MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG BIỂU .4 DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU CHƯƠNG I: TỔNG QUAN CÔNG NGHỆ BẢO MẬT TRONG MẠNG TRUYỀN SỐ LIỆU QUÂN SỰ Mạng truyền số liệu quân đặc trưng 1.1 Giới thiệu mạng truyền số liệu đa dịch vụ 1.2 An toàn bảo mật mạng truyền số liệu đa dịch vụ 10 1.2.1 Một số khái niệm chung 10 1.2.1.1 An ninh mạng .10 1.2.1.2 Các dịch vụ an ninh 11 1.2.2 Các chế an ninh dựa mật mã 11 1.2.2.1 Cơ chế mã hóa (encryption mechanism) 11 1.2.2.2 Cơ chế chữ ký điện tử (digital signature mechanism) 12 1.2.2.3 Cơ chế kiểm soát truy nhập (access control mechanism) 12 1.2.2.4 Cơ chế toàn vẹn liệu (data integrity mechanism) 12 1.2.2.5 Cơ chế trao đổi xác thực (authentication exchange mechanism).13 1.2.2.6 Cơ chế đệm truyền thông (traffic padding mechanism) 13 1.2.2.7 Cơ chế kiểm soát chọn đường (routing control mechanism) .13 1.2.2.8 Cơ chế kiểm chứng (notary mechanism) .13 1.2.3 Vị trí đặt dịch vụ an ninh theo mô hình mạng phân tầng 14 1.2.4 Ý nghĩa của việc sử dụng mật mã bảo mật tầng IP 15 1.2.5 Bảo mật mạng truyền số liệu đa dịch vụ 17 1.2.6 Giao thức bảo mật cho mạng truyền số liệu đa dịch vụ 20 Giải pháp mạng riêng ảo sử dụng mạng truyền số liệu quân hạn chế 20 2.1 Giải pháp mạng riêng ảo VPN truyền thống 20 2.1.1 Giới thiệu mạng riêng ảo VPN 20 2.1.2 Cách thức hoạt động của VPN truyền thống .22 2.1.3 Các giao thức VPN phổ biến .22 2.2 Những hạn chế của giải pháp VNP truyền thống 26 CHƯƠNG II: NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO ĐA ĐIỂM ĐỘNG .28 Giới thiệu công nghệ mạng riêng ảo đa điểm động (DMVPN) 28 1.1 Khái niệm mạng riêng ảo đa điểm động (DMVPN) 28 1.2 Các dạng triển khai mạng riêng ảo đa điểm động (DMVPN) 33 1.3 Các thành phần mạng riêng ảo đa điểm động (DMVPN) 34 1.4 Mô hình chung của mạng riêng ảo đa điểm động (DMVPN) 36 1.5 Ưu điểm của việc sử dụng mạng riêng ảo đa điểm động (DMVPN) 37 Kỹ thuật thiết kế mạng riêng ảo đa điểm động (DMVPN) 38 2.1 Dual DMVPN Cloud Topology 40 2.1.1 Hub-and-Spoke 40 a Single Tier .41 b Dual Tier .42 2.1.2 Spoke-to-spoke 43 Kiến trúc hệ thống trung tâm 44 2.2 Single DMVPN Cloud Topology 44 CHƯƠNG III: ĐỀ XUẤT MƠ HÌNH ỨNG DỤNG TRÊN CƠNG CỤ MÔ PHỎNG HỆ THỐNG MẠNG (NETWORK SIMULATOR Version – NS3)[4] 46 KẾT LUẬN 47 TÀI LIỆU THAM KHẢO 48 DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG BIỂU Bảng 1: GRE header .31 DANH MỤC CÁC HÌNH VẼ Hình 1: Cấu trúc mạng truyền số liệu đa dịch vụ 10 Hình 2: So sánh OSI TCP/IP 14 Hình 3: Mơ hình bảo mật tầng IP 16 Hình 4: Mơ hình bảo mật thơng tin cho mạng đa dịch vụ 18 Hình 5: Mơ hình mạng riêng ảo VPN truyền thống 21 Hình 6: Dữ liệu qua Tunnel mã hóa 22 Hình 7: Giao thức SSL VPN .23 Hình 8: Giao thức PPTP VPN 24 Hình 9: Mơ hình VPN truyền thống 27 Hình 10: Gói IP chế độ IPSec Tunnle .28 Hình 11: Gói liệu IP bảo