کپسوله‌سازی مسیریابی عمومی چند نقطه‌ای (mGRE) چیست؟

ارتباطات ایمن و کارآمد راهکارهای نوینی دارد که یکی از مهمترین آن‌ها شبکه‌های خصوصی مجازی یا Virtual Private Networkهااست. به‌کمک این شبکه‌ها می‌توانیم ارتباطی امن و پایدار میان چندین نقطه مختلف را برقرار کنیم. پروتکل‌های متنوعی برای مدیریت و مسیریابی داده‌ها در شبکه‌های خصوصی مجازی استفاده می‌شوند که یکی از مهم‌ترین و کارآمدترین آن‌‌ها mGRE یا کپسوله‌سازی مسیریابی عمومی چند نقطه‌ای است.

پروتکل mGRE به‌ویژه در فناوری‌های سیسکو برای ایجاد تونل‌های چندنقطه‌ای در شبکه‌های خصوصی مجازی به‌کار می‌رود و نقش کلیدی در تسهیل ارتباطات میان دفاتر مختلف از طریق یک هاب مرکزی دارد. این پروتکل با کپسوله‌سازی بسته‌های داده و مسیریابی آن‌ها از طریق تونلی مشترک، مدیریت شبکه‌های خصوصی مجازی را آسان‌تر می‌کند. در ادامه‌ مقاله، مفاهیم مرتبط با mGRE، فرایند کپسوله‌سازی و اهمیت آن در امنیت و استانداردسازی شبکه‌ها را بررسی می‌کنیم؛ تا انتهای مقاله فالنیک با ما همراه باشید. اگر بخ خدمات نصب و راه اندازی شبکه نیاز دارید، می‌توانید از تخصص کارشناس‌های فنی ما از طریق تماس با شماره 0218363 بهره‌مند شوید.

mGRE چیست؟

Multipoint Generic Routing Encapsulation یا کپسوله سازی مسیریابی عمومی چند نقطه ای پروتکلی است که برای اتصال چندین سایت با فاصله‌های زیاد از طریق شبکه‌ی خصوصی مجازی (VIRTUAL PRIVATE NETWORK) استفاده می‌شود. این پروتکل از توپولوژی هاب و اسپوک برای کپسوله کردن و ارسال بسته‌های داده از سایتی در فاصله دور به سایتی دیگر بهره می‌گیرد و به این ترتیب مدیریت VIRTUAL PRIVATE NETWORK را ساده‌تر و مقیاس‌پذیرتر می‌کند. تونل‌های GRE برای مسیریابی امن و کارآمد داده‌ها در شبکه‌های پشتیبانی‌کننده از مولتی‌کست (چندپخشی) ضروری هستند و در تکنولوژی‌های سیسکو نقش بسیار مهمی دارند.

برای توضیح mGRE به‌زبان ساده‌تر مثالی می‌زنیم. زمانی که نامه‌ای را با پست می‌فرستید، آن نامه را داخل پاکت قرار می‌دهید. پست انتظار دارد که آدرس مقصد وسط پاکت باشد، آدرس فرستنده در بالا سمت چپ و تمبر در بالا سمت راست قرار گیرد. اگر همه نامه‌ها را بدون گذاشتن در پاکت ارسال می‌کردند، کار پست بسیار دشوار می‌شد.mGRE  دقیقا همین کار را برای بسته‌های داده انجام می‌دهد. تونل‌سازی نیز یکی دیگر از جنبه‌های مهم این پروتکل است که در بخش بعدی به آن اشاره می‌کنیم.

کپسوله‌سازی (Encapsulation) به چه معناست؟

کپسوله‌سازی به‌زبان ساده، یعنی بسته اصلی داده را داخل بسته‌ي جدیدتری قرار می‌دهیم و به آن اطلاعات اضافی (مثل آدرس‌ها و دستورالعمل‌های مسیریابی) اضافه می‌کنیم؛ در نتیجه می‌توانیم از پروتکل‌های مختلف شبکه برای انتقال آن بهره ببریم. در mGRE، کپسوله‌سازی یک بسته به‌معنای اضافه کردن لایه‌های جدید به بسته‌های IP اصلی است تا بتوانیم از طریق تونلی مجازی آن‌ها را به مقصد برسانیم. برای اینکه موضوع روشن‌تر شود، مراحل را ساده‌تر می‌کنیم:

