Đồ án xây dựng giải pháp dynamic multipointvpn, ứng dụng hệ thống mạng trường đại học công nghệ gtvt

TỔNG QUAN VỀ VPN

Giới thiệu tổng quan

Sự phát triển mạnh mẽ của nền công nghiệp đã dẫn đến nhu cầu trao đổi thông tin và dữ liệu giữa các tổ chức, công ty và cá nhân, làm cho Internet trở thành một công cụ thiết yếu Người dùng kết nối Internet thông qua các nhà cung cấp dịch vụ (ISP) và sử dụng giao thức TCP/IP Mặc dù Internet đã tạo điều kiện thuận lợi cho các dịch vụ như mua sắm trực tuyến, giáo dục từ xa và tư vấn trực tuyến, nhưng việc quản lý an toàn và bảo mật dữ liệu vẫn là một thách thức lớn do tính toàn cầu và không bị kiểm soát của nó.

Các nhà khoa học đã phát triển mô hình mạng riêng ảo (VPN - Virtual Private Network) nhằm đáp ứng nhu cầu kết nối an toàn mà không cần đầu tư thêm trang thiết bị Mô hình này tận dụng cơ sở hạ tầng Internet hiện có, đảm bảo tính năng bảo mật và độ tin cậy cao VPN cho phép người dùng làm việc từ xa, kết nối an toàn đến máy chủ của tổ chức qua mạng công cộng, từ đó bảo vệ thông tin giữa các tổ chức, công ty và đối tác kinh doanh trong môi trường truyền thông rộng lớn.

Đặc tính quan trọng nhất của VPN là khả năng sử dụng mạng công cộng như Internet, đồng thời đảm bảo tính bảo mật và tiết kiệm chi phí.

Lịch sử hình thành và phát triển

Mạng riêng ảo (VPN) ra đời nhằm đáp ứng nhu cầu của khách hàng muốn kết nối hiệu quả giữa các tổng đài thuê bao (PBX) qua mạng diện rộng (WAN) Trước đây, hệ thống điện thoại nhóm và mạng cục bộ (LAN) thường sử dụng đường thuê riêng để tổ chức mạng chuyên dùng phục vụ cho việc trao đổi thông tin.

Các mốc đánh dấu sự phát triển của VPN:

Năm 1975, Franch Telecom ra mắt dịch vụ Colisee, chuyên cung cấp giải pháp viễn thông cho các khách hàng lớn Colisee mang đến phương thức gọi số riêng biệt cho từng khách hàng, với mức phí được xác định dựa trên lượng dịch vụ sử dụng Ngoài ra, dịch vụ còn tích hợp nhiều tính năng quản lý hữu ích khác.

- 1985: AT&T đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần mềm SDN.

- 1986: Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.

Năm 1988, cuộc chiến về cước phí dịch vụ VPN tại Mỹ bùng nổ, dẫn đến việc nhiều doanh nghiệp vừa và nhỏ bắt đầu áp dụng VPN để tiết kiệm gần 30% chi phí Sự kiện này đã thúc đẩy sự phát triển nhanh chóng của dịch vụ VPN tại Mỹ.

- 1989: AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- 1990: Telstra của Australia đưa ra dich vụ VPN trong nước đầu tiên ở khu vục châu Á – Thái Bình Dương.

- 1992: Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN

- 1993: AT&T, KDD và viễn thông Singapore tuyên bố thành lập Liên minh toàn cầu Worldpartners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.

Hình 1.1 Mô hình VPN thông thường

- 1994: BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- 1995: ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu (GVPNS).

- 1996: Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One.

Năm 1997 được xem là một mốc son quan trọng trong sự phát triển của công nghệ VPN, khi công nghệ này xuất hiện rộng rãi trên các tạp chí khoa học và trong các hội thảo chuyên ngành Sự xuất hiện của các mạng VPN dựa trên hạ tầng Internet công cộng đã mở ra những khả năng mới và góc nhìn mới cho lĩnh vực này.

Công nghệ VPN là giải pháp thông tin lý tưởng cho các công ty và tổ chức có nhiều văn phòng hoặc chi nhánh Ngày nay, VPN không chỉ được sử dụng cho dịch vụ thoại mà còn mở rộng sang các dịch vụ dữ liệu, hình ảnh và đa phương tiện.

Lợi ích và hạn chế của việc sử dụng VPN

Việc sử dụng mạng riêng ảo là một nhu cầu và là một xu thế của công nghệ truyền thông bởi vì có một số ưu điểm như:

Hình 1.2 Ưu điểm của VPN so với mạng truyền thống

1.3.1.1 Giảm thiểu chi phí triển khai và duy trì hệ thống:

Sử dụng VPN giúp triển khai hệ thống đáp ứng nhu cầu truyền tải và bảo mật dữ liệu một cách hiệu quả Chi phí cho việc này khá thấp, vì VPN tối ưu hóa chi phí bằng cách giảm thiểu phí thuê đường truyền dài, thay vào đó tận dụng hệ thống mạng Internet có sẵn.

Chi phí duy trì hệ thống là một vấn đề quan trọng cần lưu ý Đối với VPN, chi phí duy trì rất thấp, và việc thuê hạ tầng từ các công ty dịch vụ internet giúp giảm bớt lo ngại về chi phí này.

VPN là giải pháp hiệu quả để vượt qua các bộ lọc Internet, đặc biệt tại những quốc gia có chính sách kiểm duyệt nghiêm ngặt Sử dụng VPN giúp người dùng truy cập vào nội dung bị chặn và bảo vệ quyền riêng tư trực tuyến.

Việc thay đổi địa chỉ IP cho phép người dùng ẩn danh, bảo vệ thông tin cá nhân và tránh sự xâm nhập cũng như các ý đồ xấu từ hacker bên ngoài mạng.

1.3.1.3 An toàn trong giao dịch:

Việc trao đổi thông tin trong công việc diễn ra liên tục, nhưng bảo mật thông tin là yếu tố cực kỳ quan trọng Sử dụng VPN giúp chúng ta yên tâm hơn về vấn đề này, vì VPN áp dụng cơ chế ẩn giấu dữ liệu, mã hóa thông tin và bảo vệ dữ liệu bằng cách bao bọc nó trong gói tin Header Nhờ đó, thông tin được truyền tải nhanh chóng qua Internet mà vẫn đảm bảo an toàn.

VPN đáp ứng tốt việc chia sẻ gói tin và dữ liệu trong một thời gian dài.

1.3.1.4 Khả năng điều khiển từ xa:

Trong thời đại hiện nay, nhu cầu tiết kiệm thời gian và giảm chi phí ngày càng cao, vì vậy làm việc tại nhà trở thành một xu hướng phổ biến Sử dụng VPN cho phép người dùng truy cập vào hệ thống mạng từ bất kỳ đâu, mang lại lợi ích lớn cho công việc từ xa.

1.3.1.5 Khả năng mở rộng hệ thống tốt:

Chi phí xây dựng hệ thống mạng lưới chuyên dụng cho công ty có thể hợp lý ban đầu, nhưng khi công ty phát triển, nhu cầu mở rộng mạng trở nên cần thiết VPN là lựa chọn hợp lý vì nó không phụ thuộc nhiều vào "hệ thống", cho phép mở rộng dễ dàng bằng cách tạo thêm các đường ống (tunnel) kết nối dựa trên hạ tầng Internet có sẵn.

Một mạng VPN có những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng

IP công cộng Các ưu điểm trên bao gồm tính bảo mật và sử dụng đa giao thức.

Hình 1.3 Các ưu điểm của VPN

Một mạng ảo được tạo ra nhờ các giao thức trên một kết nối IP bao gồm: GRE (Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và IPSec.

Mạng cục bộ đảm bảo độ tin cậy, tính toàn vẹn và xác thực, được gọi tắt là CIA (Confidentiality, Integrity, Availability) Việc mã hóa dữ liệu và sử dụng giao thức IPSec giúp bảo vệ thông tin khi truyền tải trên Web, duy trì các tính chất CIA tương tự như trong mạng cục bộ.

Mặc dù mạng riêng ảo (VPN) ngày càng phổ biến, nhưng nó không phải là giải pháp hoàn hảo và vẫn tồn tại những hạn chế trong bất kỳ hệ thống mạng nào Khi triển khai hệ thống VPN, cần lưu ý một số hạn chế quan trọng.

VPN yêu cầu kiến thức sâu sắc về an ninh mạng, cùng với việc cấu hình và cài đặt cẩn thận để đảm bảo an toàn trên mạng Internet công cộng Độ tin cậy và hiệu suất của một VPN phụ thuộc vào Internet, không hoàn toàn do đơn vị kiểm soát, vì vậy giải pháp thay thế là sử dụng dịch vụ của một nhà cung cấp uy tín.

Việc sử dụng sản phẩm VPN và giải pháp từ các nhà cung cấp khác nhau có thể gặp phải vấn đề tương thích do tiêu chuẩn công nghệ VPN không đồng nhất Sự kết hợp các thiết bị khác nhau có thể dẫn đến các vấn đề kỹ thuật, và nếu không được sử dụng đúng cách, sẽ gây lãng phí chi phí triển khai hệ thống Một trong những nhược điểm lớn của VPN là vấn đề bảo mật cá nhân, vì khi nhân viên truy cập từ xa qua máy tính cá nhân hoặc máy tính xách tay, nếu các thiết bị này chạy nhiều ứng dụng khác, hacker có thể khai thác điểm yếu và tấn công vào hệ thống của tổ chức.