vệ AH 29 Hình 12: Gói liệu IP bảo vệ ESP 30 Hình 13: Định dạng packet đóng gói với GRE 30 Hình 14: Định dạng tùy chọn GRE header 31 Hình 15: Mơ hình Point-to-Point GRE .32 Hình 16: Mơ hình Point-to-Multipoint GRE (mGRE) 33 Hình 17: Mơ hình tổng qt DM VPN .34 Hình 18: Dual DMVPN Cloud Topology 35 Hình 19: Single DMVPN Cloud Topology .35 Hình 20: Mơ hình chung của DMVPN .36 Hình 21: Dual DMVPN Cloud Topology 39 Hình 22: Single DMVPN Cloud Topology .40 Hình 23: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model 41 Hình 24: Single Tier Headend Architecture .42 Hình 25: Dual Tier Headend Architecture 43 Hình 26: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model 44 Hình 27: Single DMVPN Cloud Topology .45 MỞ ĐẦU Tính cấp thiết đề tài: Ngày nay, công nghệ truyền thông phát triển nhanh, đó công nghệ mạng đóng vai trò quan trọng việc truyền tải đa dạng liệu đó Hệ thống mạng truyền số liệu dần trở thành xương sống hệ thống công nghệ thông tin Quân đội[1] Bởi hệ thống thể tính ưu việt, phù hợp với xu phát triển của công nghệ, nhu cầu nhiệm vụ Các máy chủ cung cấp dịch vụ, máy tính làm việc của cá nhân kết nối chung vào hệ thống mạng để phục vụ công tác chuyên môn Mạng truyền số liệu quân (TSLQS) triển khai dựa hạ tầng mạng chuyển mạch nhãn đa giao thức (MPLS – Multi - Protocol Label Switching), kết hợp với hệ thống truyền dẫn đa dạng gồm mạng trục cáp quang tốc độ cao mạng lưới sử dụng vệ tinh VinaSAT Hệ thống mạng truyền số liệu quân ngày phát triển rộng trở nên phức tạp tổ chức hệ thống, lẫn số lượng máy tính đầu cuối kết nối vào mạng Vì nhu cầu bảo mật thơng tin, nhu cầu liên lạc trực tiếp mang tính di đợng địi hỏi phải có mợt giải pháp tổng thể cho vấn đề Đối với mạng TSLQS áp dụng công nghệ mạng riêng ảo (VPN – Virtual Private Network) để đảm bảo an tồn thơng tin mạng Công nghệ cho phép tạo đường dẫn riêng qua kết nối mạng, sử dụng rộng rãi tồn giới tính hiệu với chi phí thấp, có sẵn tính bảo mật cao Mạng riêng ảo truyền thống áp dụng cấu hình thủ cơng gán IP tĩnh phù hợp với mạng có quy mô nhỏ, đơn lẻ Do đó mạng có quy mơ lớn, kết nối khu vực khác phạm vi rộng khắp sử dụng mạng riêng ảo đa điểm động một giải pháp thay để đáp ứng nhu cầu phát sinh từ việc mở rợng mạng, nhu cầu cao tính linh hoạt, di động[2] Với việc mở rộng quy mô phát triển hạ tầng sở mạng nhằm đáp ứng nhu cầu nhiệm vụ thời điểm sau Và việc bảo đảm an tồn thơng tin phục vụ lãnh đạo huy cấp Quân đợi, mạng lại tính thuận tiện cho người sử dụng thực tế Chính đã định chọn đề tài cho luận văn của mình “Nghiên cứu công nghệ mạng riêng ảo đa điểm động đề xuất mơ hình ứng dụng việc bảo mật mạng máy tính chuyên dụng” để tìm hiểu sâu nợi dung Mục đích nghiên cứu đề tài: Nghiên cứu áp dụng công nghệ mạng riêng ảo đa điểm động nhằm giải nhu cầu bảo mật mạng máy tính chuyên dụng với quy mô lớn, nhu