Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Dynamic vpn

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Dynamic vpn

    3.1. Tổng quan về Dynamic VPN
    a) Đặt vấn đề
    Một số công ty muốn kết nối các site chi nhánh với nhau, trong khi đồng thời kết nối với site chính qua Internet, nó sẽ có lợi cho lưu lượng spoke to spoke để đi trực tiếp hơn là thông qua một site hub. Điều này sẽ hữu ích khi hai spoke trong cùng một thành phố. Với giải pháp IPsec Dynamic VPN (DMVPN), các site spoke sẽ có thể tự
    động thiết lập kết nối an toàn giữa chúng.
    DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static and dynamic) theo yêu cầu của đường hầm. Các đường hầm VPN tĩnh được kết nối đến một site hub trong cấu hình hub to spoke. Việc thiết kế hub to spoke là cấu hình phù hợp nhất khi phần lớn các lưu lượng truy cập được nhắm mục tiêu đến hub và các mạng lõi. Khi một số site spoke yêu cầu truy cập trực tiếp giữa chúng, một kết nối IPsec bổ sung sẽ được thiết lập.
    DMVPN sử dụng giao thức mGRE hoặc NHRP để cung cấp địa chỉ đích của peer và quá trình mã hoá IPsec sẽ bắt đầu tự động. NHRP cung cấp cho các router spoke
    khả năng học các địa chỉ vật lý của các router trong mạng VPN. Điều này quan trọng bởi vì nếu lưu lượng dữ liệu của spoke to spoke được gửi thông qua các router hub, nó phải được mã hóa và giải mã hai lần, do đó tăng sự chậm trễ và tăng tải trên các router hub.
    Mỗi spoke có một đường hầm IPsec cố định đến hub và không có đến các spoke khác trong hệ thống. Mỗi spoke đăng kí như là một client của NHRP server (router
    hub chính là NHRP server). Khi một spoke cần phải gửi một gói tin đến một mạng con phía trong spoke khác, nó yêu cầu NHRP cho địa chỉ (bên ngoài) thực sự của spoke đích. Sau khi spoke gốc biết địa chỉ peer của spoke đích, nó có thể bắt đầu một đường hầm IPsec động với spoke đích. Đường hầm spoke to spoke được xây dựng trên
    giao diện mGRE. Các đường spoke to spoke được thành lập bất cứ khi nào có nhu cầu lưu lượng giữa các spoke. Sau đó các gói tin có thể bỏ qua hub và sử dụng các đường hầm spoke to spoke.

    Hình 3.1: Mô hình DMVPN
    b) Khái niệm
    Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hệ điều hành Cisco, là sự kết hợp của các công nghệ IPsec, mGRE và NHRP. Các công nghệ này kết hợp lại cho phép được triển khai IPsec trong mạng riêng ảo một cách dễ dàng.
    c) Ưu điểm:
    • Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hoá việc thêm, xoá các site spoke.
    • Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá bỏ sau một thời gian không hoạt động đã cấu hình sẵn.
    • Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke.
    • Tạo ra một kích thước cấu hình cố định trên router hub kể cả khi thêm một router spoke vào mạng VPN.

    d) Hạn chế:
    • Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke được thiết lập.
    • Mã hoá đường hầm IPsec phải được thực hiện từ router spoke.


    3.2. Các công nghệ được sử dụng

    IPsec (Internet Protocol Security):
    Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên chế độ tunnel mode, nội dung và mào
    đầu của gói tin được mã hoá, cả hai đều được bảo vệ. mGRE (Generic Routing Encapsulation): Giao thức truyền trên đường hầm, đóng gói các loại gói tin thành một loại lớn trong đường hầm IP, sau đó kết nối point to point ảo với các router ở xa trong cấu trúc mạng IP. Cho phép một giao diện GRE hỗ trợ nhiều đường hầm IPsec. NHRP (Next Hop Resolution Protocol): Giao thúc được sử dụng bởi các router để phát hiện địa chỉ MAC của các router và các host khác. Hub duy trì cơ sở dữ liệu của địa chỉ thực của tất cả các spoke, mỗi spoke đăng kí địa chỉ thực của nó khi khởi động. Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke
    đích để xây dựng đường hầm trực tiếp.

