Từ bản ra mắt Firmware MX15.x cho phép quản trị viên có thể chọn giữa hai giao thức IKEv1 và IKEv2 dành cho các VPN peer non-Meraki. Tuy nhiên, hai giao thức hoạt động khác nhau đáng kể về cách thức xây dựng các tunnel IPsec và hướng dẫn sẽ chỉ ra những khác biệt giữa hai giao thức này. I-IKEv1: - Việc sử dụng IKEv1 cho phép thực hiện bất kỳ số lượng liên kết bảo mật IPsec nào (SA*) để được xây dựng giữa một thiết bị Firewall Cisco Meraki MX hoặc Z3 và tới thiết bị của bên thứ ba, hoặc thiết bị Meraki ở trong một Dashboard Organization riêng. - Tuy nhiên, vì IKEv1 là một giao thức hạn chế liên kết bảo mật tới một nguồn và đích duy nhất, điều này đưa ra những mối quan tâm về chi phí và quy mô. Mỗi cặp subnet trong một VPN yêu cầu tối thiểu hai SA cho việc truyền thông hai chiều, điều này có nghĩa là số lượng yêu cầu tăng lên khi có nhiều subnet được thêm vào. Quá trình cũng sẽ gặp lỗi với một số dịch vụ đám mây nhất định, những người có giới hạn về số lượng SA đồng thời có thể được thiết lập cùng một lúc (vd như AWS). Chú ý! Một SA có thể được coi là một nửa của IPsec tunnel đang hoạt động vì nó có thể gửi traffic từ A đến B chứ không phải từ B đến A Công thức để tính số lượng tối đa của SA sẽ được khóa giữa một MX và thiết bị hãng khác khi IKEv1 là T=2*m*n trong đó m là số subnet trên thiết bị Meraki, và n là số subnet trên thiết bị bên thứ 3. Ví dụ IKEv1 - Như hình mình họa dưới đây là cách mà các SA sẽ xuất hiện một cách lô-gic giữa một thiết bị MX và peer của bên thứ ba mỗi thiết bị có hai subnet tham gia vào VPN với IKEv1. - Theo công thức đã có ở trên, trong ví dụ này, m=2, và n=2. Vậy kết quả có, T=2*2*2 hay T=8 cho tổng số SA phải được tạo key cho toàn bộ kết nối trong mỗi hướng kết nối. Chú ý! Tuy nhiên, lưu ý rằng vì các SA được khóa theo yêu cầu (tức là chỉ khi lưu lượng truy cập từ một nguồn nhất định cần đến một máy ngang hàng không phải Meraki VPN mà SA chưa tồn tại), số lượng tối đa cần thiết có thể không phải lúc nào cũng hoạt động tại một thời điểm. thời điểm nhất định. II-IKEv2: - Không giống như IKEv1, việc triển khai IKEv2 của Meraki (theo thiết kế) chỉ cho phép một cặp Ipsec SA giữa một Meraki MX/Z3 và cho thiết bị firewall bên thứ ba, hoặc một thiết bị Meraki ở trong một Dashboard Organization riêng biệt. - Tuy nhiên, IKEv2 không đặt ra các hạn chế về số lượng của các nguồn và đích trong một IPsec SA. Điều này có nghĩa một cặp SA có thể cung cấp đầy đủ kết nối giữa hai peer, bất kể số lượng subnet tham gia, như hình minh họa dưới đây. - Kết quả là, IKEv2 có thể cho phép chúng ta mở rộng cao hơn đáng kể so với IKEv1, vì không cần phải tiếp tục khóa các SA bổ sung khi có nhiều subnet được thêm vào. - Việc triển khai như vậy thường đáp ứng các yêu cầu để khóa một IPsec SA bằng cách chỉ sử dụng một cặp subnet. Khi điều này xảy ra, nó sẽ chặn mọi subnet khác tham gia vào VPN cho đến khi SA hết hạn. Thử capture gói tin khi IKEv2 hoạt động và không hoạt động - Hai ảnh chụp sau đây là từ việc bắt gói sẽ minh họa một phiên trao đổi đang hoạt động sẽ như thế nào và sự không tương thích khi trao đổi khóa sẽ như thế nào. *Dữ liệu đã được nhìn thấy trong các bản capture này thường được mã hóa trong quá trình truyền và không thể nhìn thấy được nếu không bật thêm debug bổ sung trên một trong các thiết bị ngang hàng và thêm cả thông tin để giải mã thu được vào một ứng dụng như Wireshark. - Việc debug chỉ có thể thực hiện được trên các thiết bị Meraki bằng cách liên hệ với bộ phận hỗ trợ và yêu cầu xóa bỏ và thiết lập lại các tunnel. IKEv2 đang hoạt động: - Sau đây là một phần của quá trình trao đổi IKEv2 thành công giữa hai thiết bị, tạo thành VPN giữa các subnet 192.168.1.0/24 và 192.168.2.0/24 ở một đầu và 192.168.3.0/24 và 192.168.4.0/24 ở đầu bên kia: - Do có 4 Traffic Selector payloads khác nhau trong một gói tin này, nên Meraki MX đang cố gắng thiết lập một liên kết bảo mật độc lập bao gồm tất cả 4 subnet có liên quan và peer biết các thông tin này bằng cách gửi phản hồi bao gồm cả 4 subnet. - Kết quả cuối cùng của quá trình trao đổi này là một cặp SA đang hoạt động cho phép kết nối hai chiều giữa tất cả các subnet có trong đó. IKEv2 không hoạt động - Hình ảnh sau đây cho thấy một phần trao đổi IKEv2 giữa hai thiết bị, cố gắng tạo VPN giữa các subnet 192.168.1.0/24 và 192.168.2.0/24 ở một đầu và 10.5.10.0/24 và 10.5.20.0/24 ở một đầu khác: - Giống như screenshot trước, MX đang cố gắng xây dựng một SA duy nhất bao gồm tất cả 4 subnet liên quan, nhưng trong trường hợp này, thiết bị peer phản hồi chỉ bằng một cặp Traffic Selector duy nhất, từ đây cho biết nó chỉ muốn tunnel gồm có 192.168. 2.0/24 và 10.5.20.0/24. - Chuẩn IKEv2 cho phép điều này nên kết quả cuối cùng là một cặp SA chỉ cho phép hai mạng con đó giao tiếp. Mọi nỗ lực tiếp theo nhằm tạo ra các tunnel bao phủ các subnet bổ sung sẽ bị thiết bị Meraki MX từ chối cho đến khi SA hết hạn.