cầu kết nối đầy đủ dạng lưới Đối tượng phạm vi nghiên cứu: Công nghệ bảo mật mạng riêng ảo truyền thống, mạng riêng ảo đa điểm động Phạm vi nghiên cứu của đề tài tập trung vào mơ hình triển khai thực tế hạ tầng mạng truyền số liệu quân Các nhiệm vụ cần thực hiện: Nghiên cứu kiến trúc tổ chức kết nối của mạng chuyển mạch nhãn đa giao thức Nghiên cứu mô hình triển khai mạng riêng ảo truyền thống, đưa các đánh giá ưu điểm hạn chế Nghiên cứu công nghệ mạng riêng ảo đa điểm động khả thay cho mạng riêng ảo truyền thống Đề xuất phương án triển khai mơ hình mạng riêng ảo đa điểm động hạ tầng mạng truyền số liệu quân Kết dự kiến: Trên sở nghiên cứu phân tích, luận văn đưa phương án triển khai có tính khả thi cao khắc phục một số hạn chế mơ hình mạng riêng ảo truyền thống Phương pháp công cụ nghiên cứu: Luận văn sử dụng phương pháp phân tích tổng hợp lý thuyết, hệ thống hóa lý thuyết Phương pháp mơ CHƯƠNG I: TỔNG QUAN CÔNG NGHỆ BẢO MẬT TRONG MẠNG TRUYỀN SỐ LIỆU QUÂN SỰ Mạng truyền số liệu quân đặc trưng 1.1 Giới thiệu mạng truyền số liệu đa dịch vụ Mạng truyền số liệu đa dịch vụ mạng truyền dẫn tốc độ cao, công nghệ đại, sử dụng phương thức truyền chuyển mạch nhãn đa giao thức (IP/MPLS) Kết nối mạng tất các đầu mối sử dụng cáp quang tốc độ 100/1000Mbps, kết nối đảm bảo tính dùng riêng, an ninh, an tồn tính dự phịng cao, cho phép hoạt đợng thơng suốt 24/7 Trên sở hạ tầng tiên tiến đồng bộ, mạng truyền số liệu đa dịch vụ đáp ứng cho nhiều dịch vụ như: Truyền hình hợi nghị; kết nối mạng riêng ảo; truy nhập từ xa (Remote Access IP VPN); trao đổi liệu dịch vụ liệu, thoại IP Mạng truyền số liệu đa dịch vụ sử dụng giao thức TCP/IP theo mô hình OSI, tùy theo tính chất, nhiệm vụ của ngành mà mạng xây dựng riêng mang tính tương đối độc lập cho một tổ chức hoặc quan Trong đó, các tài nguyên mạng thiết bị mạng, dịch vụ mạng người dùng nằm phân tán một phạm vi địa lý xác định phục vụ cho một nhu cầu xác định Mạng đa dịch vụ gồm có lớp chính: - Lớp lõi: Các thiết bị truyền dẫn đảm bảo hoạt đợng cho tồn mạng - Lớp biên: Gồm thiết bị truyền dẫn đảm bảo việc cung cấp hạ tầng mạng cho dịch vụ - Lớp truy nhập: Gồm thiết bị truyền dẫn đảm bảo việc truy nhập cho người dùng toàn mạng Cấu trúc mạng truyền số liệu đa dịch vụ mơ tả Hình Mạng trục xương sống của tồn bợ mạng truyền số liệu, mạng tiềm ẩn nhiều nguy an ninh, an toàn các truy cập trái phép hay công từ mạng lớp biên, lớp truy nhập, mạng ATM hay từ vùng mạng liên thông khác Việc bảo đảm an toàn, an ninh mạng quan trọng 10 HÀ NỘI p ng TP HCM c Mạng lõi IP/MPLS FriewallCore FriewallCore ĐÀ NẴNG GE i Router Access Switch FE Ethernet LAN Ethernet PBX FE Switch FE u E1 p PBX FE EF E1 E1 p biên E1 E1 GE FE Router Access GE LAN Thoại IP Thoại IP Hình 1: Cấu trúc mạng truyền số liệu đa dịch vụ 1.2 An toàn bảo mật mạng truyền số liệu đa dịch vụ 