Apa itu Dynamic Multipoint Virtual Private Network (DMVPN)?
Dynamic Multipoint VPN (DMVPN) adalah jenis jaringan aman yang memungkinkan pertukaran data antar situs atau router tanpa harus melewati server VPN atau router utama di kantor pusat. DMVPN memudahkan organisasi membangun jaringan VPN dengan banyak cabang tanpa perlu konfigurasi perangkat secara statis.
Pada umumnya, VPN menghubungkan setiap situs ke kantor pusat. Sementara DMVPN membentuk topologi VPN mesh, dengan model “hub and spoke.” Artinya, tiap router di cabang (spoke) terkoneksi ke perangkat hub VPN pusat, tapi juga bisa langsung berkomunikasi dengan spoke lain tanpa harus melewati hub terlebih dulu.
Bagaimana Cara Kerja DMVPN?
DMVPN memungkinkan cabang-cabang untuk saling terhubung menggunakan jaringan publik seperti WAN atau internet. DMVPN dijalankan lewat router VPN dan firewall concentrator. Masing-masing cabang memiliki router yang dikonfigurasi untuk terkoneksi ke hub VPN pusat.
Misalnya dua spoke ingin melakukan panggilan VoIP, maka salah satu spoke akan meminta informasi dari hub mengenai spoke lain, lalu membuat tunnel IPsec dinamis di antara keduanya. Tunnel ini tidak permanen, dan komunikasi tetap bisa diamankan menggunakan kontrol akses granular dan perlindungan VPN.
DMVPN juga mendukung enkripsi lewat IPsec, menjadikannya solusi populer untuk koneksi antar cabang melalui internet.
Komponen-Komponen Utama DMVPN
Multipoint GRE Tunnel Interfaces
Untuk jaringan perusahaan dengan banyak cabang, penggunaan banyak tunnel GRE bisa jadi rumit. Dengan DMVPN dan multipoint GRE (mGRE), satu interface GRE bisa digunakan untuk koneksi ke banyak tujuan sekaligus, cukup satu tunnel per router.
Namun, jika dua router cabang perlu berkomunikasi, GRE saja nggak tahu IP mana yang digunakan. Di sinilah protokol NHRP berperan.
NHRP
NHRP memungkinkan spoke mendaftarkan IP publiknya ke hub. Modelnya seperti server-client, di mana hub bertindak sebagai server dan semua spoke sebagai client. Setiap client melaporkan IP publiknya, lalu server menyimpannya di cache untuk kebutuhan resolusi koneksi.
IPsec Tunnel Endpoint Discovery (TED)
TED memungkinkan endpoint saling menemukan tanpa harus konfigurasi manual (crypto map). Ini sangat membantu agar router bisa otomatis membuat tunnel IPsec ke router lain meski belum tahu sebelumnya.
Routing Protocol
Protokol routing sangat penting untuk menemukan jalur terbaik antar endpoint di DMVPN. Untuk skala kecil, protokol OSPF sudah cukup. Tapi untuk skala besar, lebih cocok pakai EIGRP atau BGP karena lebih scalable dan ringan untuk router.
Tahapan Fase DMVPN
Phase 1
Spoke mendaftar ke hub, tapi semua lalu lintas tetap lewat hub. Jadi, komunikasi antar spoke belum bisa langsung. Routing masih sederhana karena cukup satu default route ke hub.
Phase 2
Spoke bisa langsung berkomunikasi satu sama lain melalui tunnel on-demand. Hub hanya dipakai di control plane, bukan lagi di data plane. Ini mengurangi beban pada hub.
Phase 3
Tunnel antar spoke dibuat tanpa rute khusus yang dikonfigurasi manual. NHRP digunakan untuk mengirim pesan redirect dan shortcut dari hub agar spoke bisa membangun rute dinamis.
Keuntungan DMVPN
Konfigurasi router lebih sederhana
DMVPN hanya butuh satu konfigurasi hub untuk menghubungkan banyak spoke. Topologi lebih scalable dan cocok untuk kantor kecil, menengah, hingga besar.
Dukungan IP publik dinamis
Dengan bantuan NHRP, spoke bisa beroperasi dengan IP publik dinamis dan tetap bisa membentuk tunnel ke spoke lainnya.
Biaya administrasi lebih rendah
DMVPN mengurangi kebutuhan konfigurasi berulang, terutama di sisi hub. Tambahan spoke bisa dilakukan tanpa banyak perubahan.
Dukungan QoS
DMVPN mendukung QoS seperti traffic shaping antar spoke dan penyesuaian kebijakan QoS secara dinamis.
Skalabilitas dan ketersediaan tinggi
Topologi DMVPN bisa mendukung ribuan spoke dan menyebarkan beban melalui banyak hub untuk performa optimal.
Mendukung NAT Traversal
DMVPN juga bekerja walau spoke berada di balik perangkat NAT, dan tetap mendukung multicast untuk komunikasi one-to-many dan many-to-many.