nghĩa là việc nhận và giữ an toàn có thể là một nhiểm vụ tốn nhiều công sức. Do đó, Auto VPN từ Cisco Meraki cung cấp một cách nhanh chóng và dễ dàng để thiết lập, cũng như tự động duy trì, bảo mật thông qua cloud.

    II/. VỀ VPN SITE-TO-SITE?
    - Một trong những cách triển khai VPN phổ biến nhất là VPN Site-to-Site, nơi một vị trí đia lý lưu trữ tài nguyên mạng được kết nối an toàn thông qua VPN đến một nới khác (cũng có thể là nơi lưu trữ tài nguyên); thông thường hai địa điểm là một phần của cùng một tổ chức doanh nghiệp:
    - Mô hình cho thấy về kết nối VPN Site-to-Site:
    [​IMG]

    - Các VPN Site-to-Site được triển khai giữa các thiết bị bảo mật/firewall tại mỗi nơi. Các thiết bị client (như laptop hoặc server) phía sau các firewall không cần cài đặt thêm phần mềm hoặc cấu hình thêm các cài đặt trên thiết bị để được phép gửi hoặc nhận dữ liệu với chi nhánh khác.

    - Trọng một mạng Mesh VPN Site-to-Site (còn được gọi là "spoke-to-spoke), tất cả các mạng riêng lẻ của một tổ chức được kết nối với nhau thông qua VPN. Trong một cấu trúc Hub-and-Spoke, tất cả các mạng chi nhánh văn phòng vệ tinh (spoke) được chuyển về một văn phòng trung tâm (hub) qua VPN, các spoke không trao đổi sẽ không trao đổi dữ liệu trực tiếp với nhau.

    III/. VẬY TẠI SAO VPN LẠI KHÓ?
    - Với các kiến trúc truyền thống, việc cấu hình và quản lý phức tạp của nhiều site VPN có thể trở nên nghiêm trọng khi số lượng các site tăng lên. Điều này là do cả hai đầu của VPN tunnel cần được tạo và điều chính thủ công, thường thông qua giao diện dòng lệnh khá phức tạp. Quá trình này tốn nhiều thời gian và dễ xảy ra sai sót. Điều này liên quán đến các biến như địa chỉ IP của các firewall, pre-shared key, hoặc chứng chỉ số, cơ chế xác thực và giao thức mã hóa, danh sách các subnet được xuất ra, và cần được chỉ định và cấu hình cho cả 2 đầu tunnel theo thủ công. Để giải quyết các vấn đề tiềm ẩn có thể xảy ra trong việc cấu hình như vây. Cisco đã giới thiệu một số công nghệ trong những năm qua, quản lý dựa trên Cloud của Cisco Meraki cho phép chúng ta giải quyết vấn đề trên một cách sáng tạo.

    IV/.AUTO VPN: THIẾT LẬP NHANH, KHÔNG LỖI:
    - Cisco Meraki MX là một thiết bị bảo mật và SD-WAN trên nền tảng đám mây, tích hợp đầy đủ các tính năng về mạng và bảo mật thành thiết bị tường lửa cấp doanh nghiệp, khả năng hiển thị và kiếm soát ứng dụng sau ở Layer 7, chọn đường VPN động, cân tải WAN, chuyển đổi dự phòng cho VPN và WAN, ngăn chăn xâm nhập… Ngoài ra, tất cả các dòng sản phẩm Meraki MX hiện hỗ trợ Auto VPN, khả năng cấu hình Site-to-Site, Layer 3 VPN chỉ với vài cú click trong trang Cisco Meraki Dashboard — rút ngắn quá trình tốn rất nhiều thời gian chỉ còn vài giây.

    - Để có được Auto VPN này, cần xây dựng dựa trên sư tin cậy mà trang Dashboard tạo ra khi tất cả các thiết bị Meraki từ lần đầu online. Quá trình đầy đủ này sẽ được giới thiệu ở một bài viết khác, Meraki Dashboard và các thiết bị của Meraki kết nối với nó được xác thực lẫn nhau.

    - Ở một cấp độ cao hơn, điều này có được bằng cách các thiết bị Meraki sử dụng TLS (công nghệ được sử dụng để tạo các ứng dụng web an toàn) để đảm bảo tính xác thực của hạ tầng Dashboard. Sau đó mỗi thiết bị Meraki sử dụng thông tin bảo mật dành riêng cho mỗi thiết bị để tự xác thực với Dashboard. Do đó, tạo một quan hệ tin cậy giữa Dashboard và thiết bị Meraki trong hệ thống trước đây là một zero-trust system (hệ thống không tin cậy).