• یک بسته داده، مثل ایمیلی که از کامپیوتر ارسال می‌شود، آماده است.
• پروتکل mGRE این بسته را داخل بسته‌ای ‌جدیدتر قرار می‌دهد. چنین فرآیندی اغلب در مرکز اصلی (هاب) انجام می‌شود.
• بسته جدید به بسته اصلی امکان می‌دهد که از طریق شبکه VIRTUAL PRIVATE NETWORK‌  یا مسیر امن مجازی منتقل شود. در نهایت هاب مرکزی این بسته را به مقصد نهایی می‌فرستد.
• در مقصد، بسته باز شده (دکپسوله‌ می‌شود) و داده اصلی، مثلا همان ایمیل، تحویل گرفته می‌شود.

انجام چنین کاری در عین پیچیده بودن ضروری است، چون باعث جابه‌جایی ایمن‌تر و بهتر داده‌ها در شبکه می‌شود.

 در مورد امنیت شبکه بیشتر بخوانید: راهکارهای تامین امنیت شبکه

چرا کپسوله‌سازی داده ضروری است؟

کپسوله‌سازی داده به‌خاطر ارائه‌ی امنیت، ایجاد استاندارد واحد و فراهم کردن امکان تونل زدن بسته‌ها ضروری است. کپسوله‌سازی با افزودن متا دیتا به آدرس‌های IP منبع و مقصد، لایه امنیتی اضافی فراهم می‌کند. فایروال‌ها نیز می‌توانند طوری پیکربندی شوند که منبع و مقصد بسته‌ها را تحلیل و امنیت شبکه را حفظ کنند.

کپسوله‌سازی داده استانداردی یکپارچه ارائه می‌دهد تا همه ایستگاه‌های کاری منبع بتوانند انتظار کپسوله و دکپسوله شدن داده‌ها به‌شکلی مشابه را داشته باشند. برای مثال، بسته داده‌ای از ایمیل با بسته‌ای که از یک پرینتر ارسال می‌شود، تفاوت دارد؛ اما وقتی کپسوله می‌شوند، هاب مرکزی می‌تواند همه آن‌ها را به یک شکل مسیریابی کند. این یکنواختی باعث ساده‌سازی و مقیاس‌پذیری بیشتر بسته‌ها می‌شود.

بدون کپسوله‌سازی داده، امکان تونل زدن در شبکه‌ها وجود ندارد. کپسوله‌سازی زبانی مشترک برای روترها، سوئیچ‌ها و نودها ایجاد می‌کند تا بتوانند به‌طور همگام در شبکه‌های مجازی فعالیت کنند.

تونل GRE چیست؟

تونل GRE فناوری شبکه‌ای نقطه‌به‌نقطه است که دو نقطه‌ی انتهایی را به هم متصل می‌کند. این دو نقطه اغلب یک گره اسپوک و یک هاب مرکزی هستند که با ایجاد توپولوژی هاب و اسپوک امکان مسیریابی دقیق ترافیک را فراهم می‌کنند. یکی از مزایای اصلی تونل‌های GRE کمک به دستگاه‌ها برای هدایت درست ترافیک شبکه است.

شبکه‌ mGRE چگونه کار می‌کند؟

شبکه mGRE با ایجاد پروتکلی مشترک برای ارسال بسته‌های چندپخشی (multicast) عمل می‌کند. این پروتکل با کپسوله‌سازی بسته‌های منبع در پروتکل GRE، انتقال داده به شبکه‌های دیگر را ساده‌تر و مقیاس‌پذیرتر می‌کند. برای پیاده‌سازی شبکه mGRE، باید تونل‌های GRE  را روی روترها و سوئیچ‌های سیسکو پیکربندی کنیم.

پیشنهاد مطالعه: راهکارهای تامین امنیت تجهیزات لبه شبکه و کاربران

مروری بر پیکربندی تونل GRE

پیکربندی تونل‌های GRE روی روترهای سیسکو برای برقراری ارتباطات چندنقطه‌ای بین نقاط مختلف ضروری است. مراحل کلی پیکربندی  را در ادامه بیان می‌کنیم.

