04/11/2021

CẤU HÌNH AUTO VPN TRÊN MX MERAKI

Auto VPN là công nghệ độc quyền do Meraki phát triển cho phép bạn nhanh chóng và dễ dàng xây dựng các đường hầm VPN giữa các thiết bị Meraki MX tại các nhánh mạng riêng biệt của bạn chỉ với một vài cú nhấp chuột. Auto VPN thực hiện công việc thường được yêu cầu đối với các cấu hình VPN thủ công với một quy trình dựa trên cloud. Bài viết này trình bày cách hoạt động của cơ chế Auto VPN.

Định nghĩa:

  • VPN Registry: đây là main server cho phép thực hiện Auto VPN. Nó là một dịch vụ cloud được sử dụng để theo dõi thông tin liên hệ của tất cả các thiết bị MX tham gia Auto VPN cho một organization.
  • Hub: Hub là các thiết bị trong VPN topology phục vụ kết nối từ một remote peer site (chẳng hạn như spoke) đến hub và từ hub đến remote peer site. Hub cũng hoạt động như một gateway để các remote peer site liên lạc với nhau thông qua hub.
  • Peer: điều này đề cập đến một thiết bị MX khác trong cùng một tổ chức mà MX cục bộ sẽ hình thành hoặc đã hình thành một VPN tunnel.
  • Contact: đây là public IP và UDP port mà MX sẽ liên lạc.

Cách Auto VPN hoạt động:

Mô hình hoạt động của Auto VPN.
  • MX1 và MX2 cùng một organization. MX1 và MX2 được định cấu hình để tham gia vào Auto VPN. Cả hai MX1 và MX2 đều gửi Register Request message đến VPN registry của chúng để chia sẻ thông tin contact của riêng nó và để lấy thông tin contact của các MX ngang hàng mà nó sẽ hình thành VPN tunnel. Register Request message chứa IP address và UDP port.
  • VPN Registry gửi các Register Response message đến các MX với thông tin contact của các peer mà MX sẽ thiết lập tunnel.
  • Một khi thông tin được chia sẻ với các MX về các peer, một VPN tunnel sẽ được hình thành từ MX đến MX. Meraki cloud đã biết thông tin subnet của mỗi MX, và IP sẽ được sử dụng để tạo VPN tunnel. Cloud sẽ đẩy một key đến các MX để thiết lập AES encrypted Ipsec. Local subnet sẽ được chia sẽ qua VPN. Trong suốt quá trình các VPN route sẽ được đẩy từ dashboard đến các MX. Cuối cùng dashboard sẽ đẩy các thông tin VPN peer (thông tin về subnets, tunnel IP) đến mỗi MX. Mỗi MX sẽ lưu trữ thông tin này trong một bảng định tuyến riêng biệt.
  • Các port được sử dụng để liên lạc với VPN registry:

Source UDP port dải từ 32768-61000. Destination UDP port dải từ 32768-61000.

VPN connection có thể được giám sát tại Security & SD-WAN > Monitor > VPN Status. Trạng thái của MX được hiển thị,cùng với subnet của chúng, latency, kết nối và các routing đang được thực hiện trong Auto VPN domain.

VPN Status.

Cấu hình Auto VPN:

  • Để enable site-to-site VPN giữa các thiết bị MX Security, login vào Meraki dashboard và đi đến Security & SD-WAN > Configure > Site-to-Site VPN, và chọn giữa Hub hoặc Spoke và Save lại. Đó là tất cả những gì cần để enable kết nối VPN. Auto VPN sẽ xử lý tất cả các cài đặt và thiết lập kết nối.
  • Nếu MX được cấu hình như là Hub. Nó sẽ xây dựng các đường hầm VPN tới tất cả các Hub MX khác trong miền Auto VPN (trong cùng dashboard organization). Nó cũng sẽ xây dựng các đường hầm VPN tới tất cả các Spoke MX trong miền Auto VPN có MX này được định cấu hình làm Hub. Nếu tất cả MX trong miền Auto VPN được định cấu hình làm Hub thì Auto VPN có cấu trúc full mesh.
Cấu hình dạng hub.
  • Nếu MX được định cấu hình dưới dạng Spoke, nó chỉ xây dựng đường hầm đến những MX được định cấu hình làm Hub của nó. Nếu phần lớn MX trong miền Auto VPN được định cấu hình là Spoke và một số địa điểm chính (chẳng hạn như trung tâm dữ liệu hoặc trụ sở chính) được định cấu hình làm Hub, thì môi trường Auto VPN có cấu trúc liên kết hub-and-spoke.
Cấu hình dạng Spoke.
  • Theo mặc định, tất cả các MX trong miền Auto VPN (trong cùng dashboard organization) sẽ chỉ gửi lưu lượng truy cập đến một Auto VPN peer nếu lưu lượng truy cập được dành cho subnet chứa trong miền Auto VPN. Điều này được gọi là ‘split-tunnelling’ có nghĩa là VPN-subnet-bound traffic sẽ được gửi qua VPN và lưu lượng truy cập khác được định tuyến bình thường qua đường primary MX WAN. Nếu một tổ chức muốn định tuyến tất cả lưu lượng truy cập (bao gồm cả lưu lượng không có trong miền Auto VPN) thông qua một Hub cụ thể, điều này được gọi là ‘full-tunneling’.
  • Lưu ý rằng full-tunneling chỉ ảnh hưởng đến client data và tất cả lưu lượng Meraki management sẽ đi ra trực tiếp qua primary WAN.
  • Để cấu hình full-tunneling trong mô hình full mesh, chỉ cần xác định một Exit hub từ các MX trong miền Auto VPN.
Cấu hình Exit Hub.
  • Để cấu hình full-tunneling trong mô hình hub-and-spoke, chỉ cần thiết lập ‘Default route’ với một hoặc nhiều Hub.
Cấu hình full-tunneling.
  • Chọn các subnet (local network)được quảng bá qua VPN. Để thực hiện việc này, chỉ cần đặt các subnet mong muốn là Yes trong Use VPN và đặt No cho các subnet không mong muốn.
Thêm các subnet vào VPN.
  • Cuối cùng là lưu lại các thay đổi.
Chia sẻ:

Bài viết khác

03/04/2024
Sự kiện 4/4: Webinar Xây dựng hạ tầng mạng thông minh với Meraki MX – Building Intelligent Networks with Meraki MX
 27/09/2023
Lợi ích của việc THIẾT KẾ HEATMAP cho hệ thống wifi là gì?
 17/08/2023
MERAKI CISCO WLAN mang được lợi ích gì cho doanh nghiệp?
 08/08/2023
08.2023 – CHƯƠNG TRÌNH “MỘT MIẾNG KHI ĐÓI BẰNG MỘT GÓI KHI NO”
Xem thêm...