1. Khái niệm DMVPN
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP. Là một giải pháp phần mềm trên hệ điều hành Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn.
2. Các dạng triển khai
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke và spoke-and-spoke.
Mô hình tổng quát DM VPN
Hub (Central) đặt tại trung tâm của công ty, còn Spoke là các chi nhánh, văn phòng kết nối đến trung tâm. Đường màu xanh thể hiện kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke.
3. Các thành phần trong DM VPN
Các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN bao gồm:
- Hệ thống Hub và Spoke là những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Hệ thống Hub và Spoke phổ biến nhất vẫn là Router của Cisco.
- Cloud dùng để kết nối được giữa Hub và Spoke. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Cloud này có thể là Frame-Reply, ATM, Leased Lines.
4. Ưu điểm của việc sử dụng DM VPN
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số thuận lợi như sau:
- Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.
- Bảo đảm các packet được mã hóa khi truyền đi.
- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels.
- Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP).
- Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP).
5. Mô hình chung DM VPN
Với việc sử dụng DMVPN chúng ta sẽ giải quyết được những hạn chế trên và làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP:
Mô hình DM VPN
– Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một địa chỉ tĩnh.
– Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router HUB.
– Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP.
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP. Là một giải pháp phần mềm trên hệ điều hành Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn.
2. Các dạng triển khai
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke và spoke-and-spoke.
Mô hình tổng quát DM VPN
Hub (Central) đặt tại trung tâm của công ty, còn Spoke là các chi nhánh, văn phòng kết nối đến trung tâm. Đường màu xanh thể hiện kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke.
3. Các thành phần trong DM VPN
Các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN bao gồm:
- Hệ thống Hub và Spoke là những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Hệ thống Hub và Spoke phổ biến nhất vẫn là Router của Cisco.
- Cloud dùng để kết nối được giữa Hub và Spoke. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Cloud này có thể là Frame-Reply, ATM, Leased Lines.
4. Ưu điểm của việc sử dụng DM VPN
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số thuận lợi như sau:
- Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.
- Bảo đảm các packet được mã hóa khi truyền đi.
- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels.
- Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP).
- Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP).
5. Mô hình chung DM VPN
Với việc sử dụng DMVPN chúng ta sẽ giải quyết được những hạn chế trên và làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP:
Mô hình DM VPN
– Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một địa chỉ tĩnh.
– Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router HUB.
– Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP.
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.