•   تعیین دستگاه مرکزی (هاب) و گره‌های اسپوک.
•   ورود به روتر یا سوئیچ سیسکو که به‌عنوان هاب مرکزی عمل می‌کند.
•   فعال‌سازی پیکربندی mGRE روی روتر هاب مرکزی.
•   ایجاد رابط تونل برای هر گره اسپوک و اختصاص آدرس‌های IP به هر تونل GRE.
•   تنظیم روترها و سوئیچ‌ها برای ارسال ترافیک به تونل‌های جدید GRE.
•   بروزرسانی جدول‌های مسیریابی برای شناسایی تونل‌های جدید.
•   اطمینان از عملکرد صحیح شبکه با استفاده از دستورات پینگ یا Traceroute.

نکته مهم این است که مراحل ساده ‌شده بالا شامل مباحث امنیتی نیستند. برای ایجاد محیطی امن، باید IPsec نیز در کنار mGRE پیکربندی شود.

آشنایی با پورت‌های GRE

تونل GRE در لایه ۳ یا ۴ مدل OSI عمل می‌کند و بعد از کپسوله کردن بسته‌ها، آن‌ها را از طریق ارتباط نقطه‌به‌نقطه به مقصد ارسال می‌کند. اغلب آدرس‌های IP در تونل‌های GRE با پورت ۴۷ تنظیم می‌شوند که پورت رایج GRE محسوب می‌شود و بسته‌ها را به مقصد نهایی هدایت می‌کند.

ارتباط mGRE با توپولوژی هاب و اسپوک

توپولوژی هاب و اسپوک مدلی ساده برای مدیریت شبکه‌ها است که در آن هاب مرکزی به‌عنوان نقطه اصلی برای ارسال و دریافت داده‌ها عمل می‌کند و گره‌های اسپوک به این هاب متصل می‌شوند؛ از این رو هر گره در شبکه به‌طور مستقیم با هاب ارتباط برقرار می‌کند، نه با گره‌های دیگر.

در mGRE، توپولوژی هاب و اسپوک این‌طور پیاده‌سازی می‌شود: هر گره (مثل دفتری با فاصله زیاد) یک تونل GRE با هاب مرکزی ایجاد می‌کند. یعنی وقتی یک گره می‌خواهد داده‌ای ارسال کند (مثل ارسال فایل یا ایمیل)، ابتدا داده را به هاب مرکزی می‌فرستد. سپس هاب داده‌ را کپسوله می‌کند (یعنی داخل بسته‌ای می‌پیچد) و آن‌ را به گره مقصد می‌فرستد. گره مقصد هم وقتی بسته را دریافت می‌کند، آن را دکپسوله می‌کند، محتوای اصلی داده را می‌خواند و سپس پردازش می‌کند.

این مدل بسیار کارآمد است، چون تمام ارتباطات از طریق هاب انجام می‌شود و گره‌ها نیازی به برقراری ارتباط مستقیم با هم ندارند، بلکه همه از طریق هاب مرکزی مدیریت می‌شوند. به‌همین دلیل توپولوژی هاب و اسپوک در بسیاری از آزمون‌های شبکه را به‌عنوان مفهومی کلیدی مطرح می‌کنیم.

مزایای mGRE و تونل mGRE

mGRE و تونل‌های آن مزایای متعددی دارند که در ادامه به برخی از مهم‌ترین آن‌ها اشاره می‌کنیم. همچنین توضیح می‌دهیم که چرا سازمان‌های متمرکز بر سیسکو از آن استفاده می‌کنند.

مقیاس‌پذیری با تونل‌های mGRE

یکی از بزرگترین مزایای mGRE مقیاس‌پذیری بالای آن است. mGRE روند اضافه کردن دستگاه‌های جدید به شبکه‌های خصوصی مجازی را بسیار ساده می‌کند. با استفاده از مدل هاب و اسپوک، اضافه کردن دستگاه جدید به سادگی پیکربندی تونل GRE جدید و افزودن آن به جدول مسیریابی است.