    3.3. Hoạt động của DMVPN
    -DMVPN không làm thay đổi các chuẩn của đường hầm IPsec VPN nhưng nó thay đổi cấu hình của chúng.
    - Các spoke có một đường hầm IPsec cố định đến hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server.
    - Khi một spoke cần gửi gói tin đến mạng con phía trong spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích.
    - Đến đây spoke nguồn có thể khởi tạo một đường hầm IPsec động đến spoke đích.
    - Đường hầm từ spoke to spoke được xây dựng qua đường hầm mGRE.

    3.4. Định tuyến với DMVPN
    Định tuyến động được yêu cầu qua đường hầm hub to spoke.
    Spoke học tất cả các mạng riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi từ hub. Các giao thức định tuyến được dùng:
    • Enhanced Interior Gateway Routing Protocol (EIGRP)
    • Open Shortest Path First (OSPF)
    • Border Gateway Protocol (BGP)
    • Routing Information Protocol (RIP)







    3.5. DMVPN phase
    3.5.1. Phase 1: Tính năng của hub to spoke
    Tính năng:
    – Tất cả lưu lượng truyền phải đi qua hub.
    – Triển khai dễ dàng
    – File cấu hình hub nhỏ
    Ưu điểm:
    – Hub và spoke cấu hình đơn giản và nhỏ gọn
    – Hỗ trợ multicast traffic từ hub đến các spoke
    – Hỗ trợ địa chỉ cho các spoke một cách linh động.

    3.5.2. Phase 2
    Trong phase 2 NHRP khởi động đường hầm NHC to NHS (Next Hop Client to Next Hop Server) và giao thức định tuyến động thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà hub có và tất cả các spoke. Các thông tin này là ip next hop của spoke đích và hỗ trợ riêng mạng đích. Khi một gói tin được truyền, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu. Nếu interface NHRP là interface outbound nó sẽ tìm NHRP mapping vào ip next hop. Nếu không có sự trùng khớp của bảng NHRP mapping thì NHRP được kích khởi để gửi NHRP resolution request đến thông tin mapping (địa chỉ ip next hop đến địa chỉ lớp vật lý). Gói NHRP registration reply chứa thông tin mapping này và khi thông tin này được nhận, các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng.