1.2.1 Một số khái niệm chung 1.2.1.1 An ninh mạng Mơ hình OSI (Open Systems Interconnection) mô hình tương tác hệ thống mở tổ chức Tiêu chuẩn quốc tế − ISO (The International Organization for Standardization) đề xuất qua tiêu chuẩn ISO 7498 An ninh mạng một vấn đề của mạng, sau đưa mô hình OSI, ISO đã đề xuất kiến trúc an ninh (security architecture) qua tiêu chuẩn ISO 7498−2, đó định nghĩa các thuật ngữ, khái niệm an ninh mạng kiến trúc an ninh cho OSI An ninh môi trường OSI tổng hợp biện pháp bảo toàn tài nguyên tài sản của hệ thống mạng quá trình tương tác hệ thống mở Theo đó đối tượng bảo vệ của hệ thống an ninh mạng gồm: - Thông tin liệu (bao gồm phần mềm liệu thụ động liên quan đến biện pháp an ninh) - Các dịch vụ truyền thông dịch vụ xử lý liệu - Các thiết bị phương tiện mạng 35 Hình 17: Mơ hình tổng qt DM VPN Hub (Central) đặt trụ sở chính, cịn Spoke các chi nhánh, văn phòng kết nối đến trụ sở Đường màu xanh thể kết nối Spoke-and-Spoke, cịn màu đỏ kết nối Hub-and-Spoke 1.3 Các thành phần mạng riêng ảo đa điểm động (DMVPN) Các thành phần cần thiết để triển khai một hệ thống mạng sử dụng DMVPN bao gồm: – Hệ thống Hub Spoke thiết bị hổ trợ tốt việc tạo kết nối DMVPN Hệ thống Hub Spoke phổ biến Router của Cisco – Cloud dùng để kết nối Hub Spoke Cloud ám nhà cung cấp dịch vụ Internet (ISP) Cloud Frame-Reply, ATM, Leased Lines Trong thiết kế DMVPN, có hai topology đưa xem xét: • Dual hub-dual DMVPN cloud • Dual hub-single DMVPN cloud 36 Hình 18: Dual DMVPN Cloud Topology Trong mơ hình Hình 18 Hub trung tâm chính, kết nối với Branch qua DMVPN cloud Hub để dự phòng trường hợp Hub gặp chút trục trặc Giải pháp biết đến với khả Failover, tức hạn chế cố, ln trì kết nối Hình 19: Single DMVPN Cloud Topology 37 Trong mơ hình Hình 19 có mợt đường mạng để kết nối tất hub branch Giải pháp cung cấp khả load balanced 1.4 Mơ hình chung mạng riêng ảo đa điểm động (DMVPN) Với việc sử dụng DMVPN ta làm cho hệ thống trở nên mở rộng linh động hơn, cách sử dụng giao thức mGRE NHRP : Hình 20: Mơ hình chung của DMVPN Khi ta có cấu trúc mạng với nhiều site tạo mã hoá tunnel site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels Ví dụ Hình 20, ta có tunnels DMVPN dựa vào công nghệ của Cisco đã thử nghiệm: - Next Hop Resolution Protocol (NHRP) ➢ HUB trì sơ liệu của địa thực của tất Spoke ✓ Mỗi Spoke đăng ký địa thực của nó khởi đợng 38 ✓ Sau đó các Spoke yêu cầu sở liệu NHRP cho địa thực của các Spoke đích mà xây dựng tunnel trực tiếp ➢ Multipoint GRE Tunnel Interface ✓ Cho phép interface GRE hỗ trợ nhiều IPSec tunnels ✓ Kích thước đơn giản cấu hình phức tạp - DMVPN khơng làm thay đổi chuẩn của IPSec VPN tunnel, nó thay đổi cấu hình của chúng - Các Spoke có IPSec tunnel cố định đến Hub, không có đến Spoke Các Spoke xem client của NHRP server - Khi Spoke cần gửi gói tin đến đích (private) mạng cấp Spoke khác, yêu cầu NHRP cấp các địa thực của Spoke đích - Đến Spoke nguồn khởi tạo dynamic IPSec tunnel đến Spoke đích - Tunnel từ Spoke-to-Spoke xây dựng qua mGRE tunnel 1.5 Ưu điểm việc sử dụng mạng riêng ảo đa điểm động (DMVPN) Ta đưa so sánh VPN truyền thống DMVPN sau để thấy ưu điểm việc sử dụng DMVPN Đối với mạng VPN truyền thống, mơ hình mạng Hình gồm mợt site trung tâm (HUB) kết nối đến site chi nhánh (SpokeA SpokeB) qua internet Với việc sử dụng VPN thông thường (IPSec + GRE), router HUB cần cấu hình tunnel đến SpokeA SpokeB Đối với mơ hình VPV truyền thống, ta nhắc lại hạn chế sau: • Khi tạo tunnel point-to-point, phải biết địa IP của nguồn đích Do đó, spoke HUB phải thuê địa IP tĩnh, dẫn đến chi phí cao • Ở router HUB, phải cấu hình tunnel, cho spokeA cho spokeB Giả sử mạng cơng ty gồm nhiều chi nhánh router HUB phải cấu hình nhiêu tunnel • Mỗi tunnel tạo có mợt sở liệu kèm Như router phải lưu trữ một sở liệu lớn Điều dẫn đến tiêu tốn bộ nhớ CPU router HUB lớn, gây tốn • Khi spokeA muốn giao tiếp với spokeB, phải thơng qua HUB Điều không linh động 39 Trong đó, mạng DMVPN theo mơ hình Hình 20, ta giải hạn chế của mơ hình VPN truyền thống làm cho hệ thống trở nên mở rộng linh động hơn, cách sử dụng giao thức mGRE NHRP Ngoài việc linh hoạt mở rợng mạng IPSec VPN, DMVPN cịn có ưu điểm sau: • Giảm đợ phức tạp cấu hình router hub mà cung cấp khả thêm nhiều kênh một cách tự động mà khơng đụng đến cấu hình của hub • Bảo đảm các packet mã hóa truyền • Hỗ trợ nhiều giao thức định tuyến động chạy DMVPN tunnels • Khả thiết lập đợng trực tiếp kênh spoke-to-spoke IPSec site mà không cần thơng qua hub (nhờ mGRE NHRP) • Hỗ trợ spoke router với địa IP vật lý động (được cấp ISP) Kỹ thuật thiết kế mạng riêng ảo đa điểm động (DMVPN) Trong thiết kế DMVPN, có hai topology đưa bàn luận: • Dual hub-dual DMVPN cloud • Dual hub-single DMVPN cloud Trước tiên, cần hiểu DMVPN cloud gì? DMVPN cloud tập hợp router cấu hình định tuyến để giao tiếp với Ta dùng giao thức mGRE hoặc Point-to-Point (P2P) hoặc hai để cấu hình giao tiếp với router này, chúng phải có subnet Như hai kỹ thuật đề cập hiểu đa hu đa DMVPN cloud đa hu DMVPN cloud Nó minh họa Hình 21 Hình 22 40 Hình 21: Dual DMVPN Cloud Topology Trong mơ hình Dual hub-dual DMVPN cloud, Hub trung tâm chính, kết nối với Branch qua DMVPN cloud 1, dĩ nhiên chúng có subnet Nó trì kết nối thường xuyên Trong đó, Hub khuyến cáo để dự phòng trường hợp Hub gặp trục trặc Giữa Hub1 Hub khuyến cáo kết nối với mạng campus không subnet (cùng một net, tức net chia mạng con) Điều tất nhiên phải đảm bảo Hub Hub phải giao tiếp với hệ thống mạng bên Giải pháp biết đến với khả Failover, tức hạn chế cố, ln trì kết nối 41 Hình 22: Single DMVPN Cloud Topology Mơ hình thứ hai, dual hub-singel DMVPN cloud, có mợt đường mạng để kết nối tất Hub