Hoofdstuk 4 Infrastructuur en integratie 48
Een conguratie met Altijd actieve VPN ondersteunt de volgende implementatiemodellen om in
verschillende behoeften te voorzien.
Apparaten met alleen een mobiele-dataverbinding
Als uw organisatie ervoor kiest om Altijd actieve VPN te implementeren op iOS-apparaten die
alleen een mobiele-dataverbinding hebben (de Wi-Fi-interface is permanent verwijderd of
gedeactiveerd), wordt er tussen elk apparaat en de IKEv2-server één IKEv2-tunnel opgezet via de
IP-interface voor het mobiele-datanetwerk. Dit komt overeen met het traditionele VPN-model.
Het iOS-apparaat fungeert als één IKEv2-client, met één identiteit (dus één clientcerticaat of één
gebruikersnaam en wachtwoord), waarbij één IKEv2-tunnel met de IKEv2-server wordt opgezet.
Apparaten met een mobiele-dataverbinding en Wi-Fi
Als uw organisatie ervoor heeft gekozen om Altijd actieve VPN te implementeren voor iOS-apparaten
die zowel een mobiele-dataverbinding als Wi-Fi hebben, worden er vanaf het apparaat twee
gelijktijdige IKEv2-tunnels opgezet. Er zijn twee scenario's waarin apparaten met zowel een
mobiele-dataverbinding als Wi-Fi worden gebruikt:
•
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op afzonderlijke IKEv2-servers
Uw organisatie kan speciale sleutels gebruiken voor de conguratie van Altijd actieve VPN
met interface-specieke tunnels om apparaten te congureren die een mobiele-datatunnel
opzetten met de ene IKEv2-server en een Wi-Fi-tunnel met een tweede IKEv2-server.
Een voordeel van dit model is dat een apparaat voor beide tunnels dezelfde clientidentiteit
(clientcerticaat of gebruikersnaam/wachtwoord) kan gebruiken, aangezien de tunnels
op verschillende servers uitkomen. Een ander voordeel van het werken met verschillende
servers is dat uw organisatie exibeler kan zijn met de scheiding en controle van het
interface-specieke gegevensverkeer (mobiele data versus Wi-Fi). Het nadeel is dat uw
organisatie twee afzonderlijke IKEv2-servers moet onderhouden met voor alle clients een
identieke identiteitscontrole.
•
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op dezelfde IKEv2-server
Bij de conguratie van Altijd actieve VPN met interface-specieke tunnels kan uw organisatie
ook instellen dat de mobiele-datatunnel en de Wi-Fi-tunnel van een apparaat op dezelfde
IKEv2-server uitkomen.
Gebruik van clientidentiteiten:
•
Eén clientidentiteit per apparaat: Uw organisatie kan dezelfde clientidentiteit (dus één
clientcerticaat of één gebruikersnaam-wachtwoordcombinatie) congureren voor zowel
een mobiele-datatunnel als een Wi-Fi-tunnel indien de IKEv2-server meerdere tunnels per
client ondersteunt. Het voordeel is dat er geen extra clientidentiteit nodig is per apparaat en
dat hierdoor geen extra conguratie/bronnen nodig zijn op de server. Het nadeel is dat er
nieuwe tunnels worden opgezet en dat bestaande tunnels overbodig worden wanneer een
apparaat van netwerk verandert. Afhankelijk van de implementatie van de server, bestaat
de kans dat overbodige tunnels niet eciënt en zorgvuldig kunnen worden verwijderd.
Er moet dan binnen de organisatie een strategie worden bedacht om verouderde tunnels
op de server op te schonen.
•
Twee clientidentiteiten per apparaat: De organisatie kan twee clientidentiteiten congureren
(dus twee clientcerticaten of twee combinaties van gebruikersnaam/wachtwoord): één
voor een mobiele-datatunnel en één voor een Wi-Fi-tunnel. De IKEv2-server ziet twee
verschillende clients die hun eigen tunnel opzetten. Het voordeel van dit model is dat
het werkt met de meeste serverimplementaties, aangezien veel servers op basis van de
clientidentiteit onderscheid tussen tunnels maken en slechts één tunnel per client toestaan.
Het nadeel van dit model is dat er dubbele identiteiten en dubbele conguraties/bronnen
op de server moeten worden beheerd.
