BÁO CÁO ĐỀ TÀI Dynamic Multipoint VPN Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau.
Trang 1ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM
KHOA ĐIỆN TỬ VIỄN THÔNG
BÁO CÁO ĐỀ TÀI
Dynamic Multipoint VPN
Giáo viên hướng dẫn : Trần Thị Thảo Nguyên
Sinh Viên Thực Hiện : Ngô Đức Quyết 0920102
Trang 2I Giới thiệu công nghệ DMVPN (Dynamic Multipoint VPN)
1 Đặt vấn đề:
Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau
Có rất nhiều giải pháp được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp ứng nhu cầu bảo mật thông tin khi nó được truyền ngang qua mạng internet – môi trường không bảo mật Những giải pháp này có thể là thuê những đường truyền leased line Như vậy vừa bảo mật vừa có băng thông nhiều Tuy nhiên nó không khả thi khi phải kết nối những nơi cách xa nhau Giải pháp khác là sử dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ Tuy nhiên, chi phí cho giải pháp này cũng khá cao
VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ
ra chi phí vừa phải Hiện nay VPN đang được sử dụng rất rộng rãi Công nghệ này ngày càng phát triển Mặc dù vậy, VPN thông thường có những nhược điểm của nó Đó là các điểm kết nối phải thuê những địa tĩnh; đồng thời trên router đóng vai trò trung tâm phải thực hiện việc cấu hình khá nhiều và phức tạp Thêm vào đó, khi các điểm muốn kết nối với nhau phải thông qua router trung tâm này mà không thể kết nối trực tiếp được Từ những hạn chế trên nảy sinh công nghệ DMVPN Công nghệ này là một bước phát triển của VPN nhằm cải thiện những hạn chế trên Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông thường
Để hiểu DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu, chúng ta xét một mô hình VPN sử dụng IPSec( Internet Protocol Security) và GRE (Generic Routing Encapsulation)
Trang 3Mô hình Hub-and-Spoke
Mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA và SpokeB) qua internet Với việc sử dụng VPN thông thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB
Nhưng mô hình trên phát sinh một số hạn chế:
Khi tạo tunnel point-to-point, điều bắt buộc là chúng ta phải biết địa chỉ IP của nguồn và đích Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao
Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiều tunnel Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router HUB là khá lớn Cho nên router HUB phải là một router được trang bị bộ nhớ và CPU mạnh, tốn kém
Khi spoke A muốn giao tiếp với spokeB, nó phải thông qua HUB Điều này không linh động
Những hạn chế trên được giải quyết trong DMVPN Với DMVPN, trên mỗi router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint) Với việc sử dụng mGRE sẽ giải quyết được hai hạn chế:
Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử
Trang 4địa chỉ đích thì sẽ nhờ một giao thức khác xác định Trên router HUB cũng bắt buộc phải
là một địa chỉ tĩnh
Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE Nếu thêm một spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm Điều này làm giảm tải ở router HUB
Tuy nhiên, như đã nói, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP (Next Hop Resolution Protocol)
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường
Mô hình DMVPN
2 Khái niệm DMVPN:
Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hệ điều hành Cisco, là sự kết hợp của các công nghệ IPsec, mGRE và NHRP Các công nghệ này kết hợp lại cho phép được triển khai IPsec trong mạng riêng ảo một cách
dễ
Trang 53 Ưu điểm:
Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hoá việc thêm, xoá các site spoke
Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá
bỏ sau một thời gian không hoạt động đã cấu hình sẵn
Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke
Tạo ra một kích thước cấu hình cố định trên router hub kể cả khi thêm một router spoke vào mạng VPN
mGRE (Generic Routing Encapsulation): Giao thức truyền trên đường hầm, đóng gói các loại gói tin thành một loại lớn trong đường hầm IP, sau đó kết nối point to point
ảo với các router ở xa trong cấu trúc mạng IP Cho phép một giao diện GRE hỗ trợ nhiều đường hầm IPsec
NHRP (Next Hop Resolution Protocol): Giao thúc được sử dụng bởi các router để phát hiện địa chỉ MAC của các router và các host khác Hub duy trì cơ sở dữ liệu của địa chỉ thực của tất cả các spoke, mỗi spoke đăng kí địa chỉ thực của nó khi khởi động Sau
đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích để xây dựng đường hầm trực tiếp