    - Auto VPN được xây dựng dựa trên mối quan hệ tin cậy này với Meraki cloud hoạt động như một trung gian giữa các Firewall MX trong tổ chức, đàm phán các route VPN, cơ chế xác thực và giao thức mã hóa, và các khóa một cách tự động và bảo mật. Tiến trình đó như sau:
    4.1. Các thiết bị MX quảng bá địa chỉ WAN và bất kỳ cổng UDP truyền qua NAT đang hoạt động tới Cisco Meraki cloud. Giao tiếp giữa Thiết bị đến Cloud được mã hóa hai lần: một thông qua mã hóa độc quyền Meraki và một lần nữa sử dụng TLS.
    4.2. Cloud của Cisco Meraki nhận các quảng bá của Firewall MX và các địa chỉ IP Public. Trang Dashboard nhận các địa IP WAN và thông tin truyền tải NAT từ các MX, cũng như các địa chỉ IP public (khác với các địa chỉ IP WAN nếu các MX nằm sau các thiết NAT khác).
    4.3. Cloud duy trì một bảng động để theo dõi tất cả MX trong một tổ chức. Địa chỉ IP WAN, IP public, cổng truyền tải NAT, và các local subnet được theo dõi cho mỗi MX trong một tổ chức. Khi một MX mới được online, thông tin của nó sẽ được thêm vào bảng này.
    4.4. Địa chỉ IP address thích hợp được chọn. Với mỗi MX, cloud quyết định sử dụng giao diện của nó (có thể là riêng tư) hoặc địa chỉ IP public để thiết lập một VPN tunnel an toàn. Khi có thể, địa chỉ IP WAN của MX sẽ được sử dụng, điều này có thể cung cấp các đường VPN ngắn hơn giữa các MX ngang hàng (vd: khi nhiều VPN ngang hàng được kết nối thông qua MPTL đến một Data Center chính và từ đó ra Internet).
    4.5. VPN tunnel được thiết lập. Cisco Meraki cloud hiện đã biết thông tin về VLAN và Subnet cho mỗi MX, và bây giờ các địa chỉ IP được dùng để tạo đường tunnel. Trang Dashboard và các MX thiết lập 2 pre-shared key 16 ký tự (mỗi khóa tương ứng) và tạo một tunnel 128-bit AES-CBC. Meraki Auto VPN tận dụng các yếu tố của IPSec hiện đại (IKEv2, Diffe-Hellman và SHA256) để đảm bảo tính bảo mật và toàn vẹn cho Tunnel. Các Local subnet được chỉ định tới trang Dashboard bởi admin được đẩy qua VPN.
    4.6. Những định tuyến cho VPN được truyền qua Auto VPN domain tới tất cả các Firewall MX thành viên. Cuối cùng, Dashboard sẽ tự động đẩy thông tin VPN ngang hàng (vd: các subnet được đẩy qua, thông tin tunnel IP) cho mỗi MX. Mọi MX được lưu thông tin trong một bảng static route riêng biệt. Hoặc nếu BGP được cấu hình trong tổ chức thì iBGP được sử dụng giữa tất cả các Auto VPN hub trong một mạng Full mesh và giữa tất cả các Spoke và các Hub được cấu hình để đảm bảo truyền bá đầy đủ IP route.
    [​IMG]
    - Auto VPN dựa trên nền tảng cloud vận hành một cách thông mình giúp các IT admin giảm bớt thời gian quản lý, cấu hình và giám sát một cách thủ công hơn. Những lỗi xảy ra do con người cũng ít ảnh hướng đến quá trình này.

    V./ TÍCH HỢP VÀ CẤU HÌNH DỰ PHÒNG CHO VPN SITE-TO-SITE:
    - Việc mất chức năng VPN có thể làm người lao động không thể kiểm tra email, truy cập các thư mục chia sẻ, gửi dữ liệu một cách an toàn, hoặc sử dụng VoIP, và các tình huống xấu khác ảnh hưởng đến năng suất. Để bảo vệ khỏi điều này, Auto VPN tận dụng nền tảng Cloud để cung cấp khả năng dự phòng có sẵn. Ví dụ, nếu thiết bị MX tại host của bạn có 2 đường Internet uplink và đường Uplink chính phục vụ cho lưu lượng của VPN gặp lỗi, đường uplink phụ sẽ nhận nhiệm vụ này. Điều này có nghĩa rằng khi một đường link đang hoạt động bị lỗi và chuyển hoạt động sang liên kết dự phòng (vd: một uplink qua 4G/LTE, khiến cho địa chỉ IP Public VPN của MX thay đổi), Auto VPN sẽ tự động phục hồi. Tính năng tự phục hồi hoạt động cho cả cấu trúc mạng Mesh và Hub-and-Spoke có sẵn với Auto VPN.

    - Trong triển khai SD-WAN tất cả các đường VPN khả dụng, được gọi là Transport Independant Overlays - Lớp phủ truyền tải độc lập, có thể được chọn tự động cho để định tuyến luồng lưu lượng. Điều này có thể được thực hiện trên cơ sở Policy, Performance hoặc theo cài đặt Load Balance.