    3.5.3. Phase 3
    NHRP khởi động đường hầm NHC và NHS và giao thức định tuyến động được dùng để phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến hub.
    Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke, nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến. Nó sẽ đặt ip next hop của tất cả các mạng đích đến NHS (hub). Điều này làm giảm lượng thông tin trong bảng giao thức định tuyến cần để phân phối từ hub đến các spoke, giảm việc cập nhật giao thức định tuyến đang chạy từ hub.
    Khi gói dữ liệu được truyền, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface outbound thì sẽ tìm mapping NHRP vào ip next hop. Trong trường hợp này ip next hop sẽ được hub coi như là NHRP mapping (nó đã cài một đường hầm với hub). Các spoke sẽ chỉ gửi gói dữ liệu đến hub. Hub nhận được gói dữ liệu và nó kiểm tra bảng định tuyến. Vì gói dữ liệu này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ truyền ra khỏi
    interface NHRP đến next hop về hướng spoke. Tại đây, hub phát hiện gói đến và gửi nó ra khỏi interface NHRP. Có nghĩa là gói dữ liệu chiếm ít nhất hai hop trong mạng
    NHRP và do đó đường này thông qua hub không phải là một đường tối ưu. Cho nên hub gửi trực tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là
    thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này kích khởi NHRP.Khi spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại. NHRP resolution request sẽ truyền đến spoke đầu xa dịch vụ mạng cho IP đích. Spoke đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA (nonbroacast multiaccess) của nó và toàn bộ subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP resolution reply trực tiếp trở lại spoke nội bộ. Đến thời điểm này đã đầy đủ thông tin cho lưu lượng dữ liệu được gửi trực tiếp qua spoke to spoke mà đường dẫn vừa được tạo.
    Bảng định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng khi xây dựng đường hầm spoke to spoke. Do đó khả năng của NHRP (các hub) là tới hạn
    cho tính năng của mạng NHRP. Khi chỉ có một hub mà hub đó bị down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. Bởi vì nó bị mất hub giống như
    mất đi routing neighbor. Tuy nhiên, spoke không xoá bất kỳ đường hầm spoke to spoke (NHRP mapping) mà vẫn còn hoạt động. Mặc dù đường hầm spoke to spoke
    vẫn còn nhưng nó không được sử dụng vì trong bảng định tuyến không còn đường đi nào đến mạng đích nữa. Trong quá trình bổ sung thêm, khi bảng định tuyến đưa vào bị xoá không được kích hoạt đến NHRP, kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down. Trong phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là định tuyến tĩnh) với chính xác ip next hop thì spoke vẫn có thể dùng đường hầm spoke to spoke ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi (refresh) NHRP
    mapping. Vì NHRP resolution yêu cầu hoặc đáp ứng sẽ đi qua trực tiếp đường hầm spoke to spoke.
    Nếu ta có hai (hoặc nhiều hơn) NHRP hub trong một mạng NBMA (một mGRE,frame-relay hoặc ATM interface), sau khi hub đầu tiên bị down, spoke router sẽ loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này nhưng nó sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc này định tuyến sẽ được thiết
    lập ngay. Do đó lưu lượng spoke to spoke sẽ tiếp tục đi qua đường hầm spoke to spoke, và nó không bị ảnh hưởng bởi hub đầu tiên.

    3.6. Ví dụ minh hoạ cho DMVPN phase
    Các phase DMVPN hoạt động như mô tả bên dưới:

    Hình 3.2: Giai đoạn 1, 2, 3, 4
    1) Một PC (192.168.1.25) trên mạng con của spoke A muốn liên lạc với web server (192.168.2.37) bên trong spoke B. Nó gửi 1 gói tin tới server.
    2) Router spoke A tra cứu bảng định tuyến của nó cho một đường đến mạng đích (192.168.2.0) bên trong spoke B. Bảng này đưa ra một ip next hop của 10.0.0.12 thông qua interface tunnel 0 của spoke A.
    3) Spoke A tra cứu bảng NHRP mapping của mình cho đích 10.0.0.12 và không tìm thấy một entry nào. Vì vậy nó gửi một gói tin NHRP request tới NHRP server.
    4) NHRP server tại hub giải quyết địa chỉ 10.0.0.12 tới địa chỉ public tương ứng (172.16.2.1). Nó gửi kết quả này đến cho spoke A.


    Hình 3.3: Giai đoạn 5
    5) Spoke A nhận được NHRP trả lời và điền vào bảng NHRP của nó. Điều này sẽ khởi tạo IPsec để kết nối một đường hầm trực tiếp đến 172.16.2.1

    Hình 3.4: Giai đoạn 6
    6) Một đường hầm đã được tạo tới spoke B, spoke A sẽ gửi gói dữ liệu tới spoke
    B. Lưu ý: đường hầm chỉ có thể truyền gói tin theo một hướng.

    Hình 3.5: Giai đoạn 7
    7) Web server nhận dược gói tin từ PC và sẽ gửi trả lời lại. Điều này khởi tạo các bước 2,3 và 4 trên spoke B giống như trên spoke A. Gói tin NHRP mapping từ B gửi
    đến A có thể truyền thẳng. Đường hầm đã được tạo.

    Hình 3.6: Giai đoạn 8
    8) Sau một thời gian chờ (lập trình), các entry NHRP sẽ hết hạn, gây ra IPsec bị phá vỡ trên đường hầm spoke to spoke động.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


Working...
X