Vì vậy việc bảo mật cá nhân luôn được các chuyên gia khuyến cáo phải đảm bảo an toàn.

Chức năng của VPN

Một số chức năng của VPN:

Độ tin cậy trong truyền tải dữ liệu được đảm bảo khi người gửi mã hóa các gói dữ liệu trước khi gửi qua mạng Phương pháp này ngăn chặn việc truy cập trái phép vào thông tin, đồng thời đảm bảo rằng ngay cả khi dữ liệu bị rò rỉ, nó cũng không thể được đọc do đã được mã hóa.

-Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu nhận được sau khi truyền qua Internet có bị thay đổi hay không.

Xác thực nguồn gốc dữ liệu là bước đầu tiên quan trọng khi nhận thông tin VPN giúp người dùng xác minh nguồn gốc và tính chính xác của dữ liệu một cách hiệu quả.

Phân loại mạng VPN

Mục tiêu của công nghệ mạng VPN là đảm bảo rằng nhân viên công ty có thể truy cập từ xa hoặc di động vào mạng nội bộ mọi lúc, đáp ứng ba yêu cầu cơ bản.

Nối liền các chi nhánh, văn phòng di động.

Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

Mạng VPN truy nhập từ xa (Remote Access VPN).

Mạng VPN cục bộ (Intranet VPN).

Mạng VPN mở rộng (Extranet VPN).

Đường hầm và mã hóa

Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một đường hầm.

Đường hầm (Tunnel) cung cấp kết nối logic điểm tới điểm qua mạng IP không hướng kết nối, giúp tận dụng các tính năng bảo mật Giải pháp đường hầm cho VPN sử dụng mã hóa để bảo vệ dữ liệu khỏi sự xem trộm của những người không được phép và thực hiện đóng gói đa giao thức khi cần Mã hóa tạo ra kết nối đường hầm, đảm bảo dữ liệu chỉ có thể được đọc bởi người gửi và người nhận.

Mã hoá (Encryption) là quá trình bảo vệ thông tin, giúp bản tin chỉ có thể được đọc bởi người nhận, trong khi vẫn giữ cho nội dung không bị lộ ra ngoài Khi lượng thông tin trên mạng ngày càng tăng, nhu cầu về mã hoá trở nên cấp thiết hơn bao giờ hết Mã hoá chuyển đổi nội dung thành một văn bản mật mã, khiến nó trở nên vô nghĩa nếu không có chìa khóa giải mã Chức năng giải mã cho phép khôi phục văn bản mật mã về dạng nội dung có thể sử dụng cho người nhận.

Công nghệ Dynamic Multipoint VPN (DMVPN)

To enhance VPN systems, telecom providers have upgraded to Cisco's DYNAMIC MULTIPOINT VPN Initially, we will examine a VPN model that utilizes IPSec (Internet Protocol Security) and GRE (Generic Routing Encapsulation).

Mô hình mạng của công ty bao gồm một site trung tâm (HUB) kết nối với các site chi nhánh (SpokeA và SpokeB) qua internet Để thiết lập kết nối an toàn, công ty sử dụng VPN thông thường với giao thức IPSec kết hợp GRE, yêu cầu cấu hình 2 tunnel trên router HUB đến SpokeA và SpokeB.

Hình 2.1 Mô hình Hub - and - spoke

2.1.1 Hub - and - spoke phát sinh một số hạn chế như sau

Khi thiết lập tunnel point-to-point, việc biết địa chỉ IP của nguồn và đích là điều cần thiết, dẫn đến việc phải sử dụng địa chỉ tĩnh tại các spoke và HUB, gây ra chi phí cao Trên router HUB, cần cấu hình hai tunnel cho mỗi spoke, ví dụ như spokeA và spokeB Nếu mạng công ty có nhiều chi nhánh, router HUB sẽ phải cấu hình tương ứng với số lượng tunnel, dẫn đến việc lưu trữ một cơ sở dữ liệu lớn Do đó, router HUB cần được trang bị bộ nhớ và CPU mạnh mẽ, làm tăng chi phí đầu tư.

Khi spokeA muốn giao tiếp với spokeB, phải thông qua HUB Điều trên không linh động.

Những hạn chế trên được giải quyết trong DMVPN Với DMVPN, trên mỗi router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint).

2.1.2 Sử dụng mGRE sẽ giải quyết được hai hạn chế: Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng địa chỉ IP động do ISP cung cấp Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định Trên router HUB cũng bắt buộc phải là một địa chỉ tĩnh.

Trên router HUB, việc cấu hình một tunnel mGRE là đủ, và nếu có thêm spoke nào, HUB không cần phải cấu hình lại Điều này giúp giảm tải cho router HUB.

Tuy nhiên, như đã i, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP (Next Hop Resolution Protocol).

Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.

Các thành phần của DMVPN

Chúng ta sẽ thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp sử dụng DMVPN cho kết nối các văn phòng chi nhánh Hệ thống Hub và Spoke là cấu trúc cơ bản, yêu cầu thiết bị hỗ trợ tốt để tạo kết nối DMVPN Có nhiều giải pháp khác nhau, nhưng Router vẫn là lựa chọn phổ biến nhất.

Nhìn vào mô hình ở hình 2.3, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke thì phải kết nối thông qua Cloud.

Cloud refers to internet service providers (ISPs) that offer various solutions for utilizing their services These cloud options can include Frame Relay, ATM, and Leased Lines, providing users with flexible connectivity solutions tailored to their needs.

Khái niệm DMVPN

Dynamic Multipoint Virtual Private Network (DMVPN) là một giải pháp phần mềm của Cisco, kết hợp các công nghệ IPSec, mGRE và NHRP Sự kết hợp này cho phép triển khai IPSec trong mạng riêng ảo một cách dễ dàng và hiệu quả.

Kỹ thuật thiết kế

Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:

- Dual hub-dual DMVPN cloud

- Dual hub-single DMVPN cloud

DMVPN cloud là một hệ thống gồm các router được cấu hình định tuyến để tương tác với nhau Để thiết lập giao tiếp giữa các router này, bạn có thể sử dụng giao thức mGRE, PPP, hoặc cả hai Điều quan trọng là tất cả các router phải nằm trong cùng một subnet để đảm bảo kết nối hiệu quả.

Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud, minh họa như trong hình 2-4 và 2-5.

Hình 2.3 Mô hình triển khai DMVPN

Mô hình Dual hub dual DMVPN cloud có Hub 1 là trung tâm chính, kết nối với các chi nhánh qua DMVPN cloud 1 và cùng subnet, giúp duy trì kết nối ổn định Hub 2 được sử dụng như một giải pháp dự phòng cho Hub 1 khi xảy ra sự cố Kết nối giữa Hub 1 và Hub 2 nên thực hiện trong mạng campus và không cùng subnet để đảm bảo tính linh hoạt Quan trọng là cả hai hub phải có khả năng giao tiếp với hệ thống mạng nội bộ, nhằm đảm bảo khả năng Failover, hạn chế sự cố và duy trì kết nối liên tục.

Hình 2.5 Single DMVPN Cloud Topology

Mô hình thứ hai, dual hub single DMVPN cloud, sử dụng một đường mạng duy nhất để kết nối tất cả các hub và chi nhánh Từ DMVPN Cloud, có hai kết nối đến hai hub, giúp tối ưu hóa hiệu suất với khả năng cân bằng tải.

DMVPN cloud supports both hub-and-spoke and spoke-and-spoke deployment models In the hub-and-spoke model, each headend features an mGRE interface, while each branch can have either a P2P or mGRE interface Conversely, in the spoke-and-spoke model, both headend and branch utilize mGRE interfaces.

Với Dual Cloud chúng ta sẽ thảo luận cho hai model triển khai:

In a hub-and-spoke model utilizing Dual DMVPN cloud, there are two headends, hub1 and hub2, each equipped with one or more mGRE tunnels that connect to all branch locations.

Hình 2.6 Dual DMVPN Cloud Topology - Hub-and-Spoke Deployment Model

Mỗi DMVPN cloud được xác định bởi một địa chỉ IP duy nhất trong subnet và được gọi là primary, chịu trách nhiệm cho toàn bộ lưu lượng mạng từ các branch Mỗi branch có hai interface P2P GRE kết nối đến từng Hub riêng biệt, và trong mô hình này không có tunnel giữa các branch Giao tiếp giữa các branch được thực hiện thông qua hub, với thông số metric của giao thức định tuyến được sử dụng để xác định primary hub.

Kiến trúc hệ thống của trung tâm (system headend) bao gồm hai loại chính: Single Tier và Dual Tier, mỗi loại có những đặc điểm và ứng dụng riêng, phù hợp với nhu cầu triển khai khác nhau.

-Single Tier: Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong một CPU của router.

Hình 2.7 Single Tier Headend Architecture

Giải pháp dual cloud với mô hình hub-and-spoke cho phép tất cả các Headend kết nối qua tunnel mGRE và Crypto được gộp lại trong một multiple GRE tunnel, phục vụ cho các luồng dữ liệu từ chi nhánh Để kết thúc tunnel VPN tại trung tâm, headend có thể gửi thông điệp thông báo cho giao thức định tuyến đang được sử dụng tại chi nhánh như EIGRP hoặc OSPF, bất kể đường kết nối nào được chọn trong cloud.

