Giới thiệu công nghệ DMVPN (Dynamic Multipoint VPN)
Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau.
Có rất nhiều giải pháp được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp ứng nhu cầu bảo mật thông tin khi nó được truyền ngang qua mạng internet – môi trường không bảo mật. Những giải pháp này có thể là thuê những đường truyền leased line. Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy nhiên nó không khả thi khi phải kết nối những nơi cách xa nhau. Giải pháp khác là sử dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí cho giải pháp này cũng khá cao.
VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển. Mặc dù vậy, VPN thông thường có những nhược điểm của nó. Đó là các điểm kết nối phải thuê những địa tĩnh; đồng thời trên router đóng vai trò trung tâm phải thực hiện việc cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các điểm muốn kết nối với nhau phải thông qua router trung tâm này mà không thể kết nối trực tiếp được. Từ những hạn chế trên nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển của VPN nhằm cải thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông thường.
Để hiểu DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu, chúng ta xét một mô hình VPN sử dụng IPSec( Internet Protocol Security) và GRE (Generic Routing Encapsulation).
Mô hình Hub-and-Spoke
Mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.Nhưng mô hình trên phát sinh một số hạn chế:
- Khi tạo tunnel point-to-point, điều bắt buộc là chúng ta phải biết địa chỉ IP của nguồn và đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao.
- Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiều tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router HUB là khá lớn. Cho nên router HUB phải là một router được trang bị bộ nhớ và CPU mạnh, tốn kém.
- Khi spokeA muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không linh động.
Những hạn chế trên được giải quyết trong DMVPN. Với DMVPN, trên mỗi router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint). Với việc sử dụng mGRE sẽ giải quyết được hai hạn chế:
Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một địa chỉ tĩnh.
Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router HUB.
Tuy nhiên, như đã nói, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP (Next Hop Resolution Protocol).
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.
Mô hình DMVPN