Trang 67 Định tuyến với DMVPN:
Định tuyến động được yêu cầu qua đường hầm hub to spoke Spoke học tất cả các mạng riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi
từ hub Các giao thức định tuyến được dùng:
Enhanced Interior Gateway Routing Protocol (EIGRP)
Open Shortest Path First (OSPF)
Border Gateway Protocol (BGP)
Routing Information Protocol (RIP)
8 Các giao thức trong DVPN:
- IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền
thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực
Hình 1: framework của IPsec
Trang 7Ipsec cung cấp các dịch vụ bảo mật:
Tính bảo mật dữ liệu – Data confidentiality
Tính toàn vẹn dữ liệu – Data Integrity
Tính chứng thực nguồn dữ liệu – Data origin authentication
- Encapsulating Security Header (ESP)
Hình 2: Mô tả Encapsulating Security Header
ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch
vụ chống tấn công Anti-reply
Trang 8Gói dữ liệu IP được bảo vệ bởi ESP
ESP điền giá trị 50 trong IP Header ESP Header được chèn vào sau IP Header và trước Header của giao thức lớp trên IP Header có thể là một IP Header mới trong chế
độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport
Gói IP được bảo vệ bởi ESP trong chế độ
Transport
Gói IP được bảo vệ bởi ESP trong chế độ Tunnel
Trang 9Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị
32 bit được tích hợp với địa chỉ đích và giao thức trong IP Header
SPI là một số được lựa chọn bởi Host đích trong suốt quá trình diễn ra thương lượng Public Key giữa các Peer-to-Peer Số này tăng một cách tuần tự và nằm trong Header của người gửi SPI kết hợp với cơ chế Slide Window tạo thành cơ chế chống tấn công Anti-Replay
Hình 3: Hai mode truyền của ESP
- Authentication Header (AH)
Trang 10AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu Phần Header của AH đơn giản hơn nhiều so với EPS
AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header Trong chế
độ Transport, gá trị giao thức lớp trên được bảo vệ như UPD, TCP , trong chế độ Tunnle, giá trị này là 4 Vị trí của AH trong chế độ Transport và Tunnle như trong hình sau:
Gói IP được bảo vệ bởi AH
Gói IP được bảo vệ bởi AH trong chế độ Transport
Trang 11Trong chế độ Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header Qua đó AH trong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật Tuy nhiên phần nội dung của gói tin là không được bảo mật
Hình 4: Biểu diễn Authentication Header Gói IP bảo vệ bởi AH trong chế độ Tunnel
Trang 12Bảng so sánh tính chất của AH và ESP
GRE-Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, Giao thức này sẽ đóng gói một số kiểu gói tin vào bên trong các IP tunnels để tạo thành các kết nối điểm-điểm (point-to-point) ảo Các IP tunnel chạy trên hạ tầng mạng công cộng
Gói tin sau khi đóng gói được truyền qua mạng IP và sử dụng GRE header để định tuyến Mỗi lần gói tin GRE đi đến đích, lần lượt các header ngoài cùng sẽ được gỡ bỏ cho đến khi gói tin ban đầu được mở ra
GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả Nó có thể tạo tunnel cho bấy kì giao thức lớp 3 nào
GRE cho phép những giao thức định tuyến hoạt động trên kênh truyền của mình
GRE không có cơ chế bảo mật tốt Trong khi đó, IPSec cung cấp sự tin cậy cao Do đó nhà quản trị thường kết hợp GRE với IPSec để tăng tính bảo mật, đồng thời cũng hỗ trợ IPSec trong việc định tuyến và truyền những gói tin có địa chỉ IP Muliticast
8.2.1 Các loại GRE:
Trang 13GRE là giao thức có thể đóng gói bất kì gói tin nào của lớp network GRE cung cấp khả năng có thể định tuyến giữa những mạng riêng (private network) thông qua môi trường Internet bằng cách sử dụng các địa chỉ IP đã được định tuyến
GRE truyền thống là point-to-point, còn mGRE là sự mở rộng khái niệm này bằng việc cho phép một tunnel có thể đến được nhiều điểm đích, mGRE tunnel là thành phần
cơ bản nhất trong DMVPN
8.2.2 Point-to-Point GRE:
Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai tunnel, một đến R2 và một đến R3 Mỗi tunnel như vậy thì cần một địa chỉ IP Giả sử mô hình trên được mở rộng thành nhiều spoke, thì trên R1 cần phải cấu hình phức tạp và tốn không gian địa chỉ IP
Trang 14Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thể truyền dữ liệu Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được Để làm được việc này thì phải cần đến mGRE
8.2.3 Point-to-Multipoint GRE (mGRE):
Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS Tuy nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần một giao thức để ánh xạ địa chỉ tunnel sang địa chỉ cổng vật lý Giao thức này được gọi là NHRP (Next Hop Resolution Protocol)
Trang 15Đối với các mGRE Tunnel thì mỗi router chỉ có một Tunnel được cấu hình cùng một subnet logical
8.2.4.1 Tính năng:
Giao thức IPSec có độ an toàn và bảo mật cao, trong khi GRE thì bản thân nó không bảo mật Nhưng ngược lại, GRE cung cấp khả năng định tuyến và hỗ trợ multicast còn IPSec thì không Do đó, sự kết hợp giữa IPSec và GRE tạo nên một giải pháp tối ưu khi triển khai mạng DMVPN, mang lại các tính năng sau:
Sự bảo mật, toàn vẹn dữ liệu và chứng thực đầu cuối
Tăng khả năng mở rộng cho việc thiết kế mạng
Đáp ứng các ứng dụng multicast
Trang 168.2.4.2 Hoạt động:
GRE over IPSec là sự kết hợp giữa GRE và IPSec Lúc này các gói tin GRE sẽ được truyền dẫn qua kênh truyền bảo mật do IPSec thiết lập Điều này được thực hiện thông qua việc IPSec sẽ đóng gói packets GRE bởi các tham số bảo mật của mình GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
Có nhiều lớp IP bên trong một gói tin GRE over IPSec Lớp trong cùng là gói tin IP ban đầu Gói tin này được bao bọc trong một GRE header để cho phép chạy những giao thức định tuyến bên trong GRE tunnel Cuối cùng, IPSec được thêm vào lớp ngoài cùng để cung cấp sự bảo mật và toàn vẹn Kết quả là hai site có thể trao đổi thông tin định tuyến
và những mạng IP với nhau một cách an toàn
GRE over IPSec thường sử dụng chế độ transport, nếu những điểm cuối GRE và IPSec là một, ngược lại thì sử dụng tunnel mode Dù sử dụng tunnel hay transport mode,
IP header và gói tin ban đầu cũng được bảo vệ một cách đầy đủ
8.3.1 Tương tác NHRP và mạng NBMA (Nonbroadcast
Trang 17này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian Hai chức năng của NHRP hỗ trợ cho các mạng NBMA:
- Giao thức NHRP giống như giao thức phân giải địa chỉ cho phép Next Hop Clients (NHCs) được đăng ký một cách linh động với Next Hop Servers (NHSs) Điều này cho phép NHCs được nối đến mạng NBMA mà không cần thay đổi cấu hình trên NHSs, đặc biệt là trong trường hợp NHCs có địa chỉ IP vật lý động hoặc là Router có Network Address Translation (NAT) sẽ làm thay đổi địa chỉ IP vật lý Trong các trường hợp này nó không thể cấu hình lại được logical Virtual Private Network (VPN IP) đến physical (NBMA IP) mapping cho NHC trên NHS Chức năng này được gọi
là sự đăng ký NHRP
- NHRP là một giao thức phân giải cho phép một NHC client (Spoke) để định vị logical VPN IP đến NBMA IP mapping cho NHC client khác (spoke) trong cùng mạng NBMA Nếu không có sự định vị này, các gói tin IP đang đi từ các host của một spoke này đến các host của một spoke khác sẽ đi qua hướng của NHS (hub) Điều này
sẽ làm tăng sự sử dụng băng thông của hub và CPU cho việc xử lý các gói tin này Đây thường được gọi là hair-pinning Với NHRP, các hệ thống học địa chỉ NBMA của các hệ thống khác được cố định đến mạng NBMA một cách linh động , cho phép các mạng thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian Điều này làm giảm tải trên hop trung gian (NHS) và có thể tăng băng thông tổng của mạng NBMA được lớn hơn băng thông của hub
8.3.2 Lợi ích của NHRP cho NBMA:
Router, Access Server, và các host có thể sử dụng NHRP để tìm địa chỉ của các Router và các host khác kết nối đến mạng NBMA Riêng mạng NBMA lưới là được cấu hình với nhiều mạng hợp lại để cung cấp đầy đủ các kết nối cho các lớp mạng Như trong các cấu hình, các gói tin có thể tạo một vài hops qua mạng NBMA trước khi đến tại đầu
ra Router(Mạng đích gần nhất Router)
Trang 18- Mạng NBMA được coi là NonBroadcast vì nó không hỗ trợ Broadcasting (vd: một mạng IP mGRE tunnel) hoặc Broadcasting quá tốn kém (vd: SMDS Broadcast group quá lớn)
- NRP cung cấp giống như giao thức ARP để giảm các vấn đề mạng NBMA Với NHRP, các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động, cho phép các hệ thống này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian
8.3.3 Next Hop Server Selection:
NHRP resolution request đi qua một hoặc nhiều hop (hubs) trong mạng con NBMA hub-to-spoke trước khi phát đáp ứng đến trạm cần đến Mỗi trạm (gồm trạm nguồn lựa chọn NHS lân cận để nó forward request NHS chọn phương pháp điển hình để thực hiện định tuyến dựa trên địa chỉ đích lớp mạng của NHRP request NHRP resolution request cuối cùng đến trạm nơi mà phát NHRP resolution reply Trạm đáp ứng này đưa ra