Branch Từ DMVPN Cloud có hai kết nối hai Dub Giải pháp biết đến với khả load balanced DMVPN cloud hổ trợ cho hai mơ hình triển khai Hub-and-Spoke Spoke-and-Spoke Trong Dub-and-Spoke, headend chứa một interface mGRE Branch có chứa P2P hoặc mGRE interface Trong mơ hình Spoke-andSpoke hai đầu headend branch có mGRE interface 2.1 Dual DMVPN Cloud Topology Với Dual Cloud có hai mơ hình triển khai: • Hub-and-spoke • Spoke-and-spoke 2.1.1 Hub-and-Spoke Với Dual DMVPN cloud mơ hình Hub-and-Spoke, có chứa hai headend (Hub1 Hub2), có mợt hoặc nhiều tunnel mGRE kết nối đến tất Branch Minh họa Hình 23 42 Hình 23: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model Mỗi DMVPN cloud đại diện IP subnet Một DMVPN cloud gọi primary (cloud chính), chịu trách nhiệm cho lượng mạng của Branch qua Mỗi branch có chứa hai interface P2P GRE kết nối đến Hub riêng lẽ Trong mơ hình triển khai khơng có tunnel Branch Giao tiếp nội bộ Branch cung cấp thông qua Hub Thông số metric của giao thức định tuyến mà hệ thống sử dụng, sử dụng để xác định đâu Primary Hub Kiến trúc hệ thống trung tâm (system headend) Có hai kiến trúc dành cho hệ thống trung tâm đưa triển khai là: • Single Tier • Dual Tier a Single Tier Trong kiến trúc Single Tier, mặt chức thì mGRE Crypto tồn một CPU của router 43 Hình 24: Single Tier Headend Architecture Hình 24 giải pháp Dual cloud với model Hud-and-Spoke Tất Headend có tunnel mGRE Crypto gộp chung lại một multiple GRE tunnel, để phục vụ cho luồng liệu của Branch Mặt khác, để kết thúc tunnel VPN trung tâm, headend gửi một thông điệp để báo cho giao thức định tuyến sử dụng Branch EIGRP, OSPF, đường chọn cloud (cloud path – đường kết nối router cloud) b Dual Tier Với kiến trúc Dual Tier, mGRE Crypto không tồn CPU của router 44 Hình 25: Dual Tier Headend Architecture Hình 25 giải pháp dual DMVPN cloud với mơ hình hub-and-spoke Ở mGRE Crypto headend nằm riêng lẻ nhau, chúng phục vụ cho cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho Branch Đầu cuối của VPN tunnel, Crypto nhận liệu gửi từ Branch sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho giao thức định tuyến Branch EIGRP hoặc OSPF Router tất mơ hình của DMVPN đóng vai trị điểm kết thúc của tunnel Đồng thời cịn kiêm theo nhiều chức khác Firewall Địa ip mặt của router tĩnh hoặc đợng, phải “map” đồ của router Hành động có nghĩa là: Mợt inteface mặt ngồi của router có địa ip public của riêng nó, mợt tunnel có ip (public hoặc private), phải ánh xạ để biết tunnel chuyển interface tương ứng 2.1.2 Spoke-to-spoke Cũng giống Hub-and-Spoke, mơ hình có hai Hub trung tâm, Hub có mợt hoặc nhiều tunnel kết nối đến tất chi nhánh Giao tiếp các Branch thực thơng qua Hub, trừ có mợt đường kết nối tạo hai Spoke Đó chính khác biệt của trường hợp Tunnel Spoke and Spoke gọi dynamic, phải nằm một single DMVPN 45 cloud