Kiến trúc dual tier cho phép mGRE và Crypto hoạt động độc lập trong cùng một CPU của router Trong giải pháp dual DMVPN cloud với mô hình hub-and-spoke, mGRE và Crypto tại headend tách biệt nhưng hỗ trợ lẫn nhau, phục vụ cho nhiều mGRE tunnel để chuyển luồng lưu lượng mạng đến các chi nhánh Tại đầu cuối của VPN tunnel, Crypto nhận dữ liệu từ chi nhánh và chuyển tiếp cho mGRE, giúp mGRE quảng bá các giao thức định tuyến như EIGRP hoặc OSPF tại chi nhánh.

Router trong mô hình DMVPN là điểm kết thúc của tunnel và đồng thời thực hiện nhiều chức năng khác như Firewall Địa chỉ IP bên ngoài của router có thể là tĩnh hoặc động và cần được ánh xạ trong bản đồ của router Điều này có nghĩa là một giao diện bên ngoài của router sẽ có địa chỉ IP công cộng riêng, trong khi tunnel cũng cần có IP (công cộng hoặc riêng tư) được ánh xạ để xác định giao diện tương ứng mà tunnel sẽ được chuyển ra.

Các Branch trong kiểu triển khai trên kết nối với nhau thông qua tunnel riêng, và phải đi qua DMVPN

Cloud Giao thức thường xuyên thấy giữa các tunnel là IPSec Để giao tiếp với hệ thống trung tâm, chúng ta có giao thức

Single Tier, trong đó các chức năng của mGRE và Crypto được gói gọn trong một router.

Trong mô hình 2.10, hai headend hoạt động trên cùng một subnet, cho phép các văn phòng chi nhánh kết nối với trung tâm thông qua giao diện mGRE.

Và cũng phải có cùng subnet để thực hiện giao tiếp nội bộ.

Hình 2.8 Dual Tier Headend Architecture

Hình 2.9 Dual DMVPN Cloud Topology - Spoke-to-Spoke

Mô hình 2.10 không được khuyến nghị do tính không khả dụng và thiếu khả năng chống lỗi Trong triển khai Spoke-and-Spoke, cần cân nhắc kỹ lưỡng khi áp dụng Single DMVPN.

Để đảm bảo chức năng load balancing giữa hai trung tâm, các headend cần được cấu hình DMVPN giống nhau và có địa chỉ IP trong cùng một subnet.

Hình 2.10 Single DMVPN Cloud Topology

Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, được tóm tắt như sau:

2.4.2.1 Mô hình Hub-and-Spoke:

Giữa trung tâm và chi nhánh Trong Hub-and-Spoke có hai kiến trúc dành cho cloud.

- Dual Cloud: Có nhiều subnet

- Single Cloud: Có một subnet

Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải pháp:

- Single Tier: hai giao thức mGRE và Crypto trên cùng một router.

- Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau.

2.4.2.1 Mô hình Spoke-and-Spoke:

Mô hình này kế thừa từ mô hình Hub-and-Spoke, cho phép thiết lập kết nối tự động và trực tiếp giữa các kênh Spoke-to-Spoke IPSec giữa các site mà không cần thông qua hub Nhờ vào công nghệ mGRE và NHRP, mô hình này giúp giảm tải cho Router Hub.

Ưu điểm và hạn chế

Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hóa việc thêm, xóa các site spoke.

Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xóa bỏ sau một thời gian không hoạt động đã cấu hình sẵn.

Chi phí thấp, độ bảo mật cao, giảm thiểu độ phức tạp cấu hình, dễ dàng mở rộng và tăng tính linh hoạt của hệ thống mạng.

Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke được thiết lập.

Mã hóa đường hầm IPSec phải được thực hiện từ router spoke.

Thiết bị sử dụng cần có đồng bộ hóa của hãng Cisco: Router (HUB), Router (Spoke), Switch L2, L3, ….

Các vấn đề triển khai DMVPN

2.6.1 Cơ chế tunnel và địa chỉ IP

VPN tạo tunnel để kết nối giao tiếp lại Sau đây là một hình minh họa:

Hình 2.11 Mô hình VPN với cơ chế Tunnel

Tunnel là một cơ chế, thường được gọi là đường ống, có nhiệm vụ che giấu dữ liệu A bằng cách sử dụng một lớp dữ liệu B khác.

Mô hình truyền thông giúp chúng ta hiểu rõ hơn về việc gắn thêm một header riêng vào dữ liệu để xác định định dạng gói dữ liệu theo chuẩn B Trong mô hình minh họa, địa chỉ IP đóng vai trò quan trọng; gói dữ liệu từ A đã có địa chỉ IP riêng và địa chỉ đích Khi được mã hóa qua tunnel, gói dữ liệu sẽ mang theo địa chỉ IP nguồn và đích của tunnel, được gọi là IP tunnel Giao tiếp giữa hai IP tunnel này là một phần thiết yếu trong quá trình truyền thông.

Giao diện tunnel là một kết nối mạng logic giữa hai điểm cần giao tiếp, tương tự như một sợi cáp mạng nối liền chúng.

Mục đích của việc tạo tunnel là che giấu địa chỉ IP private bằng địa chỉ IP public, giúp hai hệ thống mạng private giao tiếp với nhau Tại đầu gửi, địa chỉ IP private được gói trong một gói dữ liệu mới với header chứa địa chỉ IP public, và thông qua tunnel, gói dữ liệu này được gửi đến đầu nhận có địa chỉ IP public Tại đầu nhận, gói dữ liệu sẽ được tháo ra để lấy dữ liệu bên trong và trả về cho mạng private.

A tunnel involves adding a specific header format to the data packet being sent, which is governed by various data encapsulation protocols Notable protocols include PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), L2F (Layer 2 Forwarding), and GRE (Generic Routing Encapsulation) Each protocol appends unique data to the packet, and the receiving end must correctly understand and perform the decapsulation process.

Cả ba giao thức PPTP, L2TP và L2F đều gặp khó khăn trong việc định tuyến khi thiết lập tunnel giữa hai site, đặc biệt khi chúng nằm trong cùng một mạng LAN và có thể kết nối với nhiều mạng LAN khác Hai router ở đầu cuối của VPN, nơi tạo ra tunnel, cần phải chịu trách nhiệm gửi cập nhật định tuyến cho nhau Tuy nhiên, việc gửi cập nhật định tuyến theo phương thức broadcast thường không khả thi trong môi trường mạng công cộng, nơi mà các gói tin broadcast thường không được phép lưu thông Giải pháp cho vấn đề này là sử dụng GRE.

GRE là giao thức được sử dụng để đóng gói định tuyến trong môi trường mạng không cho phép broadcast, cho phép truyền tải các gói tin IP giữa các mạng private qua internet Nó cung cấp cơ chế đóng gói cho tất cả các giao thức của tầng mạng, giúp chúng tương tác với nhau GRE tunnel hỗ trợ các giao thức định tuyến hoạt động khi chuyển tiếp từ mạng private đến các router khác trên internet, đồng thời cũng cho phép đóng gói dữ liệu multicast để truyền qua internet.

GRE không hỗ trợ mã hóa, vì vậy cần sử dụng IPSEC để bảo vệ dữ liệu trong quá trình truyền tải Khi một gói tin cần được gửi ra mạng công cộng qua GRE, nó sẽ được đóng gói theo tiêu chuẩn GRE bằng cách thêm vào tiêu đề GRE, có độ dài từ 32 đến 160 bit.

Triển khai GRE có hai giải pháp chính: Point-to-Point (ppp GRE) và Multi-Point (mGRE) Trong mô hình DMVPN Hub-and-Spoke, giải pháp mGRE là lựa chọn tối ưu cho cấu hình.

NHRP, viết tắt của Next Hop Resolution Protocol, là một giao thức tương tự như Address Resolution Protocol (ARP), được định nghĩa trong IETF RFC 2332 và mô tả thêm trong RFC 2333 Giao thức này tự động ánh xạ các mạng Non-Broadcast Multi-Access (NBMA) Với NHRP, các mạng kết nối trực tiếp vào mạng NBMA có thể nhận biết địa chỉ NBMA (vật lý) của các mạng khác trong cùng hệ thống, cho phép các hệ thống giao tiếp trực tiếp với nhau.

Hai router đã tạo tunnel kết nối với nhau như trong mạng LAN, và để gửi dữ liệu giữa chúng, cần xác định địa chỉ IP Người gửi chỉ biết địa chỉ IP private của hai router Tiếp theo, để xác định địa chỉ MAC tương ứng với IP, giao thức ARP thường được sử dụng Tuy nhiên, ARP không hoạt động trong cơ chế tunnel, vì gói tin ARP không thể chạy qua để tìm MAC Do đó, NHRP (Next Hop Resolution Protocol) được phát triển để giải quyết vấn đề này.

NHRP là giao thức Client-Server phổ biến trong mô hình Hub & Spoke, với Hub đóng vai trò là Next Hop Server (NHS) và Spoke là Next Hop Clients (NHCs) Hub duy trì bảng cơ sở dữ liệu NHRP chứa địa chỉ IP công cộng của từng Spoke Khi khởi động, mỗi Spoke đăng ký địa chỉ IP thực của mình và truy vấn cơ sở dữ liệu NHRP để tìm địa chỉ thực của các Spoke khác, từ đó xây dựng các Tunnel trực tiếp.

