Genel anlamıyla OSI Data Link Katmanı’nın (L2) anahtarlama ve esneklik kabiliyeti ile OSI Network Katmanı’nın (L3) yönlendirme kabiliyetlerini trafik yönlendirme, servis kalitesi tanımlamaları ve özel sanal ağ oluşturabilme anlamında birleştiren bir teknolojidir.
MPLS’in sağladığı ana yararlar;
MPLS standart VPN yapılarından farklı olarak, herhangi bir encapsulation ve encryption mekanizmasına bağlı olmaksızın çalışmaktadır. Bu sayede müşteri router’larının hiç bir VPN desteği olmaksızın, MPLS VPN tanımlamaları ISP üzerinde gerçekleştirilmekte ve bu sayede müşteri tarafında çok daha basit router’ların kullanılması yeterli olmaktadır. Müşteri router’larının tek sorumluluğu, IP routing işlevi doğrultusunda, kendilerine gelen tüm paketleri MPLS omurgasına sahip ISP’e göndermektir. Çalışma mekanizmasının temelinde, müşteri router’ından gelen her pakete “Label”adı verilen OSI ikinci seviyede bir etiket eklenmesi ve omurga üzerinde bu etiket uyarınca artık routing değil, switching mekanizmasının çalıştırılmasıdır. Bu sayede IP yapısına hiç girilmeksizin, mantıksal anlamda VPN yapıları oluşturulabilmektedir. Her müşteri kendi yönlendirme tablosuna sahip olduğundan, müşteri tarafındaki IP yapısı korunarak MPLS’e geçirilebilmektedir. Müşteri tarafında global olmayan IP subnet’leri ISP MPLS VPN omurgası üzerinde taşınabilmektedir. Herhangi bir VPN geçişinde müşteri kendi IP yapısını ISP’e değil, ISP kendisini, müşteri intranetine uyarlamaktadır. Bu sayede kolaylıkla VPN geçişleri gerçekleştirilebilmektedir. MPLS omurga üzerinde, herhangi bir encapsulation ve encryption mekanizması kullanılmadığından gecikme zamanları minimum seviyelerde korunabilmekte, müşteri router’larına herhangi bir ekstra yük getirilmemektedir. Aynı zamanda bu müşteri routerları üzerinde standart yazılımların (IOS), default main ve flash memory miktarlarının kullanılmasına olanak sağlamaktadır. MPLS VPN teknolojisinde, tüm networke internet erişimi verilmesi istenildiğinde, her bölgenin tek tek internete erişmesi yerine merkezi bir internet erişimi sağlanabilmektedir. Bu sayede merkez lokasyona yerleştirilecek bir Firewall, tüm networkun internete karşı güvenliğini sağlayabilmektedir. Ayrıca sadece merkez lokasyona yerleştirilecek atak önleme (IDS), web erişim denetimi (websense) ve SMTP virus önleme (Viruswall) gibi ekstra güvenlik sistemleri, tüm ağı korumak için yeterli olacaktır. MPLS VPN’e geçen bölgeler birbirleriyle aynı lokal alan networkünde bulunuyormuş gibi çalışabilecektir. Bu sayede dağıtık bölge mimarisinde bulunan serverlar, merkezi sunucu mimarisine taşınabileceklerdir. MPLS teknolojisinin en büyük avantajlarından biride servis kalitesi tanımlarının (QoS) desteklenmesidir. QoS tanımlamaları sadece müşteri ile ISP arasındaki bağlantı hattı üzerinde değil, aynı zamanda ISP omurgası üzerindeki her hop’ta desteklenmektedir. QoS tanımlamaları sayesinde şirketler için özel uygulamalara (SAP, Citrix, Logo, Voip, Video konferans, Multimedya uygulamaları gibi) öncelik verilebilmekte, bu sayede diğer default trafiğin şirket için özel uygulamaları etkilemesi önlenmektedir. Bunun sağladığı avantaj, optimum bant genişliklerinin tamamıyla şirket amaçları için kullanılmasının sağlanabilmesi ve özel uygulamalarının çalışabilirliğini garanti altına alınmasıdır. Saha çalışanları tarafından baktığımızda ise MPLS i aşağıdaki şekilde özetleyebiliriz. MPLS VPN yapısında yedekli yapı vardır, ister 3G isterseniz FR, LL, ME, xDSL ne ile isterseniz yedeklenir ve MPLS süreçlerine devam eder. MPLS VPN de merkez mantığı yoktur, dolayısıyla lokasyonlardan merkeze gelen vpn mantığında olduğu gibi merkez gittiğinde vpn networkünün gitme durumu yoktur, bir noktadaki kesintiden diğer noktalar etkilenmeden kendi aralarında Local Area Network ortamındaki gibi çalışmaya devam ederler. MPLS VPN de tek bir noktadan URL Filtering, Firewall hizmetini tüm lokasyonlarınız için kullanabilirsiniz ve neredeyse tüm mpls yapılarında bu uygulama yapılır. MPLS VPN aldığınız durumda dilerseniz ISP nin omurgası üzerinden de internete çıkabilir, url filtering ve firewall’unuzu orada konumlandırabilirsiniz. Peki bu neyi sağlar? siz bunları merkez veya herhangi bir noktada konumlandırsanız bu noktanın “down” olması durumunda tüm lokasyonlarınız Net’e çıkamaz. Ama ISP üzerinden çıkmanız durumunda böyle bir riskiniz yok, her zaman nete çıkışınız garantidir.