صرفه‌جویی در هزینه با تونل‌های mGRE

تونل‌های mGRE از نظر هزینه هم بسیار کارآمد هستند. وقتی نیاز به گسترش شبکه باشد، تنها سخت‌افزاری که نیاز به منابع بیشتر دارد، هاب مرکزی است؛ این موضوع باعث کاهش هزینه‌های بسیاری می‌شود. همچنین مدیران شبکه هنگام عیب‌یابی می‌توانند روی تونل شبکه خصوصی مجازی مرتبط با گره اسپوک که مشکل‌ساز شده است، تمرکز کنند. اما در توپولوژی مش (Mesh) مشکلات ممکن است در هر نقطه‌ای رخ دهند. متمرکز بودن مسیریابی یعنی تمام تنظیمات امنیتی روی یک گره‌ی متمرکز (هاب) انجام می‌شود و این امر هزینه‌های مربوط به مجوزهای نرم‌افزاری را کاهش می‌دهد.

ساده‌سازی پیکربندی و مدیریت با mGRE

یکی از بهترین ویژگی‌های mGRE آسان بودن اضافه یا حذف کردن گره‌ها از شبکه است. همان‌طور که گفته شد، اضافه کردن گره جدید فقط با پیکربندی تونلی که به‌طور مستقیم به هاب مرکزی متصل است، انجام می‌شود. همچنین مدیریت شبکه بسیار ساده‌تر خواهد بود، زیرا تمام کارهای مدیریتی از جمله پیکربندی فایروال، تحلیل بسته‌های داده و بررسی بار شبکه روی هاب مرکزی انجام می‌شوند.

انتقال ساده‌تر داده‌ها با تونل‌های mGRE

بسته‌ها با ایجاد استانداردی یکپارچه برای دریافت و ارسال داده می‌توانند در محدوده‌های وسیع مجازی بدون مشکل ارتباطی ارسال شوند. همچنین به‌جای اینکه هر گره خودش به‌تنهایی کار کند، ترافیک‌ها از طریق هاب مرکزی که تمامی نیازهای شبکه را مدیریت می‌کند، هدایت می‌شوند.

معایب استفاده از تونل‌های mGRE چیست؟

اگرچه mGRE مزایای زیادی دارد، اما استفاده از تونل‌های آن بدون چالش نیست. در ادامه، برخی معایب استفاده از mGRE در شبکه و اقداماتی را که باید برای بهینه‌سازی آن انجام شود، بررسی می‌کنیم.

خطرات متمرکز بودن تونل‌های mGRE

مدیریت متمرکز می‌تواند مزیت مهمی باشد، اما ممکن است مسائلی ایجاد کند! مشکل اصلی زمانی رخ می‌دهد که هاب مرکزی خراب شود. اگر هاب مرکزی از کار بیفتد، کل شبکه تا زمان رفع مشکل مختل می‌شود. علاوه بر این، هاب مرکزی می‌تواند تبدیل به گلوگاه ترافیکی شود و اگر به اندازه کافی قوی نباشد، تاخیر شبکه به‌شدت افزایش می‌یابد.

همچنین اگر هاب مرکزی به هدف حمله‌ی بزرگ تبدیل شود و هکرها به هاب نفوذ کنند، می‌توانند به اطلاعات تمامی سایت‌های با فاصله زیاد در شبکه دسترسی پیدا کنند؛ اتفاق بسیار خطرناکی که روی امنیت کلی شبکه اثر می‌گذارد.

پیچیدگی شبکه با تونل‌های mGRE

یکی از ویژگی‌های اصلی mGRE ارسال داده‌های چندپخشی است. هرچند که این موضوع قابلیت مفیدی به شما می‌رود، اما مدیریت آن در شبکه‌های بزرگ ممکن است پیچیده شود. گاهی پیکربندی اینکه کدام گره‌ها به کدام گره‌ها داده ارسال کنند با دشواری‌های زیادی همراه می‌شود و جدول‌های مسیریابی با پیچیدگی‌های زیادی مواجه می‌شوند.

این پیچیدگی ممکن است منجر به اشتباهات انسانی در پیکربندی آدرس‌های IP شود و داده‌های چندپخشی تکراری چندین و چند بار ارسال شوند.