NHRP là một giao thức tương tự như ARP, giúp giảm thiểu các vấn đề trong mạng NBMA (Non-Broadcast Multiple Access) Giao thức này cho phép các hệ thống tự động học và xác định địa chỉ của các hệ thống khác trong mạng NBMA một cách linh hoạt Nhờ đó, các mạng có thể giao tiếp trực tiếp với nhau mà không cần thông qua các hop trung gian, tối ưu hóa hiệu suất truyền tải dữ liệu.

SNHRP được thiết kế để hỗ trợ IP trong việc dò đường cho quá trình truyền dữ liệu trên hệ thống mạng NBMA, không phải là giao thức dò đường mà là giải pháp kỹ thuật về địa chỉ Mạng NBMA khác với mạng phát tán, nơi nhiều thiết bị cùng chia sẻ một cáp và chỉ nút có địa chỉ được chỉ định mới nhận được frame thông tin Trong mạng NBMA, các frame được phân phối qua các mạch kết nối giữa hai nút cuối mà không có trạm nào khác tham gia Dịch vụ chuyển dữ liệu IP phi kết nối không luôn tương thích với các liên kết hướng kết nối của ATM NHRP thường được ứng dụng trong DMVPN, kết hợp với multiple GRE (mGRE) Tunnels và mã hóa IPSec.

Hình 2.14 HeadQuarters (HQ) , Branch1 (BR1) và Branch2 (BR2).

BR1, BR2 Connect HQ qua giao thức DMVPN kết hợp với mGRE Tunnel và IPSec.

Bảng 2.1 Bảng phân phối địa chỉ IP

Branch1 (BR1) IP Public: Dynamic

Branch2 (BR2) IP Public: Dynamic

BR1 và BR2 sử dụng IP Public động, dẫn đến việc các IP này thay đổi liên tục NHRP sẽ liên tục cập nhật IP Public của BR1 và BR2 lên Next Hop Server (NHS) tại HQ Khi BR1 muốn thiết lập Tunnel động để giao tiếp với BR2, nó sẽ gửi gói tin NHRP Request đến HQ để yêu cầu IP Public tương ứng với IP 192.168.1.3 HQ sẽ phản hồi bằng gói tin NHRP Reply chứa IP Public hiện tại của BR2, cho phép BR1 sử dụng IP này để tạo Tunnel với BR2.

Định tuyến với DMVPN

Trong thiết kế DMVPN, việc khuyến cáo sử dụng các giao thức định tuyến động cho phép định tuyến hiệu quả từ headend đến branch Các giao thức này mang lại nhiều lợi ích hơn so với việc sử dụng IPSec Direct Encapsulation Đặc biệt, trong môi trường VPN, giao thức định tuyến cần đảm bảo các lợi ích tương tự như mạng truyền thống.

- Thông tin về topology của mạng

- Thông báo thay đổi trong cấu trúc của topology

- Trạng thái điều khiển từ xa của mỗi đối tượng

Trong thiết kế DMVPN, có thể sử dụng một số giao thức định tuyến như EIGRP, OSPF, RIPv2 và ODR (dành riêng cho hub-and-spoke) Giao thức EIGRP được khuyến nghị nhiều nhất do khả năng duy trì định tuyến hiệu quả, tiết kiệm CPU và băng thông mạng, cùng với thời gian hội tụ nhanh EIGRP cũng cung cấp nhiều tùy chọn cho việc tổng hợp địa chỉ và quảng bá định tuyến mặc định.

Các giao thức định tuyến như OSPF được xác nhận là dễ sử dụng, nhưng chưa được bàn luận một cách chi tiết ODR không phù hợp cho mô hình triển khai spoke-to-spoke do không hỗ trợ chia tách tunnel (split tunneling).

Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó tác động trên phải được xem xét khi tăng kích thước mạng.

Các giao thức trong DMVPN

Giao thức bảo mật IPSec (Internet Protocol Security) hoạt động ở lớp 3 của mô hình OSI và sử dụng IKE (Internet Key Exchange) để thiết lập các Thỏa thuận An ninh (SA) giữa các đối tượng ngang hàng Việc thiết lập SA bao gồm nhiều đối tượng quan trọng cần được cấu hình đúng cách để đảm bảo an toàn cho dữ liệu truyền tải.

Hình 2.15 Khung giao thức được sử dụng trong IPSec

Chức năng của IPSec là thiết lập bảo mật giữa hai đối tượng ngang hàng, xác định khóa, giao thức và thuật toán sử dụng Các SA IPSec có thể được thiết lập theo cách vô hướng Khi gói tin được chuyển tới tầng mạng, gói tin IP không được gắn liền với bảo mật, do đó không đảm bảo rằng IP datagram nhận được là an toàn.

- Từ người gửi yêu cầu.

- Dữ liệu gốc từ người gửi.

- Không bị kiểm tra bên thứ 3 khi gói tin đang được gửi từ nguồn tới đích.

IPSec là phương pháp bảo vệ IP datagram, định nghĩa cách lưu lượng được bảo vệ và người nhận Nó bảo vệ gói tin giữa các host, giữa cổng an ninh mạng, hoặc giữa host và cổng an ninh IPSec thực hiện đóng gói dữ liệu và quản lý thông tin để thiết lập, duy trì và hủy bỏ đường hầm khi không cần thiết Các gói tin trong đường hầm giống như gói tin thông thường, không ảnh hưởng đến thiết bị, kiến trúc và ứng dụng hiện có, giúp giảm chi phí triển khai và quản lý.

IPSec là một tập hợp các giao thức do IETF phát triển nhằm hỗ trợ thay đổi bảo mật của gói tin ở tầng IP qua mạng vật lý Nó được sử dụng rộng rãi để triển khai VPN và hỗ trợ hai chế độ mã hóa chính: transport và tunnel.

Mã hóa chỉ phần payload của từng gói tin mà không bao gồm phần header Tại thiết bị nhận, IPSec_compliant sẽ thực hiện giải mã cho từng gói tin Chế độ transport bảo vệ tải tin của gói dữ liệu và các giao thức ở lớp cao hơn, đồng thời vận chuyển địa chỉ.

Địa chỉ IP nguồn ở dạng "clear" đóng vai trò quan trọng trong việc định tuyến các gói dữ liệu qua Internet Chế độ vận chuyển ESP được áp dụng giữa hai máy tính, trong đó địa chỉ đích là máy của chính nó Chế độ vận chuyển này đảm bảo tính bảo mật chỉ cho các giao thức ở lớp cao hơn.

Chế độ trên có nhược điểm là cho phép các thiết bị trong mạng nhận diện địa chỉ nguồn và đích của gói tin, từ đó thực hiện các xử lý như phân tích lưu lượng dựa trên thông tin tiêu đề IP Tuy nhiên, khi dữ liệu được mã hóa bằng ESP, thông tin cụ thể bên trong gói tin IP sẽ không thể được xác định Theo IETF, chế độ truyền tải chỉ có thể áp dụng khi hai hệ thống đầu cuối IP-VPN thực hiện IPSec.

Mã hóa cả phần header và payload để cung cấp sự thay đổi bảo mật nhiều hơn của gói tin Ở bên nhận, thiết bị

IPSec_compliant sẽ giải mã từng gói tin Một trong nhiều giao thức phổ biến được sử dụng để xây dựng

VPN là chế độ đường hầm IPSec.

Chế độ này cho phép bộ định tuyến thực hiện xử lý IPSec thay vì các trạm cuối Ví dụ, bộ định tuyến A xử lý các gói từ trạm A và gửi vào đường hầm, trong khi bộ định tuyến B nhận các gói trong đường hầm, phục hồi chúng về dạng ban đầu và chuyển đến trạm B.

Chế độ tunnel của IPSec cho phép duy trì tính an ninh dữ liệu mà không cần thay đổi trạm cuối Khi áp dụng chế độ này, các thiết bị trung gian trong mạng chỉ nhận diện địa chỉ của hai điểm cuối trong đường hầm, cụ thể là các bộ định tuyến A và B Điều này có nghĩa là các đầu cuối của IPSec-VPN có thể hoạt động mà không cần thay đổi ứng dụng hay hệ điều hành.

Hình 2.18 Thiết bị mạng thực hiện trong IPSec trong chế độ đường hầm

IP HDR AH HDR DATA

AH trong mode Tunnel Authenticated Header and Data

Hình 2.20 ESP trong mode tunnel và transport

IPSec được thiết kế nhằm đảm bảo an ninh mạng với các tính năng như tính toàn vẹn không kết nối, xác thực dữ liệu gốc, chống tấn công replay và mã hóa thông tin IETF đã định nghĩa các chức năng cơ bản của IPSec để đáp ứng nhu cầu bảo mật trong truyền tải dữ liệu.

Tính xác thực: Mọi người đều biết là dữ liệu nhận được giống với dữ liệu được gửi và người gửi yêu cầu là người gửi hiện tại.

Hình 2.19 AH trong mode tunnel và transport

IP HDR ESP HDR Encrypted Data

ESP Encrypted Original IP Header and Data

Tính toàn vẹn: Đảm bảo rằng dữ liệu được truyền từ nguồn tới đích mà không bị thay đổi hay có bất kỳ sự xáo trộn nào.

Tính bảo mật trong việc truyền tải dữ liệu rất quan trọng; người gửi có thể mã hóa các gói dữ liệu trước khi gửi qua mạng công cộng Dữ liệu chỉ được giải mã ở phía người nhận, đảm bảo rằng không ai có thể truy cập thông tin mà không có quyền Ngay cả khi dữ liệu bị đánh cắp, nó cũng sẽ không thể được đọc hiểu.

