Tipos de VPN

Posted: 2nd September 2020 by ccna7guru in ITN

Tipos de VPN
VPN de acceso remoto

  • Las VPN de acceso remoto permiten a los usuarios remotos y móviles conectarse de forma segura a la empresa.
  • Las VPN de acceso remoto generalmente se habilitan dinámicamente por el usuario cuando es necesario y se pueden crear utilizando IPsec o SSL.
  • Conexión VPN sin cliente – La conexión se asegura utilizando una conexión SSL de navegador web.
  • Conexión VPN basada en el cliente – El software de cliente VPN, como Cisco AnyConnect Secure Mobility Client, debe instalarse en el dispositivo final del usuario remoto.

SSL VPNs

SSL utiliza la infraestructura de llave pública y los certificados digitales para autenticar a sus pares. El tipo de método VPN implementado se basa en los requisitos de acceso de los usuarios y en los procesos de TI de la organización. La tabla compara las implementaciones de acceso remoto IPsec y SSL.

VPN de IPsec de sitio a sitio

•Las VPN de sitio a sitio se utilizan para conectar redes a través de otra red no confiable como Internet.

•Los hosts finales envían y reciben tráfico TCP / IP sin cifrar normal a través de una puerta de enlace VPN.

•La puerta de enlace VPN encapsula y cifra el tráfico saliente de un sitio y envía el tráfico a través del túnel VPN a la puerta de enlace VPN en el sitio de destino. Al recibirlo, la puerta de enlace VPN receptora despoja los encabezados, desencripta el contenido y retransmite el paquete hacia el usuario de destino dentro de su red privada.

GRE sobre IPsec

•Generic Routing Encapsulation (GRE) es un protocolo de túnel de VPN de sitio a sitio básico y no seguro.

•Un túnel GRE puede encapsular varios protocolos de capa de red, así como tráfico multicast y broadcast.

•Sin embargo, GRE no admite de forma predeterminada el encriptado; y por lo tanto, no proporciona un túnel VPN seguro.

•Un paquete GRE puede encapsularse en un paquete IPsec para reenviarlo de forma segura a la puerta de enlace VPN de destino.

•Una VPN IPsec estándar (no GRE) solo puede crear túneles seguros para el tráfico de unicast.

•Encapsular GRE en IPsec permite asegurar las actualizaciones del protocolo de enrutamiento de multidifusión a través de una VPN.

Los términos utilizados para describir la encapsulación de GRE sobre el túnel IPsec son protocolo pasajero (passenger protocol), protocolo operador (carrier protocol) y protocolo transporte (transport protocol).

Protocolo del Pasajero – Este es el paquete original que debe ser encapsulado por GRE. Podría ser un paquete IPv4 o IPv6, una actualización de enrutamiento y más.

Protocolo del Operador – GRE es el protocolo del operador que encapsula el paquete original de pasajeros.

Protocolo de transporte: – Este es el protocolo que realmente se usará para reenviar el paquete. Esto podría ser IPv4 o IPv6.



Interfaz de túnel virtual IPsec

Por ejemplo, Branch y HQ necesitan intercambiar información de enrutamiento OSPF sobre una VPN IPsec. Por lo tanto, GRE sobre IPsec se usa para admitir el tráfico del protocolo de enrutamiento sobre la VPN de IPsec.

Específicamente, los paquetes OSPF (es decir, el protocolo del pasajero) serían encapsulados por GRE (es decir, el protocolo del operador) y posteriormente encapsulados en un túnel VPN IPsec.

VPN de MPLS del proveedor de servicios

Hoy, los proveedores de servicios usan MPLS en su red principal. El tráfico se reenvía a través de la red troncal MPLS mediante etiquetas. Al igual que las conexiones WAN heredadas, el tráfico es seguro porque los clientes del proveedor de servicios no pueden ver el tráfico de los demás.

•MPLS puede proporcionar a los clientes soluciones VPN administradas; por lo tanto, aseguran el tráfico entre los sitios del cliente es responsabilidad del proveedor del servicio.

•Hay dos tipos de soluciones VPN MPLS compatibles con los proveedores de servicios:

oVPN MPLS Capa 3 -El proveedor de servicios participa en el enrutamiento del cliente al establecer un intercambio entre los enrutadores del cliente y los enrutadores del proveedor.

oVPN MPLS Capa 2 -El proveedor de servicios no participa en el enrutamiento del cliente. En cambio, el proveedor implementa un servicio de LAN privada virtual (VPLS) para emular un segmento LAN de acceso múltiple de Ethernet a través de la red MPLS. No hay enrutamiento involucrado. Los enrutadores del cliente pertenecen efectivamente a la misma red de acceso múltiple.