Sinh viên thực hiện : Vũ Hà Duyên
Link bài trước:http://vnpro.org/forum/editpost.php?...&postid=178144
VPN Site- to- Site bao gồm một số mô hình như sau:
3.1 Full- Meshed VPN
Full- Meshed VPN Site- to- Site được xem như mắt lưới của đường hầm IPSec có thể kết nối tất cả các site.Với bất kì kết nối nào, một mắt lưới đầy đủ các đường hầm được yêu cầu cung cấp đường kết nối giữa tất cả các site. VPN Site-to-site chủ yếu được triển khai để kết nối các văn phòng chi nhánh vào site trung tâm của doanh nghiệp.
Full-mesh VPN site-to-site đòi hỏi cấu hình IPSec ngang hàng sử dụng địa chỉ IP public để thiết lập các IPSec tunnel. Địa chỉ IP public của router VPN là địa chỉ tĩnh. Tuy nhiên, địa chỉ bên trong site VPN có thể là địa chỉ private hoặc public, vì luồng dữ liệu đã được mã hóa trước khi đi vào IPSec tunnel.
3.2 Hub-and-spoke VPNTrong việc cấu hình mạng Hub-and –spoke, các site spoke sử dụng đường hầm kết nối đến site hub để thiết lập sự kết nối. Hub thường sử dụng địa chỉ IP public tĩnh, spoke có thế sử dụng IP động.
Tính năng chính được sử dụng để cấu hình Hub- and- spoke là Dynamic crypt map.Về cơ bản Dynamic crypto map sẽ nhập mật mã mà không có các thông số đã cấu hình, nghĩa là các thông số bị thiếu sẽ được tự động cấu hình để phù hợp.
3.3 GRE over IPSec
GRE – Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng Internet
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian.
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.
Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE
- Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thì phần checksum được thêm vào sau trường Protocol type của GRE header.
- Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích.
- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header.
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền.
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật kênh truyền.
Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.
GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.
GRE over IPSec cũng có hai mode hoạt động: Tunnel mode và Transport mode.
Link bài trước:http://vnpro.org/forum/editpost.php?...&postid=178144
CHƯƠNG 3 : CÁC MÔ HÌNH CISCO VPN SITE-TO-SITE
VPN Site- to- Site bao gồm một số mô hình như sau:
- Fully- meshed
- Hub and Spoke
- GRE over IPSEc
3.1 Full- Meshed VPN
Full- Meshed VPN Site- to- Site được xem như mắt lưới của đường hầm IPSec có thể kết nối tất cả các site.Với bất kì kết nối nào, một mắt lưới đầy đủ các đường hầm được yêu cầu cung cấp đường kết nối giữa tất cả các site. VPN Site-to-site chủ yếu được triển khai để kết nối các văn phòng chi nhánh vào site trung tâm của doanh nghiệp.
Full-mesh VPN site-to-site đòi hỏi cấu hình IPSec ngang hàng sử dụng địa chỉ IP public để thiết lập các IPSec tunnel. Địa chỉ IP public của router VPN là địa chỉ tĩnh. Tuy nhiên, địa chỉ bên trong site VPN có thể là địa chỉ private hoặc public, vì luồng dữ liệu đã được mã hóa trước khi đi vào IPSec tunnel.
- Lợi ích
- Tăng dữ liệu và an ninh mạng.
- Giảm chi phí và tăng độ linh hoạt cho mạng WAN.
- Đơn giản trong việc thiết kế và cấu hình cho các site mới.
- Hạn chế:
- Tất cả các site phải cấp địa chỉ IP tĩnh.
- Khi thêm site mới phải cấu hình lại cho tất cả các router.
3.2 Hub-and-spoke VPNTrong việc cấu hình mạng Hub-and –spoke, các site spoke sử dụng đường hầm kết nối đến site hub để thiết lập sự kết nối. Hub thường sử dụng địa chỉ IP public tĩnh, spoke có thế sử dụng IP động.
Tính năng chính được sử dụng để cấu hình Hub- and- spoke là Dynamic crypt map.Về cơ bản Dynamic crypto map sẽ nhập mật mã mà không có các thông số đã cấu hình, nghĩa là các thông số bị thiếu sẽ được tự động cấu hình để phù hợp.
- Lợi ích:
- Hỗ trợ các site nhỏ với mạng Lan nhỏ.
- Giảm kích thước và độ phức tạp cho các router hub.
- Hub phải có địa chỉ IP tĩnh và IP global.
- Dễ dàng thêm site mới.
- Hạn chế:
- IPSec thực hiện tại hub.
- Tất cả gói tin của spoke được giải mã và mã hóa tại hub.
- Khi cấu hình Hub-and-spoke với Dynamic crypt map, đường hầm mã hóa IPSec phải được bắt đầu bởi router spoke.
3.3 GRE over IPSec
GRE – Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng Internet
- Cơ chế hoạt động GRE
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian.
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.
Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE
- Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thì phần checksum được thêm vào sau trường Protocol type của GRE header.
- Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích.
- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header.
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền.
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.
- GRE over IPSec
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật kênh truyền.
Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.
GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.
GRE over IPSec cũng có hai mode hoạt động: Tunnel mode và Transport mode.