نبود رمزنگاری بومی در تونل‌های mGRE

یکی از محدودیت‌های بزرگ mGRE نبود رمزنگاری بومی است؛ یعنی برای حفظ امنیت شبکه، حتما باید از پیکربندی IPsec استفاده کنید. mGRE تنها پروتکلی برای انتقال سریع و مطمئن بسته‌ها است و خود به‌تنهایی از رمزنگاری برخوردار نیست.

IPsec مجموعه‌ای از پروتکل‌ها و تکنیک‌ها برای ایمن‌سازی ارتباطات شبکه‌ای است و اغلب برای ایجاد کانال‌های امن در شبکه‌های خصوصی مجازی استفاده می‌شود. برای ایمن‌سازی تونل‌های mGRE، حتما باید از پیکربندی IPsec استفاده کنید.

فناوری‌هایی که بر تونل‌های GRE متکی هستند

فناوری‌های مبتنی بر سیسکو که به‌صورت گسترده در دنیای ارتباطات شبکه‌‌ای استفاده می‌شوند، به‌طور ویژه به تونل‌های GRE وابسته هستند. برخی از این فناوری‌ها عبارتند از:

VIRTUAL PRIVATE NETWORKها و تونل‌های GRE

شبکه‌های خصوصی مجازی که از تونل‌های GRE استفاده می‌کنند، بر فناوری mGRE متکی هستند. این تونل‌ها برای کپسوله‌سازی بسته‌ها با متادیتای mGRE طراحی شده‌اند تا به چندین مقصد ارسال شوند.

استفاده از تونل‌های GRE در شبکه‌های WAN

از آنجا که GRE پروتکل تونل‌سازی است، می‌توان از آن در هر شبکه‌ی مجازی استفاده کرد. یکی از زمینه‌هایی که mGRE کارایی زیادی در آن دارد، راه‌اندازی گسترش شبکه خصوصی است. در این حالت شبکه خصوصی مجازی را از طریق شبکه‌ی عمومی مانند اینترنت امتداد می‌دهیم که برای اتصال دفاتر جغرافیایی پراکنده یا تامین امنیت دیتاسنترها مفید است.

تونل‌های mGRE و شبکه‌های ابری

تونل‌های mGRE به‌صورت بومی در هیچ‌کدام از پلتفرم‌های اصلی ابری پشتیبانی نمی‌شوند، اما به این معنی نیست که قابل استفاده نباشند. برخی ارائه‌دهندگان خدمات ابری مثل AWS و IBM راه‌حل‌هایی برای پشتیبانی از تونل‌های GRE به سمت دیتاسنترهای ابری خود ارائه می‌دهند.

برای مثال، اگر در حال حاضر یک توپولوژی هاب و اسپوک در فضای ابری دارید یا می‌خواهید چنین ساختاری ایجاد کنید، mGRE می‌تواند پروتکل مناسبی باشد. همچنین در AWS و GCP، mGRE می‌توانیم چندین VPC (ابر خصوصی مجازی) را به هم متصل و امکان ایجاد توپولوژی هاب و اسپوک را در فضای ابری فراهم کند.

مزایا، چالش‌ها و اهمیت پیاده‌سازی صحیح mGRE در یک نگاه

پروتکل mGRE با استفاده از توپولوژی هاب و اسپوک، امکان ارتباط چندین سایت از راه دور را از طریق یک هاب مرکزی فراهم می‌کند. این پروتکل با کپسوله‌سازی بسته‌های داده، ارسال آن‌ها را به مقاصد مختلف تسهیل می‌کند و باعث می‌شود که مدیریت شبکه‌های بزرگ ساده‌تر و مقیاس‌پذیرتر شود.

از مزایای اصلی mGRE می‌توان به قابلیت مقیاس‌پذیری، سازگاری با شبکه‌های گسترده (WAN) و کاهش هزینه‌ها به دلیل مدیریت متمرکز اشاره کرد. در عین حال، معایبی همچون بودن تمرکز اصلی روی هاب مرکزی، پیچیدگی در پیکربندی شبکه‌های بزرگ و نبود رمزنگاری بومی از چالش‌های mGRE هستند. در نهایت، استفاده از mGRE می‌تواند راه‌حل مناسبی برای سازمان‌هایی باشد که به شبکه‌های خصوصی مجازی بزرگ و مقیاس‌پذیر نیاز دارند.