© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 1 VPN động đa điểm Dynamic Multipoint VPN Quản trị mạng nâng cao © 2008 Cisco Systems, Inc. All rights reserved.BSCI 2 Advanced knowledge Bachkhoa Networking Academy BKACAD Nội dung 1. Tổng quan về DM-VPN 2. Đường hầm đa điểm mGRE 3. Giao thức phân giải địa chỉ next-hop NHRP 4. Các bước thiết lập DM-VPN 5. Cấu hình mẫu 6. Dual HUB DM-VPN © 2008 Cisco Systems, Inc. All rights reserved.BSCI 3 Advanced knowledge Bachkhoa Networking Academy BKACAD Dynamic Multipoint VPN (DMVPN)  Thiết lập kênh IPSec VPN trong đó: – Hoạt động theo mô hình VPN đa điểm (multipoint) – Tạo thành tập hợp các mGRE Tunnel giữa các Peer – Hỗ trợ mã hóa các gói tin unicast, multicast và hỗ trợ các giao thức định tuyến động – Hỗ trợ VPN với các Peer đầu xa dùng IP động – Hỗ trợ NAT-T – Tự động thiết lập tunnel VPN giữa spoke-spoke H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 4 Advanced knowledge Bachkhoa Networking Academy BKACAD Đường hầm GRE (GRE tunnel)  GRE tunnel là đường hầm point-to-point  Mỗi GRE tunnel là một network riêng H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 5 Advanced knowledge Bachkhoa Networking Academy BKACAD Đường hầm đa điểm GRE (mGRE)  Đường hầm đa điểm GRE (multipoint GRE – mGRE) – Một nguồn xuất phát – Có nhiều đích (multiple tunnel destination)  Lợi ích: – Nâng cao khả năng mở rộng khi có nhiều site – Đơn giản hóa mô hình logic H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 6 Advanced knowledge Bachkhoa Networking Academy BKACAD mGRE H c vi n m ng Bách Khoa - www.bkacad.comọ ệ ạ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 7 Advanced knowledge Bachkhoa Networking Academy BKACAD Đặc điểm của mGRE tunnel  Một interface tunnel – Kết nối được với nhiều site (destination) – Tạo thành một mạng Non-broadcast Multil-access (NBMA) – Hỗ trợ gửi gói tin Multicast/broadcast – Giúp cấu hình site trung tâm trở nên đơn giản hơn  Hỗ trợ các site chi nhánh sử dụng IP động – Cần thêm giao thức Phân giải địa chỉ Nexthop (NHRP) – Hỗ trợ VPN làm việc cùng NAT H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 8 Advanced knowledge Bachkhoa Networking Academy BKACAD Tổng quan về NHRP  Giao thức phân giải địa chỉ next-hop  Next Hop Resolution Protocol  Phân giải đia chỉ IP thật (public) thành địa chỉ IP VPN  Địa chỉ IP VPN: – Địa chỉ logic đích (destination) của mGRE – Địa chỉ next-hop tới các site khác của kênh VPN H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 9 Advanced knowledge Bachkhoa Networking Academy BKACAD Tính năng của NHRP  Map địa chỉ IP – Next-Hop Client đăng ký với Next-hop Server – Phân giải địa chỉ IP Public  địa chi IP VPN  Định tuyến: Destination  VPN IP next-hop  NHRP: VPN IP next-hop  IP public H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 10 Advanced knowledge Bachkhoa Networking Academy BKACAD NHRP H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ [...]... Networking Academy Tự động thiết lập Spoke-Spoke tunnel BSCI © 2008 Cisco Systems, Inc All rights reserved Học viện CNTT Bách Khoa - www.bkacad.com 12 Advanced knowledge BKACAD Bachkhoa Networking Academy Spoke-Spoke tunnel BSCI © 2008 Cisco Systems, Inc All rights reserved Học viện CNTT Bách Khoa - www.bkacad.com 13 Advanced knowledge BKACAD Bachkhoa Networking Academy Các bước thiết lập DM -VPN  HUB đóng... Next-hop-client 1.Các SPOKE sử dụng NHRP thông báo với HUB 2.Các SPOKE cần biết được địa chỉ IP public của HUB 3.Các SPOKE gửi thông tin mapping tới HUB: 1 Logical IP address 2 Mapping Logical address to VPN IP address 4.HUB lưu tất cả các mapping từ các SPOKE 5.Các SPOKE thiết lập GRE tunnel tới HUB (point-to-point GRE tunnel) 6.(Optional) SPOKE có thể thiết lập tunnel tới các SPOKE khác BSCI © 2008 Cisco... 123 no auto-summary network 10.0.0.0 0.255.255.255 BSCI © 2008 Cisco Systems, Inc All rights reserved Học viện CNTT Bách Khoa - www.bkacad.com 20 Advanced knowledge BKACAD Bachkhoa Networking Academy DMVPN với 2 HUB (DUAL HUB) BSCI © 2008 Cisco Systems, Inc All rights reserved Học viện CNTT Bách Khoa - www.bkacad.com 21 Advanced knowledge BKACAD Bachkhoa Networking Academy Cấu hình HUB1 BSCI © 2008 Cisco