 Mã hóa: Một cơ cấu cơ bản được sử dụng để cung cấp tính bảo mật.

Phân tích lưu lượng mạng là quá trình xem xét và đánh giá các luồng dữ liệu nhằm trích xuất thông tin quan trọng, có thể giúp kẻ thù hiểu rõ hơn về hoạt động của hệ thống Điều này bao gồm việc theo dõi thông tin được truyền tải thường xuyên, nhận diện các bên tham gia giao tiếp, kích thước gói tin và định danh của các luồng dữ liệu.

SPI, viết tắt của chỉ số tham số an toàn (Security Parameter Index), là một chỉ số không có cấu trúc rõ ràng, được sử dụng để xác định liên kết an toàn thông qua địa chỉ đích.

Phương pháp bảo vệ IP datagram có thể được thực hiện thông qua các giao thức IPSec, bao gồm Encapsulate Security Payload (ESP) và Authentication Header (AH) AH đảm bảo chứng cứ gốc của gói tin nhận, tính toàn vẹn dữ liệu và bảo vệ chống lại các cuộc tấn công replay Trong khi đó, ESP không chỉ cung cấp các tính năng của AH mà còn thêm vào tính bảo mật dữ liệu tùy ý Mức độ bảo mật mà AH hoặc ESP cung cấp phụ thuộc vào thuật toán mã hóa được áp dụng.

Dịch vụ bảo mật của IPSec yêu cầu sử dụng khóa chia sẻ để đảm bảo tính xác thực và bảo mật Giao thức Internet Key Exchange (IKE) là phương pháp chuẩn cho việc xác thực IPSec, cho phép thương lượng bảo mật và tạo ra khóa chia sẻ.

Ưu điểm và nhược điểm khi sử dụng IPSec

IPSec mang lại lợi ích lớn với khả năng mã hóa hoàn toàn cho tất cả các giao thức lớp 3 trong mô hình OSI và cao hơn Nó cung cấp các dịch vụ bảo mật cần thiết như xác thực, toàn vẹn dữ liệu và mã hóa, giúp bảo vệ thông tin trong quá trình truyền tải.

-Xác thực lẫn nhau trước và trong quá trình trao đổi.

IPSec đảm bảo sự cẩn mật trong quá trình mã hóa lưu lượng IP và xác thực số của gói IPSec hoạt động với hai chế độ chính: ESP, sử dụng mã hóa dựa trên một số thuật toán nhất định, và AH, tập trung vào xác thực lưu lượng mà không thực hiện mã hóa.

Để đảm bảo tính toàn vẹn của lưu lượng IP, cần loại bỏ những gói dữ liệu đã bị thay đổi Các giao thức ESP và AH được sử dụng để xác nhận tính toàn vẹn này Nếu một gói dữ liệu bị thay đổi, chữ ký số sẽ không được đính kèm, dẫn đến việc gói đó bị hủy bỏ.

Để ngăn chặn tấn công, cả ESP và AH đều sử dụng số tuần tự nhằm đảm bảo rằng bất kỳ gói nào bị capture trong lần gửi lại sẽ sử dụng số không tuần tự Việc sắp xếp số theo thứ tự giúp ngăn chặn kẻ tấn công tái sử dụng hoặc gửi lại dữ liệu đã bị capture, từ đó bảo vệ phiên làm việc và thông tin nhạy cảm Số tuần tự còn có vai trò quan trọng trong việc ngăn chặn các cuộc tấn công bằng cách chặn message và sử dụng lại message tương tự để truy cập trái phép vào tài nguyên, ngay cả sau một khoảng thời gian dài.

Mặc dù IPSec cung cấp các đặc tính cần thiết để thiết lập kết nối VPN an toàn qua Internet, nhưng công nghệ này vẫn đang trong quá trình phát triển để hoàn thiện hơn.

Sau đây là một số vấn đề đặt ra mà IPSec cần phải giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:

Tất cả các gói dữ liệu được xử lý theo IPSec sẽ tăng kích thước do việc thêm các tiêu đề khác nhau, dẫn đến giảm hiệu suất thông lượng của mạng Để khắc phục vấn đề này, việc nén dữ liệu trước khi mã hóa có thể là một giải pháp, tuy nhiên, các kỹ thuật nén hiện vẫn đang trong quá trình nghiên cứu và chưa được chuẩn hóa.

-IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.

-Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.

-Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ và một số quốc gia.

XÂY DỰNG GIẢI PHÁP DM VPN TRƯỜNG ĐẠI HỌC CN GTVT49 3.1 Khảo sát, phân tích thiết kế hệ thống mạng trường Đại học CN GTVT

Đơn vị khảo sát: Trường Đại học Công nghệ GTVT

Sau khi tìm hiểu và khảo sát cơ sở hạ tầng hệ thống mạng của đơn vị Đơn vị gồm 1 trụ sở chính và 2 chi nhánh.

3.1.1.1 Trụ sở chính Vĩnh Phúc

- Tòa nhà điều hành (khối văn phòng dành cho các phòng ban): gồm 20 PC, và các thiết bị khác

- Tòa nhà thư viện (khối thư viện điện tử): 20 PC, và các thiết bị khác

- IT và Phòng thực hành tòa nhà A3: 1 Server, 120 PC, và các thiết bị khác 3.1.1.2 Chi nhánh Hà Nội

- Tòa nhà điều hành H1, H2, H3 (khối văn phòng dành cho các phòng ban): gồm

200 PC, và các thiết bị khác

- Tòa nhà thư viện (khối thư viện điện tử_CNTT): 100 PC, 1 Server và các thiết bị khác

- IT và Phòng thực hành tòa nhà A5, A6: 1 Server, 500 PC, và các thiết bị khác 3.1.1.3 Chi nhánh Thái Nguyên

- Tòa nhà điều hành (khối văn phòng dành cho các phòng ban): gồm 30 PC, và các thiết bị khác

- IT và Phòng thực hành tòa nhà: 100 PC, và các thiết bị khác

Ưu nhược điểm của hệ thống cũ

Hệ thống mạng hoạt động tốt, tốc độ cao, có rất nhiều nhà cung cấp các gói dịch vụ khác nhau

Hệ thống mạng hiện tại hoạt động tốt nhưng thiếu hiệu quả và chưa được đồng bộ hóa do sự tồn tại của nhiều thiết bị mạng khác nhau, dẫn đến việc có quá nhiều gói mạng nhỏ lẻ và riêng biệt.

3.1.3 Phân tích hệ thống DM VPN:

Hình 3.1 Mô hình DMVPN Phase 3 Hub to spoke for tunnel ipsec

DMVPN là giải pháp kết nối hiệu quả giữa các văn phòng chi nhánh và trụ sở chính, cũng như giữa các chi nhánh thông qua Internet hoặc Leased Line Giải pháp này kết hợp nhiều kỹ thuật như IPSec, mGRE và NHRP Để đảm bảo tính sẵn sàng cao (HA), việc trang bị thêm một lớp Router và hai kết nối tại Hub là cần thiết.

3 đường truyền Internet của các nhà mạng khác nhau.

- Cung cấp tốc độ Internet và độ tin cậy vượt trội.

- Giảm chi phí truyền thông an toàn và kết nối giữa các chi nhánh bằng cách tích hợp VPN với các phương thức truyền thông.

- Cho phép liên lạc và kết nối giữa các chi nhánh và chi nhánh dễ dàng hơn thông qua một hệ thống tập trung.

- Giảm khả năng xảy ra thời gian chết bằng cách định tuyến an toàn với công nghệ IPsec.

DMVPN cho phép mở rộng những mạng IPSec VPN Ngoài ra còn có một số thuận lợi như sau:

Giảm độ phức tạp trong việc cấu hình router hub giúp tự động thêm nhiều kênh mà không cần can thiệp vào cấu hình của hub.

- Bảo đảm các packet được mã hóa khi truyền đi

- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels

- Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP)

- Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP) 3.1.3.2 Giải pháp trong quá trình triển khai:

Tại chi nhánh Hà Nội, việc lắp đặt hệ thống trung tâm Hub được thực hiện để đáp ứng nhu cầu sử dụng cao từ số lượng giảng viên và sinh viên đông đảo.

- Lắp đặt hệ thống Spoke1: Tại trụ sở chính Vĩnh Phúc do số lượng giảng viên và sinh viên ít hơn Hà Nội.

- Lắp đặt hệ thống Spoke2: Tại chi nhánh Thái Nguyên do số lượng giảng viên và sinh viên ít hơn Hà Nội và Vĩnh Phúc.

3.1.3.3 Mỗi cơ sở cần 2 gói của 2 nhà mạng khác nhau:

- Gói tốc độ cao là gói cung cấp chính

- Gói tốc độ thấp là gói dự phòng

3.1.3.4 Mô hình triển khai Hub – Spoke:

Router tại trụ sở chính đóng vai trò là Hub, Router tại các chi nhánh là Spoke

Tại Hub, router được sử dụng là dòng ISR 4331 hoặc dòng router cao hơn tùy theo nhu cầu thực tế, trong khi đó, Spoke sử dụng dòng ISR 4221 Để hỗ trợ các tính năng DMVPN và IPSec, cần mua thêm Sec License để nâng cấp cho các dòng router này.