MPLS VPN de tüm WAN cihazlarınız ISP uzmanlarımızca yönetilir, hat monitor edilir, MRTG grafiklerini anlık görebilirsiniz. Dolayısıyla hiçbir şeyle uğraşmak durumunda kalmazsınız ve bunlar için düşünüldüğü gibi ekstra ücretler ödemezsiniz.
MPLS VPN hatlarında kesinti ya da sature olduğu durumda sistemde otomatik çağrısı açılır, ayrıca ilgili firma yetkilisine otomatik mail gönderilir.
MPLS VPN hatlarının sonlandırıldığı özel bir yapı vardır, normalde aldığınız erişim hizmetinde erişim süresi örneğin 100ms ise mpls vpn de 25ms olur.
MPLS teknolojisinin en büyük avantajlarından biride servis kalitesi tanımlarının (QoS) desteklenmesidir. Uygulamalara öncelik atanabilir.
Virtual Private Network (VPN), özel veya Internet gibi ortak ağlar üzerindeki noktadan noktaya bağlantılardır. VPN istemcisi, VPN sunucusu üzerindeki sanal bir bağlantı noktasına sanal bir arama gerçekleştirmek için, tünel protokolleri adı verilen özel TCP/IP tabanlı protokolleri kullanır. Tipik bir VPN dağıtımında, istemci, Internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu aramaya yanıt verir, arayanın kimliğini doğrular, verileri VPN istemcisi ile kuruluşun özel ağı arasında aktarır. Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kapsüllenir veya sarılır. Üstbilgi, verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerine olanak veren yönlendirme bilgileri sağlar. Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Paylaşılan veya ortak ağda ele geçirilen paketlerin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantıya VPN bağlantısı denir.
İki tür VPN bağlantısı vardır:
Uzaktan erişim VPN bağlantıları, evinden çalışan veya yolda olan kullanıcıların, Internet gibi ortak bir ağ tarafından sağlanan altyapıyı kullanarak özel ağ üzerindeki bir sunucuya erişmelerine olanak verir. Kullanıcı açısından bakıldığında VPN, bilgisayarla (VPN istemcisi) kuruluşun sunucusu arasında noktadan noktaya bir bağlantıdır. Mantıksal olarak veriler, adanmış bir özel ağ üzerinden gönderiliyormuş gibi göründüğünden, paylaşılan veya ortak ağın gerçek altyapısı önemli değildir.