hoặc một subnet Tunnel của Spoke-and-Spoke khơng hai DMVPN cloud Hình 26: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model Kiến trúc hệ thống trung tâm Các Branch kiểu triển khai kết nối với thông qua tunnel riêng, phải qua DMVPN Cloud Giao thức thường xuyên thấy tunnel IPSec Để giao tiếp với hệ thống trung tâm, có giao thức Single Tier, đó các chức của mGRE Crypto gói gọn mợt router 2.2 Single DMVPN Cloud Topology Trong mô hình này, có hai headend sử dụng, chúng có mợt subnet Các văn phịng chi nhánh kết nối với trung tâm thông qua giao diện mGRE Và chúng phải có subnet để thực giao tiếp nợi bợ Mơ hình khơng khuyến cáo chúng khơng khả dụng khơng chống lỗi Với kiểu triển khai Spoke-and-Spoke việc triển khai theo Single DMVPN cần cân nhắc kỹ 46 Hai headend phải cấu hình DMVPN giống nhau, có địa IP một subnet Khi đó chúng hổ trợ cho chức load balanced hai trung tâm Hình 27: Single DMVPN Cloud Topology Tóm tắt Như vậy, để khắc phục hạn chế tồn mơ hình VPN truyền thống triển khai mạng truyền số liệu quân nay, giải pháp DMVPN xem một giải pháp khả thi để triển khai thời gian đến Trong Chương III, đề xuất mơ hình triển khai mơi trường giả lập mạng truyền số liệu quân để thấy tính khả thi hiệu của DMVPN 47 CHƯƠNG III: ĐỀ XUẤT MƠ HÌNH ỨNG DỤNG TRÊN CÔNG CỤ MÔ PHỎNG HỆ THỐNG MẠNG (NETWORK SIMULATOR Version – NS3)[4] - Mô tả tóm tắt mục đích của chương - Dựa các kết nghiên cứu phân tích CHƯƠNG II, đề xuất phương án triển khai hạ tầng mạng TSLQS Phân tích làm rõ giải pháp - Cài đặt thử nghiệm DMVPN mô hình mạng mô xây dựng với công cụ NS3 - Đánh giá khả ứng dụng tính khả thi việc thay công nghệ mạng riêng ảo truyền thống mạng TSLQS - Kết luận chương 48 KẾT LUẬN - Tóm tắt kết đã làm - Đánh giá, đề xuất hướng phát triển 49 TÀI LIỆU THAM KHẢO [1] TS Nguyễn Hồng Quang, TS Nguyễn Nam Hải, Các hệ thống truyền tin mật, NXB Thông tin Truyền thông, 2016 [2] A Survey on Dynamic Multipoint Virtual Private Networks – Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2) [3] Dynamic Multipoint VPN (DMVPN) Design Guide© 2006 Cisco Systems, Inc All rights reserved [4] Scalable DMVPN Deployment and Implementation Guide – Network Systems Integration & Test Engineering (NSITE) ... công nghệ mạng riêng ảo đa điểm động đề xuất mô hình ứng dụng việc bảo mật mạng máy tính chun dụng? ?? để tìm hiểu sâu nợi dung Mục đích nghiên cứu đề tài: Nghiên cứu áp dụng công nghệ mạng riêng ảo. .. linh động 29 CHƯƠNG II: NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO ĐA ĐIỂM ĐỘNG Giới thiệu công nghệ mạng riêng ảo đa điểm động (DMVPN) 1.1 Khái niệm mạng riêng ảo đa điểm động (DMVPN) Dynamic Multipoint...2 CHƯƠNG II: NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO ĐA ĐIỂM ĐỘNG .28 Giới thiệu công nghệ mạng riêng ảo đa điểm động (DMVPN) 28 1.1 Khái niệm mạng riêng ảo đa điểm động (DMVPN)