IP Public tĩnh tại Hub, các Spoke không cần sử dụng IP Public tĩnh.

EVE-NG ( Emulated Virtual Environment – Next Generaon) là một trong các công cụ giả lập (emulator) mạnh nhất hiện nay Thừa hưởng các nh năng của UnetLab.

3.1.4 Thiết kế hệ thống DM VPN:

3.1.4.1 Thiết kế hệ thống DM VPN tại cơ sở Hà Nội:

Tòa nhà thư viện bao gồm các khu vực như Phòng DMZ (IT), Phòng đọc online và Điểm cấp phát Wi-Fi công cộng Trang thiết bị hiện có bao gồm Hub ISR 4331, Switch Layer 2, Switch Layer 3, Hub Wi-Fi công cộng, SERVER và PC.

- Tòa nhà H1, H2, H3: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban).

- Phòng thực hành: Điểm thi

Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học.

3.1.4.2 Thiết kế hệ thống DM VPN tại cơ sở Vĩnh Yên:

Tòa nhà thư viện bao gồm các phòng như DMZ (IT), phòng đọc online và điểm cấp phát WiFi công cộng Các thiết bị trong tòa nhà gồm có Spoke1 (ISR 4321), switch Layer 2, switch Layer 3, hub, WiFi công cộng, server và PC.

- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban) Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.

Hình 3.2 Sơ đồ vị trí hệ thống DM VPN Hà Nội

- Phòng thực hành: Điểm thi Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học thực hành Thiết bị:

3.1.4.3 Thiết kế hệ thống DM VPN tại cơ sở Thái Nguyên:

- Tòa nhà thư viện: Phòng đọc online, Điểm cấp phát Wife Public Thiết bị bao gồm: Spoke2(ISR 4321), Switch Layer 2, Switch Layer 3, Hub, Wife Public, PC.

- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban) Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.

- Phòng thực hành: Điểm thi Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học Thiết bị:

Hình 3.3 Sơ đồ vị trí hệ thống DM VPN Vĩnh Yên

Hình 3.4 Sơ đồ vị trí hệ thống DM VPN Thái Nguyên

3.1.4.4 Hệ thống DM VPN tổng hợp bao gồm 3 cơ sở ( Hà Nội, Vĩnh Phúc, Thái Nguyên)

Hình 3.5 Sơ đồ vị trí hệ thống DM VPN đơn vị trường ĐH CN GTVT

3.2 Xây dựng mô hình DM VPN kết hợp giao thức IPSEC trên EVE-ng

Hình 3.6 Sơ đồ vật lý DM VPN trên EVE_ng

Hình 3.7 Sơ đồ thiết bị DM VPN trên EVE_ng

3.3.1 Cấu hình DMVPN trên Router Cisco

Trụ sở chính tại Hà Nội hoạt động như một Hub và Next Hop Server (NHS), lưu trữ cơ sở dữ liệu NHRP cùng với hai nhánh (Spoke) Mục tiêu chính là kết nối các chi nhánh với trụ sở và thiết lập các Tunnel khi cần giao tiếp Các Tunnel này được mã hóa bằng IPSec để đảm bảo an toàn cho dữ liệu Quy trình cấu hình bao gồm các bước cụ thể để thiết lập kết nối hiệu quả.

Bước 1: Cấu hình DMVPN Hub và Next Hop Server (NHS) trên Router tại trụ sở chính

Bước 2: Cấu hình DMVPN Spoke trên các Router chi nhánh

Bước 3: Cấu hình IPSec VPN và gán vào mGRE để bảo mật dữ liệu

Bước 4: Cấu hình định tuyến giữa các DMVPN with mGRE and NHRP

Hình 3.8 Mô hình DM VPN trường ĐH CN GTVT

Hình 3.9 Cấu hình cơ bản Hub_UTT

Hình 3.10 Cấu hình cơ bản Spoke1_VY

Hub cần tạo 1 Interface Tunnel để kết nối tới tất cả các chi nhánh Chi tiết cấu hình:

R1(config-if)# tunnel source FastEthernet 0/0

R1(config-if)# tunnel mode gre multipoint

R1(config-if)# ip nhrp network-id 111

R1(config-if)# ip nhrp map multicast dynamic

DMVPN không có Tunnel Destination, được thay thế bằng lệnh tunnel mode gre multipoint để sử dụng mGRE thay cho GRE.

Lệnh nhấp nháp map multicast dynamic cho phép chuyển tiếp lưu lượng multicast qua các tunnel, giúp DMVPN hỗ trợ các giao thức định tuyến động như EIGRP và OSPF Điều này cho phép cập nhật thông tin về các mạng nội bộ của các chi nhánh khi có sự thay đổi.

111 dùng để xác định DMVPN Các

Router khi tham gia vào DMVPN phải có chung network-id.

Hình 3.11 Cấu hình cơ bản Spoke2_TN

Hình 3.12 Cấu hình DMVPN Hub_UTT

R2(config-if)# tunnel source FastEthernet 0/0

R2(config-if)# tunnel mode gre multipoint

R2(config-if)# ip nhrp network-id 222

R2(config-if)# ip nhrp nhs 10.1.1.1

R2(config-if)# ip nhrp map 10.1.1.1 200.1.1.1

R3(config-if)# tunnel source FastEthernet 0/0

R3(config-if)# tunnel mode gre multipoint

R3(config-if)# ip nhrp network-id 333

R3(config-if)# ip nhrp nhs 10.1.1.1

Để cấu hình NHRP cho router Spoke, bạn cần sử dụng lệnh `ip nhrp map 10.1.1.1 200.1.1.1` để chỉ định địa chỉ IP của Next Hop Server (NHS), giúp router Spoke truy vấn cơ sở dữ liệu NHRP khi cần thiết Lệnh `ip nhrp map 10.1.1.1 200.1.1.1` cũng được sử dụng để ánh xạ địa chỉ NHS với địa chỉ IP công cộng của router Hub Để đảm bảo rằng các gói tin Multicast chỉ được gửi đến Hub, bạn cần cấu hình lệnh `ip nhrp map multicast 1.1.1.1`, ngăn chặn việc gửi gói tin giữa các Spoke Tất cả gói tin Multicast sẽ được gửi đến Hub để xử lý trước khi cập nhật xuống các Spoke Cuối cùng, lệnh `tunnel source F0/0` được sử dụng để xác định địa chỉ nguồn cho các Spoke.

IP động cho phép thay đổi địa chỉ IP khi cần thiết Khi IP cần được cập nhật, spoke sẽ gửi thông tin đến Next Hop Server (NHS) qua cổng F0/0 Đối với IP tĩnh, chúng ta có thể chỉ định trực tiếp địa chỉ IP WAN trong lệnh đã đề cập.

Hình 3.13 Cấu hình DMVPN SPOKE1-VY

Hình 3.14 Cấu hình DMVPN SPOKE2-TN

Sử dụng lệnh show dmvpn để kiểm tra xem các router Spoke đã tạo Tunnel kết nối đến Hub hay chưa:

Kiểm tra trên Router Spoke:Spoke1, Spoke2

Hiện tại, sau khi cấu hình xong, các Router Spoke chỉ hiển thị Tunnel với Hub, vì các Tunnel này là tunnel tĩnh và có thuộc tính S Khi cần kết nối giữa các chi nhánh, các Spoke sẽ tạo các Tunnel động để giao tiếp Khi đó, khi chúng ta kiểm tra DMVPN, sẽ hiển thị thêm thông tin của chi nhánh mà chúng ta kết nối đến, với thuộc tính D.

3.3.5 Định tuyến giữa các DMVPN Tunnel

Để cấu hình định tuyến cho các Router biết khi nào gửi gói tin qua DMVPN Tunnel, chúng ta cần thiết lập định tuyến tĩnh hoặc sử dụng các giao thức động như EIGRP hoặc OSPF Việc này được thực hiện nhờ lệnh "ip nhrp map multicast dynamic", cho phép gói tin multicast đi qua tunnel Giao thức EIGRP là một trong những lựa chọn hiệu quả cho việc định tuyến trong môi trường này.

R1(config-if)# no ip split-horizon eigrp 100

R1(config-if)# no ip next-hop-self eigrp 100

R2(config-if)# ip nhrp map multicast 200.1.1.1

R3(config-if)# ip nhrp map multicast 200.1.1.1

Như vậy là chúng ta đã cấu hình xong DMVPN kết hợp với mGRE, NHRP và IPSec để kết nối các chi nhánh Kiểm tra thiết bị

Hình 3.17 Cấu hình giao thức Eigrp trên R1, R2, R3

R2# show ip route eigrp | begin Gate

3.4 Xây dựng mã hóa DMVPN mGRE TUNNEL với Ipsec

3.4.1 Bảng so sánh ISAKMP Policy và IPSec Policy

Bảng 3.1 Bảng so sánh ISAKMP Policy và IPSec Policy Hình 3.18 Kiểm tra giao thức Eigrp trên Hub_UTT

Protect the traffic between1.1.1.0/24, 2.2.2.0/24, and 3.3.3.0/24 using an IPSec VPN based on the policy shown

Authentication: Pre-shared Encryption: ESP-3DES

Hash: MD5 Hash: ESP-MD5-HMAC

DH Group: 2 Proxy-ID/Crypto ACL: 1.1.1.1 2.2.2.2 Encryption: 3DES Encryption: ?