Site to Site VPN
Siteden siteye VPN bağlantıları (yönlendiriciden yönlendiriciye VPN bağlantıları olarak da bilinir), kuruluşların farklı ofisler arasında veya diğer kuruluşlarla ortak bir ağ üzerinden yönlendirilmiş bağlantılar kullanabilmelerine olanak verirken, iletişim güvenliğinin sağlanmasına da yardımcı olur. Internet üzerinden yönlendirilmiş VPN bağlantısı, mantıksal olarak, adanmış geniş alan ağı (WAN) bağlantısı gibi çalışır. Aşağıdaki şekilde de gösterildiği gibi, ağlar Internet üzerinden bağlandıklarında, bir yönlendirici, paketleri VPN bağlantısı üzerinde başka bir yönlendiriciye iletir. Yönlendiriciler açısından VPN bağlantıları, veri bağlantısı katmanı bağlantısı olarak işlev görür. Siteden siteye VPN bağlantısı özel bir ağın iki bölümünü birbirine bağlar. VPN sunucusu, bağlı bulunduğu ağa yönlendirilmiş bağlantı sağlar. Yanıtlayan yönlendirici (VPN sunucusu) arayan yönlendiricinin (VPN istemcisi) kimliğini doğrular ve karşılıklı kimlik doğrulama amacıyla, arayan yönlendirici de yanıtlayan yönlendiricinin kimliğini doğrular. Siteden siteye VPN bağlantısında, VPN bağlantısı üzerindeki iki yönlendiriciden birinden gönderilen paketlerin başlangıç noktaları tipik olarak yönlendiriciler değildir.
VPN Bağlantılarının Özellikleri
PPTP, L2TP/IPsec ve SSTP kullanan VPN bağlantıları aşağıdaki özelliklere sahiptir:
Kimlik Doğrulama
VPN bağlantılarında kimlik doğrulama üç farklı biçimde yapılır;
1. PPP kimlik doğrulama kullanılarak kullanıcı düzeyinde kimlik doğrulama
VPN bağlantısı oluşturmak için, VPN sunucusu bağlanmayı deneyen VPN istemcisinin kimliğini, Noktadan Noktaya Protokolü (PPP) kullanıcı düzeyinde kimlik doğrulama yöntemi kullanarak doğrular ve VPN istemcisinin uygun yetkilendirmeye sahip olduğunu onaylar. Karşılıklı kimlik doğrulama kullanılırsa, VPN istemcisi de VPN sunucusunun kimliğini doğrular; bu şekilde kendilerini VPN sunucuları gibi tanıtan bilgisayarlara karşı koruma sağlanır.
2. Internet Anahtar Değişimi (IKE) kullanarak bilgisayar düzeyinde kimlik doğrulama
Internet Protokolü güvenliği (IPsec) güvenlik ilişkisi oluşturmak üzere VPN istemcisi ve VPN sunucusu, bilgisayar sertifikaları veya önceden paylaşılan bir anahtar değişimi için IKE protokolünü kullanır. Her iki durumda da VPN istemcisi ve sunucusu, birbirlerinin kimliklerini bilgisayar düzeyinde doğrular. Bilgisayar sertifikası kimlik doğrulaması çok daha güçlü bir kimlik doğrulama yöntemi olduğundan daha fazla önerilir. Bilgisayar düzeyinde kimlik doğrulama yalnızca L2TP/IPsec bağlantıları için uygulanır.
3. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü
VPN bağlantısı üzerinden gönderilen verinin, bağlantının diğer ucundan gönderilmiş olduğunu ve aktarım sırasında değiştirilmediğini onaylamak için, veride yalnızca gönderenin ve alanın bildiği bir şifreleme anahtarına dayalı şifreleme sağlama toplamı bulunur. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü yalnızca L2TP/IPsec bağlantılarında kullanılabilir.
Veri Şifreleme
Veriler, paylaşılan veya ortak geçiş ağından çapraz geçerken gizliliğinin sağlanması amacıyla gönderen tarafından şifrelenir ve şifreleri alan tarafından çözülür. Şifreleme ve şifre çözme işlemleri gönderenin ve alanın ortak kullandığı bir şifreleme anahtarına bağlıdır. VPN bağlantısı üzerinden geçiş ağında gönderilen paketler ele geçirildiğinde, ortak şifreleme anahtarı olmadan hiç kimse için bir anlam ifade etmezler. Şifreleme anahtarının uzunluğu çok önemli bir güvenlik parametresidir. Şifreleme anahtarını belirlemek için hesaba dayalı teknikler kullanabilirsiniz. Ancak, bu tür teknikler, şifreleme anahtarları büyüdükçe daha fazla bilgi işlem gücü ve hesaplama süresi gerektirir. Bu nedenle, veri gizliliğini sağlamak için mümkün olan en büyük anahtar boyutunu kullanmak önemlidir.