Multi-vendor VPN Troubleshooting : Study of IPsec VPN Troubleshooting in a multi-vendor environment
Lundell, Tommi (2017)
Metropolia Ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705117781
https://urn.fi/URN:NBN:fi:amk-201705117781
Tiivistelmä
Internetistä on kasvanut niin suuri tekijä yrityksille, että intranetin lisäksi ekstranetien hallinnointi tulee olla huomioitu resurssienjakoa varten. Etäkäyttäjien ja toimipisteiden yhteenliittämiseksi julkisien verkkojen kautta, VPN-tunneleita yleisesti käytetään näiden loogisien yhteyksien muodostamisessa. Tällaisissä ympäristöissä tulee vastaan monien eri laitevalmistajien laitteita, jotka vaihtelevissa määrin ovat yhteensopivia. Eri laitevalmistajien laitteiden tukeminen vaatii tiettyjen ominaisuuksien huomioimista VPN-tunneleidenkin kohdalla.
Insinöörityön taustalla oli kiinnostus tutkia, kuinka VPN-tunnelien rakentaminen ja vianselvitys eroavat eri laitevalmistajien laitteiden välillä. Työssä rakennettiin kuviteltujen toimipisteiden välille VPN-tunneli, jota systemaattisesti koeteltiin eri ennaltamääritellyillä ongelmatilanteilla. Nämä ongelmatilanteet puolestaan dokumentoitiin analyysia varten, ja niiden pohjalta tehtiin kooste olennaisista viesteistä, jotka osoittivat vikojen alkuperät. Lisäksi laitteiden protokollien soveltamista tarkkailtiin ja vertailtiin.
Työssä käytettiin Ciscon ASA 5505- ja Palo Alto Networksin PA-200-palomuureja. Käytännön työ suoritettiin ammattikorkeakoulun kampuksen laboratorioympäristössä kokonaisuudessaan.
Testitulokset olivat värikkäitä ja ilmaisivat keskustelun kahdesta selvästi eri näkökulmasta, vaikka protokollien standardit ohjasivatkin protokollaneuvottelujen etenemistä. Palo Alton PA-200 kuvaili tarkemmin keskustelun vaiheet ja taustaoperaatiot, kun taas Ciscon ASA 5505 keskittyi käyttäjäystävällisyyteen ja luettavuuteen.
Tulevaisuudessa tällaisissa implementaatioissa siirrytään varmasti IKEv2-protokollan käyttöön sitä mukaa, kun käyttöjärjestelmät sitä laajemmin tukevat. Sertifikaattiautentikoinnin käyttö lisääntyy ekstranetien lisääntyessä, mutta PSK-autentikointimenetelmä pysynee pienempien yrityksen käytössä. IPv6-protokollan käyttöönotto ja tuki lisääntyy myös jatkuvasti – VPN-tunneleiden osalla erityisesti.
Insinöörityön taustalla oli kiinnostus tutkia, kuinka VPN-tunnelien rakentaminen ja vianselvitys eroavat eri laitevalmistajien laitteiden välillä. Työssä rakennettiin kuviteltujen toimipisteiden välille VPN-tunneli, jota systemaattisesti koeteltiin eri ennaltamääritellyillä ongelmatilanteilla. Nämä ongelmatilanteet puolestaan dokumentoitiin analyysia varten, ja niiden pohjalta tehtiin kooste olennaisista viesteistä, jotka osoittivat vikojen alkuperät. Lisäksi laitteiden protokollien soveltamista tarkkailtiin ja vertailtiin.
Työssä käytettiin Ciscon ASA 5505- ja Palo Alto Networksin PA-200-palomuureja. Käytännön työ suoritettiin ammattikorkeakoulun kampuksen laboratorioympäristössä kokonaisuudessaan.
Testitulokset olivat värikkäitä ja ilmaisivat keskustelun kahdesta selvästi eri näkökulmasta, vaikka protokollien standardit ohjasivatkin protokollaneuvottelujen etenemistä. Palo Alton PA-200 kuvaili tarkemmin keskustelun vaiheet ja taustaoperaatiot, kun taas Ciscon ASA 5505 keskittyi käyttäjäystävällisyyteen ja luettavuuteen.
Tulevaisuudessa tällaisissa implementaatioissa siirrytään varmasti IKEv2-protokollan käyttöön sitä mukaa, kun käyttöjärjestelmät sitä laajemmin tukevat. Sertifikaattiautentikoinnin käyttö lisääntyy ekstranetien lisääntyessä, mutta PSK-autentikointimenetelmä pysynee pienempien yrityksen käytössä. IPv6-protokollan käyttöönotto ja tuki lisääntyy myös jatkuvasti – VPN-tunneleiden osalla erityisesti.