Cấu hình IPSec và isakmp tương tự nhau trên 3 Router, chi tiết cấu hình:

R1(config-isakmp)# authentication pre-share

R1(config)# crypto isakmp key cisco address 0.0.0.0

R1(config)# crypto ipsec transform-set TSET esp-des esp-md5- hmac

R1(cfg-crypto-trans)# mode transport

R1(config)# crypto ipsec profile TST

R1(ipsec- profile)# set transform-set

R1(config-if)# tunnel protection ipsec profile TST

Lệnh crypto isakmp key cisco address 0.0.0.0 được sử dụng trong mô hình có các chi nhánh sử dụng IP động, cho phép thiết lập kết nối an toàn bằng cách sử dụng địa chỉ IP 0.0.0.0 để phù hợp với tất cả các địa chỉ IP.

Kiểm tra crypto ipsec sa trên R1, R2, R3

Hình 3.19 Cấu hình IPSec và isakmp trên Hub_UTT

Hình 3.20 Cấu hình IPSec và isakmp trên Spoke1, Spoke2

Hình 3.21 Kiểm tra IPSec trên Hub, Spoke1, Spoke2

Kiểm tra crypto isakmp sa trên R1, R2, R3

R2# show crypto ipsec sa | include local|remote|#pkts

R1# show crypto ipsec sa | include local|remote|#pkts

Hình 3.22 Kiểm tra isakmp trên Hub, Spoke1, Spoke2

Hình 3.20 Kiểm tra gói tin Spoke1 đến Spoke2

Hình 3.23 Kiểm tracrypto ipsec saSpoke1_UTT

R1# show crypto ipsec sa | include local|remote|#pkts

Hình 3.24 Kiểm tracrypto ipsec saHub_UTT

Hình 3.25 Kiểm tracrypto ipsec saSpoke2_UTT

Hình 3.26 Kiểm tra loopback0 (Hub, Spoke1, Spoke2)

3.5 Kiểm tra, phân tích bắt gói tin bằng Wireshark:

Thực hiện kiểm tra gói tin từ HUB_UTT (HN) => SPOKE1_UTT (VY)

3.5.2 Chọn cổng f0/0 và chạy phần mềmWireshark:

Hình 3.27 Kiểm tra gói tin HUB_UTT (Hà Nội) =>

Hình 3.28 Chọn cổng f0/0 trên HUB_UTT

3.5.4 Thực hiện bắt gói tin trên VMware Network Adapter VMnet8

3.5.5 Thực hiện bắt gói tin trên màu xanh xám TCP, UDP

Hình 3.29 VMware Network Adapter VMnet8

Hình 3.30 Bắt gói tin trên màu xanh xám TCP, UDP

Hình 3.31 Phân tích gói tin

3.6 Bảng giá dự trù kinh phí thiết bị:

3.6.1 Price list giá Router Cisco từ hãng mới nhất

Bảng 3.2 Bảng danh sách báo giá thiết bị Cisco

Product mã Description mô tả List

ISR4331/K9 Cisco ISR 4331 (3GE,2NIM,1SM,4G

ISR4321/K9 Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G

Cisco 3650-24ps Cisco Catalyst 3650 24 Port Data 4x1G

Wireless 9800 Wireless LAN Cisco Catalyst 9800

48 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

24 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

3.6.2 Bảng báo giá thiết bị

Bảng 3.3 Bảng dự trù kinh phí lắp đặt thiết bị Cisco

STT Tên sản phầm Đơn giá Số lượng Thành tiền Ghi chú

1,378,726,711 VNĐChú ý: Chưa tính công lắp đặt, ống gen, và chi phí khác

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI

Tóm tắt kết quả đạt được:

- Hoàn thành tìm hiểu lý thuyết về hê thống DM VPN trong hệ thống mạng doanh nghiệp.

Hệ thống DM VPN tại trường Đại học Công nghệ GTVT đã được xây dựng và cấu hình thành công theo mô hình Hub to Spoke Trong đó, Hub được đặt tại Hà Nội, Spoke1 tại Vĩnh Yên và Spoke2 tại Thái Nguyên.

- Cấu hình được crypto Ipsec và isakmp

- Bắt và phân tích gọi tin trên phần mềm Wireshark

- Lập bảng dự trù báo giá thiết bị Cisco

- Chưa khai thác được nhiều tiềm năng từ DM VPN

- Chưa xây dựng được hệ thống Spoke to Spoke mà không cần thông qua Hub Kết luận:

Thiết kế hệ thống DM VPN

3.1.4.1 Thiết kế hệ thống DM VPN tại cơ sở Hà Nội:

Tòa nhà thư viện bao gồm các phòng như DMZ (IT), phòng đọc online và điểm cấp phát Wi-Fi công cộng Trang thiết bị được sử dụng tại đây gồm Hub ISR 4331, Switch Layer 2, Switch Layer 3, Hub, Wi-Fi công cộng, SERVER và PC.

- Tòa nhà H1, H2, H3: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban).

- Phòng thực hành: Điểm thi

Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học.

3.1.4.2 Thiết kế hệ thống DM VPN tại cơ sở Vĩnh Yên:

Tòa nhà thư viện cung cấp các phòng chức năng như phòng DMZ (IT), phòng đọc online và điểm cấp phát Wi-Fi công cộng Các thiết bị trong tòa nhà bao gồm Spoke1 (ISR 4321), Switch Layer 2, Switch Layer 3, Hub, Wi-Fi công cộng, SERVER và PC.

- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban) Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.

Hình 3.2 Sơ đồ vị trí hệ thống DM VPN Hà Nội

- Phòng thực hành: Điểm thi Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học thực hành Thiết bị:

3.1.4.3 Thiết kế hệ thống DM VPN tại cơ sở Thái Nguyên:

- Tòa nhà thư viện: Phòng đọc online, Điểm cấp phát Wife Public Thiết bị bao gồm: Spoke2(ISR 4321), Switch Layer 2, Switch Layer 3, Hub, Wife Public, PC.

- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và các phòng ban) Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.

- Phòng thực hành: Điểm thi Online cung cấp đường truyền tốc độ cao giúp sinh viên thi trắc nghiệm và học Thiết bị:

Hình 3.3 Sơ đồ vị trí hệ thống DM VPN Vĩnh Yên

Hình 3.4 Sơ đồ vị trí hệ thống DM VPN Thái Nguyên

3.1.4.4 Hệ thống DM VPN tổng hợp bao gồm 3 cơ sở ( Hà Nội, Vĩnh Phúc, Thái Nguyên)

Hình 3.5 Sơ đồ vị trí hệ thống DM VPN đơn vị trường ĐH CN GTVT

Xây dựng mô hình DM VPN kết hợp giao thức IPSEC trên EVE-ng 55 3.3 Cấu hình cơ bản (DM VPN)

Hình 3.6 Sơ đồ vật lý DM VPN trên EVE_ng

Hình 3.7 Sơ đồ thiết bị DM VPN trên EVE_ng

3.3.1 Cấu hình DMVPN trên Router Cisco

Trụ sở chính tại Hà Nội đóng vai trò là Hub và Next Hop Server (NHS), chứa cơ sở dữ liệu NHRP cùng với hai nhánh (Spoke) Mục tiêu chính là kết nối các chi nhánh tới trụ sở chính và thiết lập các Tunnel khi các chi nhánh cần giao tiếp Các Tunnel này được mã hóa bằng IPSec để đảm bảo an toàn cho dữ liệu Các bước cấu hình sẽ được thực hiện để thiết lập hệ thống này.

Bước 1: Cấu hình DMVPN Hub và Next Hop Server (NHS) trên Router tại trụ sở chính

Bước 2: Cấu hình DMVPN Spoke trên các Router chi nhánh

Bước 3: Cấu hình IPSec VPN và gán vào mGRE để bảo mật dữ liệu

Bước 4: Cấu hình định tuyến giữa các DMVPN with mGRE and NHRP

Hình 3.8 Mô hình DM VPN trường ĐH CN GTVT

Hình 3.9 Cấu hình cơ bản Hub_UTT

Hình 3.10 Cấu hình cơ bản Spoke1_VY

Hub cần tạo 1 Interface Tunnel để kết nối tới tất cả các chi nhánh Chi tiết cấu hình:

R1(config-if)# tunnel source FastEthernet 0/0

R1(config-if)# tunnel mode gre multipoint

R1(config-if)# ip nhrp network-id 111

R1(config-if)# ip nhrp map multicast dynamic

DMVPN không có Tunnel Destination, được thay thế bằng lệnh tunnel mode gre multipoint để sử dụng mGRE thay cho GRE.

Lệnh nhrp map multicast dynamic cho phép chuyển tiếp lưu lượng multicast qua các tunnel, giúp DMVPN hỗ trợ các giao thức định tuyến động như EIGRP và OSPF Điều này cho phép cập nhật thông tin về mạng nội bộ của các chi nhánh khi có sự thay đổi.

111 dùng để xác định DMVPN Các

Router khi tham gia vào DMVPN phải có chung network-id.

