Tweet
Giải pháp triển khai Dynamic Multipoint VPN
Chắc hẳn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec.
Trong bài viết này, tôi xin giới thiệu đến các bạn một kỹ thuật mới có liên quan đến VPN đó là Dynamic Multipoint VPN. Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central). Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Để hiểu rỏ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ thống mạng DMVPN này.
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke và spoke-and-spoke. Để hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào hình 1.1 minh họa cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần Branches.
Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site, hoặc một Site đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nối giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Multipoint.
Có một vài tên gọi mà các bạn nên lưu tâm đến để tránh nhầm lẫn. Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke nằm ở Central và Branch.
Các thành phần của DMVPN
Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN để kết nối các văn phòng chi nhánh.
Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp để chúng ta lựa chọn, nhưng phổ biến nhất vẫn là Router của Cisco.
Nhìn vào mô hình ở hình 1, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nối thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud này có thể là Frame-Reply, ATM, Leased Lines.
Kỹ thuật thiết kế
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc PPP hoặc là cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud. Nó được minh họa như trong hình 1.2 và 1.3
DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE interface.
Đinh Chí Thành
Chắc hẳn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec.
Trong bài viết này, tôi xin giới thiệu đến các bạn một kỹ thuật mới có liên quan đến VPN đó là Dynamic Multipoint VPN. Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central). Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Để hiểu rỏ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ thống mạng DMVPN này.
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke và spoke-and-spoke. Để hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào hình 1.1 minh họa cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần Branches.
Hình 1: Mô hình triển khai DMVPN
Cũng trên hình 1, chúng ta thấy rõ đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Site-to-Site. Khái niệm mới chính là ở chổ Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau. Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site, hoặc một Site đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nối giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Multipoint.
Có một vài tên gọi mà các bạn nên lưu tâm đến để tránh nhầm lẫn. Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke nằm ở Central và Branch.
Các thành phần của DMVPN
Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN để kết nối các văn phòng chi nhánh.
Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp để chúng ta lựa chọn, nhưng phổ biến nhất vẫn là Router của Cisco.
Nhìn vào mô hình ở hình 1, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nối thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud này có thể là Frame-Reply, ATM, Leased Lines.
Kỹ thuật thiết kế
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
- Dual hub-dual DMVPN cloud
- Dual hub-single DMVPN cloud
Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc PPP hoặc là cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud. Nó được minh họa như trong hình 1.2 và 1.3
Hình 2: Dual DMVPN Cloud Topology
Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giữa Hub1 và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, luôn duy trì kết nối. Hình 3: Single DMVPN Cloud Topology
Mô hình thứ hai, dual hub singel DMVPN cloud, bạn chỉ có một đường mạng để kết nối tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết nối về hai hub. Giải pháp này được biết đến với khả năng load balanced. DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE interface.
Đinh Chí Thành
Comment