    - Tại các vị trí trung tâm quan trọng để bảo vệ khỏi sự cố hiếm gặp của toàn bộ thiết bị MX, bạn có thể định cấu hình một thiết bị Meraki MX Security & SD-WAN làm bộ tập trung VPN chính và có một MX phụ, luôn sẵn sàng tiếp quản trong trường hợp thất bại với cái thiết bị chính.

    - Việc định cấu hình một bộ dự phòng warm-spare rất đơn giản: cả hai MX đều được đặt bên trong phạm vi mạng của bạn và được định cấu hình làm Bộ tập trung VPN (Concentrator VPN). Mỗi MX được gán một địa chỉ IP riêng để chúng có thể giao tiếp với Meraki Cloud, nhưng chúng cũng chia sẻ một IP ảo (vIP) chung. Địa chỉ ảo, chung này nhận tất cả traffic VPN và theo mặc định, Concentrator VPN chính phản hồi lại lưu lượng đó. Nếu MX chính bị lỗi, thiết bị dự phòng có thể ngay lập tức xử lý traffic VPN (phát hiện lỗi và chuyển đổi dự phòng đầy đủ xảy ra trong vòng chưa đầy 30 giây). Không cần thay đổi thủ công địa chỉ IP để hướng lưu lượng truy cập đến thiết bị dự phòng, vì nó chia sẻ vIP với MX chính.

    VI./ CÁC BƯỚC CẤU HÌNH CISCO MERAKI AUTO VPN:
    - Để bật VPN site-to-site giữa các Thiết bị Bảo mật Cisco Meraki MX, chỉ cần đăng nhập vào Cisco Meraki Dashboard và điều hướng đến trang Configure > Site-to-Site VPN.

    5.1. Mở loại Auto VPN dựa trên cấu trúc liên kết mong muốn:
    - Nếu một MX được định cấu hình làm ‘Hub -Trung tâm’, nó sẽ xây dựng một mạng lưới full-mesh của các VPN-tunnel tới tất cả các hub MX khác trong Auto VPN Domain và các tunnel điểm-điểm cho tất cả các spoke MX mà đã có MX này được định cấu hình làm hub. Nếu tất cả MX trong Auto VPN domain được cấu hình là 'Hub' thì Auto VPN có một cấu trúc liên kết Full-mesh.
    [​IMG]

    - Nếu một MX được cấu hình làm ‘Spoke’, thì sẽ chỉ xây dựng các tunnel tới các MX khác được cấu hình làm 'Hub'. Nếu phần lớn các MX trong Auto VPN domain được cấu hình là ‘Spoke’ với số ít nơi chính (như là Data Center hoặc Trụ sở chính) cấu hình làm ‘Hub’ khi đó Auto VPN có mô hình liên kết theo Hub-and-Spoke.
    [​IMG]

    5.2. Full Tunnel hoặc Split Tunnel    :
    - Theo mặc định tất cả các MX trong Auto VPN domain sẽ chỉ gửi traffic tới một Auto VPN ngang hàng cho một subnet trong cùng Auto VPN domain, việc này được gọi là ‘split-tunnelling’. Nếu một tổ chức muốn định tuyến toàn bộ traffic không trong Auto VPN domain qua một một chi nhánh trung tâm, đây gọi là ‘full-tunnelling’. Lưu ý rằng toàn bộ Full-tunnelling chỉ ảnh hưởng dữ liệu client và tất cả traffic quản lý Meraki sẽ đi ra trực tiếp qua cổng WAN chính.

    - Để cấu hình Full-tunnelling trong một cấu trúc Full-mesh chỉ cần xác định một ‘Exit hub’ từ các MX trong Auto VPN domain như sau:
    [​IMG]

    5.3. Chọn các Subnet (Mạng nội bộ) để đẩy qua VPN    :
    - Tiếp theo chúng ta cần chọn các subnet đang có để đẩy vào Auto VPN domain. Để cấu hình trong trang Site-to-site VPN > mục VPN settings > chỉ cần chọn ‘yes’ hoặc ‘no’ trong Use VPN để thêm hoặc bỏ qua subnet tham gia vào Auto VPN domain.
    [​IMG]

    5.4. Click “SAVE” trên trang Dashboard    :
    - Bây giờ, bạn đã cấu hình một Split hoặc Full VPN tunnel rồi theo cấu trúc Mesh hoặc Hub-and-spoke.

    - Nếu bạn muốn kiểm tra trạng thái của toàn bộ MX có VPN ngang hàng trong mạng của bạn, vào trang Cisco Meraki Dashboard (click đường dẫn Security & SD-WAN > Monitor > VPN Status). Trạng thái của mỗi MX sẽ hiển thị ở đây, cùng với các subnet đi qua; độ trễ thực tế, kết nối và định tuyến đang chạy qua Auto VPN domain được thống kê ra đây.
     
    ptminh, 17/9/21
    #1

trang này