Hình 3.11 Cấu hình cơ bản Spoke2_TN

Hình 3.12 Cấu hình DMVPN Hub_UTT

R2(config-if)# tunnel source FastEthernet 0/0

R2(config-if)# tunnel mode gre multipoint

R2(config-if)# ip nhrp network-id 222

R2(config-if)# ip nhrp nhs 10.1.1.1

R2(config-if)# ip nhrp map 10.1.1.1 200.1.1.1

R3(config-if)# tunnel source FastEthernet 0/0

R3(config-if)# tunnel mode gre multipoint

R3(config-if)# ip nhrp network-id 333

R3(config-if)# ip nhrp nhs 10.1.1.1

Để cấu hình NHRP cho router Spoke, sử dụng lệnh "ip nhrp map 10.1.1.1 200.1.1.1" để thông báo địa chỉ IP của Next Hop Server (NHS), giúp router Spoke truy vấn cơ sở dữ liệu NHRP khi cần thiết Lệnh "ip nhrp map 10.1.1.1 200.1.1.1" ánh xạ địa chỉ NHS với địa chỉ IP công cộng của Router Hub Để đảm bảo rằng các gói tin Multicast chỉ được gửi đến Hub, sử dụng lệnh "ip nhrp map multicast 1.1.1.1", ngăn chặn việc gửi gói tin giữa các Spoke Tất cả gói tin Multicast sẽ được gửi đến Hub để xử lý trước khi cập nhật xuống các Spoke Cuối cùng, lệnh "tunnel source F0/0" được cấu hình cho các Spoke với địa chỉ thích hợp.

IP động được sử dụng để thay đổi địa chỉ IP khi cần thiết Khi IP cần thay đổi, spoke sẽ cập nhật địa chỉ IP lên Next Hop Server (NHS) qua cổng F0/0 Đối với IP tĩnh, chúng ta có thể chỉ định trực tiếp địa chỉ IP WAN trong lệnh tương ứng.

Hình 3.13 Cấu hình DMVPN SPOKE1-VY

Hình 3.14 Cấu hình DMVPN SPOKE2-TN

Sử dụng lệnh show dmvpn để kiểm tra xem các router Spoke đã tạo Tunnel kết nối đến Hub hay chưa:

Kiểm tra trên Router Spoke:Spoke1, Spoke2

Hiện tại, sau khi cấu hình xong, các Router Spoke chỉ hiển thị Tunnel với Hub, vì các Tunnel này là tunnel tĩnh và có thuộc tính S Khi cần kết nối giữa các chi nhánh, các Spoke sẽ tạo các Tunnel động để giao tiếp, và khi hiển thị thông tin DMVPN, sẽ có thêm thông tin về chi nhánh mà chúng ta kết nối đến với thuộc tính D.

3.3.5 Định tuyến giữa các DMVPN Tunnel

Để cấu hình định tuyến cho các Router biết khi nào gửi gói tin qua DMVPN Tunnel, chúng ta cần sử dụng định tuyến tĩnh hoặc động như EIGRP, OSPF Việc cho phép gói tin multicast đi qua tunnel được thực hiện bằng lệnh "ip nhrp map multicast dynamic" Định tuyến giao thức EIGRP là một lựa chọn hiệu quả trong quá trình này.

R1(config-if)# no ip split-horizon eigrp 100

R1(config-if)# no ip next-hop-self eigrp 100

R2(config-if)# ip nhrp map multicast 200.1.1.1

R3(config-if)# ip nhrp map multicast 200.1.1.1

Như vậy là chúng ta đã cấu hình xong DMVPN kết hợp với mGRE, NHRP và IPSec để kết nối các chi nhánh Kiểm tra thiết bị

Hình 3.17 Cấu hình giao thức Eigrp trên R1, R2, R3

R2# show ip route eigrp | begin Gate

Xây dựng mã hóa DMVPN mGRE TUNNEL với Ipsec

3.4.1 Bảng so sánh ISAKMP Policy và IPSec Policy

Bảng 3.1 Bảng so sánh ISAKMP Policy và IPSec Policy Hình 3.18 Kiểm tra giao thức Eigrp trên Hub_UTT

Protect the traffic between1.1.1.0/24, 2.2.2.0/24, and 3.3.3.0/24 using an IPSec VPN based on the policy shown

Authentication: Pre-shared Encryption: ESP-3DES

Hash: MD5 Hash: ESP-MD5-HMAC

DH Group: 2 Proxy-ID/Crypto ACL: 1.1.1.1 2.2.2.2 Encryption: 3DES Encryption: ?

Cấu hình IPSec và isakmp tương tự nhau trên 3 Router, chi tiết cấu hình:

R1(config-isakmp)# authentication pre-share

R1(config)# crypto isakmp key cisco address 0.0.0.0

R1(config)# crypto ipsec transform-set TSET esp-des esp-md5- hmac

R1(cfg-crypto-trans)# mode transport

R1(config)# crypto ipsec profile TST

R1(ipsec- profile)# set transform-set

R1(config-if)# tunnel protection ipsec profile TST

Lệnh crypto isakmp key cisco với địa chỉ IP 0.0.0.0 được sử dụng trong các chi nhánh có mô hình IP động, cho phép khớp với tất cả các địa chỉ IP.

Kiểm tra crypto ipsec sa trên R1, R2, R3

Hình 3.19 Cấu hình IPSec và isakmp trên Hub_UTT

Hình 3.20 Cấu hình IPSec và isakmp trên Spoke1, Spoke2

Hình 3.21 Kiểm tra IPSec trên Hub, Spoke1, Spoke2

Kiểm tra crypto isakmp sa trên R1, R2, R3

R2# show crypto ipsec sa | include local|remote|#pkts

R1# show crypto ipsec sa | include local|remote|#pkts

Hình 3.22 Kiểm tra isakmp trên Hub, Spoke1, Spoke2

Hình 3.20 Kiểm tra gói tin Spoke1 đến Spoke2

Hình 3.23 Kiểm tracrypto ipsec saSpoke1_UTT

R1# show crypto ipsec sa | include local|remote|#pkts

Hình 3.24 Kiểm tracrypto ipsec saHub_UTT

Hình 3.25 Kiểm tracrypto ipsec saSpoke2_UTT

Hình 3.26 Kiểm tra loopback0 (Hub, Spoke1, Spoke2)

Kiểm tra, phân tích bắt gói tin bằng Wireshark

Thực hiện kiểm tra gói tin từ HUB_UTT (HN) => SPOKE1_UTT (VY)

3.5.2 Chọn cổng f0/0 và chạy phần mềmWireshark:

Hình 3.27 Kiểm tra gói tin HUB_UTT (Hà Nội) =>

Hình 3.28 Chọn cổng f0/0 trên HUB_UTT

3.5.4 Thực hiện bắt gói tin trên VMware Network Adapter VMnet8

3.5.5 Thực hiện bắt gói tin trên màu xanh xám TCP, UDP

Hình 3.29 VMware Network Adapter VMnet8

Hình 3.30 Bắt gói tin trên màu xanh xám TCP, UDP

Hình 3.31 Phân tích gói tin

Bảng giá dự trù kinh phí thiết bị

3.6.1 Price list giá Router Cisco từ hãng mới nhất

Bảng 3.2 Bảng danh sách báo giá thiết bị Cisco

Product mã Description mô tả List

ISR4331/K9 Cisco ISR 4331 (3GE,2NIM,1SM,4G

ISR4321/K9 Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G

Cisco 3650-24ps Cisco Catalyst 3650 24 Port Data 4x1G

Wireless 9800 Wireless LAN Cisco Catalyst 9800

48 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

24 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

3.6.2 Bảng báo giá thiết bị

Bảng 3.3 Bảng dự trù kinh phí lắp đặt thiết bị Cisco

STT Tên sản phầm Đơn giá Số lượng Thành tiền Ghi chú

1,378,726,711 VNĐChú ý: Chưa tính công lắp đặt, ống gen, và chi phí khác

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI

Tóm tắt kết quả đạt được:

- Hoàn thành tìm hiểu lý thuyết về hê thống DM VPN trong hệ thống mạng doanh nghiệp.

Hệ thống DM VPN tại trường Đại học Công nghệ GTVT đã được xây dựng và cấu hình thành công theo mô hình Hub to Spoke Trong đó, Hub đặt tại Hà Nội, Spoke1 tại Vĩnh Yên và Spoke2 tại Thái Nguyên.

- Cấu hình được crypto Ipsec và isakmp

- Bắt và phân tích gọi tin trên phần mềm Wireshark

- Lập bảng dự trù báo giá thiết bị Cisco

- Chưa khai thác được nhiều tiềm năng từ DM VPN

- Chưa xây dựng được hệ thống Spoke to Spoke mà không cần thông qua Hub Kết luận:

Hệ thống DM VPN đang ngày càng phổ biến tại Việt Nam, đặc biệt trong các ngân hàng sử dụng thẻ ATM Ngoài ra, hệ thống này còn hỗ trợ cân bằng tải và đáp ứng nhu cầu của cuộc cách mạng công nghiệp 4.0, nơi trí tuệ nhân tạo (AI) đang đóng vai trò quan trọng.

- Giúp đường truyền ổn định hơn, tốc độ cao hơn trong hệ thống trường học

Giải pháp này nổi bật với chi phí thấp, bảo mật cao, giảm thiểu độ phức tạp trong cấu hình, dễ dàng mở rộng và nâng cao tính linh hoạt của hệ thống mạng.

- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN Tunnel như RIP, EIGRP, OSPF, BGP.

Khả năng thiết lập kết nối tự động và trực tiếp giữa các kênh Spoke-to-spoke IPSec giữa các site mà không cần thông qua router trung tâm (hub) nhờ vào công nghệ mGRE và NHRP giúp giảm tải hiệu quả cho Router Hub.