Đang tải... (xem toàn văn)
Chắc hẳn bạn đã từng nghe qua khái niệm về VPN.Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa.Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec.
Báo cáo đề tài: Trường Đại học Khoa Học Tự Nhiên Thành Phố Hồ Chí Minh Khoa Điện tử - Viễn thông Giảng viên hướng dẫn: Ths. Nguyễn Việt Hà Ths. Trần Thị Thảo Nguyên Tên MSSV 1. Hoàng Ngọc Ân 0920003 2. Nguyễn Văn Lâm 0920056 3. Nguyễn Thị Hồng Linh 0920059 4. Lê Chung Ngọc Phương 0920094 5. Lương Dương Quân 0920100 Danh sách nhóm phản biện: Tháng 12 năm 2012 Dynamic VPN 2 MỤC LỤC: I. Sơ lược về DMVPN: 3 1. Sự ra đời của DMVPN: 3 2. Tổng quan về Dynamic VPN: 4 a) Khái niệm: 4 b) Tính chất: 4 c) Sự giảm cấu hình: 4 d) Định tuyến với DMVPN: 5 e) Cách tạo tunnel động: 6 f) DMVPN sử dụng hoặc không sử dụng IPSec: 6 3. Triển khai DMVPN: 6 II. Các giao thức: 7 1. IPsec 7 2. GRE over IPSec: 15 3. Giao thức GRE: 16 a) Các loại GRE: 16 b) Cơ chế hoạt động của GRE: 16 c) Point-to-Point GRE: 17 d) Giao thức mGRE trong DVPN : 18 4. Giao thức NHRP: 20 a) Chức năng NHRP: 20 b) Lợi ích của NHRP cho NBMA: 20 c) Sự đăng kí của NHRP: 20 d) Sự phân giải NHRP và chuyển hướng: 20 e) mGRE sử dụng NHRP: 22 III.Tóm tắt hoạt động DMVPN 25 IV. Mô phỏng DMVPN trên phần mềm GNS3: 30 V. Tài liệu tham khảo: 37 Dynamic VPN 3 Chắc hẳn bạn đã từng nghe qua khái niệm về VPN.Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa.Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec. Phát triển dựa trên kỹ thuật VPN đó là Dynamic Multipoint VPN, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central).Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Dynamic Multipoint VPN (DMVPN) là một sự kết hợp của mGRE, NHRP, và IPsec. NHRP cho phép các máy kết nối có địa chỉ động (ví dụ: Dial và DSL) với GRE / IPsec tunnels. Dựa trên mô hình hub và spoke. I. Sơ lược về DMVPN: 1. Sự ra đời của DMVPN: - Để triển khai mô hình mạng LAN trên diện rộng ở quy mô toàn thế giới người ta áp dụng nhiều giải pháp khác nhau nhằm đáp ứng nhu cầu của các cá nhân, doanh nghiệp… đồng thời đảm bảo được tính bảo mật của thông tin trên nền Internet. Điển hình như sử dụng đường truyền lease line (khá tốn kém và khó khăn khi kết nối ở khoảng cách lớn), ATM hoặc Frame Relay (chi phí khá cao). - Do đó công nghệ VPN ra đời nhằm khắc phục những nhược điểm về chi phí nhưng vẫn đảm bảo được tính bảo mật. Tuy nhiên người dùng phải thuê những địa chỉ tĩnh và router đóng vai trò trung tâm (Hub) cũng phải chịu một lượng tải khá lớn và cấu hình khá phức tạp đối với những mô hình mạng có quá nhiều chi nhánh (Spoke). Dựa trên nền VPN công nghệ Dynamic VPN (DMVPN) ra đời nhằm cải thiện những khuyết điểm của VPN kể trên. Một số ưu điểm nổi bật: o Cấu hình trên Hub đơn giản. o Kết nối giữa các Spoke được thực hiện một cách tự động. o Chi phí thấp hơn VPN thông thường. o Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá bỏ sau một thời gian không hoạt động đã cấu hình sẵn. o Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke. Dynamic VPN 4 2. Tổng quan về Dynamic VPN: a) Khái niệm: - Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hệ điều hành Cisco xây dựng làm cho công nghệ VPN với IPSec + GRE VPN trở nên đơn giản, tự động và khả năng mở rộng cao - Được kết hợp giữa hai công nghệ: Next Hop Resolution on Protocol (NHRP): tạo nên phân khối NHRP để lập bản đồ cơ sở dữ liệu của tất cả các đường hầm spoke. Multipoint GRE tunnel interface: Một giao diện GRE hỗ trợ nhiều GRE và đường hầm IPSec làm đơn giản kích thước và mức độ cấu hình. - Một số công ty muốn kết nối các site chi nhánh với nhau, trong khi đồng thời kết nối với site chính qua Internet, nó sẽ có lợi cho lưu lượng spoke to spoke để đi trực tiếp hơn là thông qua một site hub. Với giải pháp IPsec Dynamic VPN (DMVPN), các site spoke sẽ có thể tự động thiết lập kết nối an toàn giữa chúng. - DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static and dynamic) theo yêu cầu của đường hầm. b) Tính chất: Giảm cấu hình cho router Hub. Hỗ trợ IP Unicast, Multicast và định tuyến động. Hỗ trợ từ xa với địa chỉ cấu hình tự động cho spoke. Spoke router với cấu hình dynamic NAT và Hub router với cấu hình statics NAT. Tự tạo tunnels spoke to spoke. Tạo điều kiện không cần trực tiếp cấu hình khi có một spoke mới được bổ sung. Có IPSec hoặc không có IPSec. Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke được thiết lập. c) Sự giảm cấu hình: Trước DMVPN: p-p GRE + IPSec - Một GRE cho một spoke. - Tất cả các tunnel phải được xác định trước. Sử dụng tunnel đích tĩnh. Dùng DMVPN: mGRE + IPSec - Một interface mGRE hỗ trợ tất cả các spoke. - Tunnel đích tự động hỗ trợ cho địa chỉ động của spoke. Dynamic VPN 5 Yêu cầu địa chỉ tĩnh cho spoke. - Cấu hình Hub lớn Cần nhiều interface GRE. Cần cấu hình trực tiếp nhiều địa chỉ cho nhiều spoke. Thêm spoke thì cần phải trực tiếp thay đổi cấu hình trên Hub. Lưu thông spoke to spoke đều thông qua Hub. - Hub cấu hình đơn giản hơn Một giao diện cho tất cả các spoke. Cấu hình có NHRP. Tất cả các spoke có cùng một subnet. Không cần cấu hình Hub khi có thêm spoke. Lưu thông spoke to spoke có thể thông qua hub hoặc trực tiếp. d) Định tuyến với DMVPN: Định tuyến động được yêu cầu qua đường hầm hub to spoke.Spoke học tất cả các mạng riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi từ hub. Các giao thức định tuyến được dùng: Enhanced Interior Gateway Routing Protocol (EIGRP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) Routing Information Protocol (RIP) (**) Có thể sử dụng cho spoke to spoke. Dynamic VPN 6 e) Cách tạo tunnel động: - Mỗi spoke có một đường hầm vĩnh viễn GRE/IPSec với các Hub nhưng không nối các spoke. Chúng được đăng kí như clients của NHRP server. - Khi một spoke gửi một gói tin đến một đích đến (private) subnet của một spoke khác, nó sẽ truy vấn NHRP server tìm địa chỉ đích của spoke đó. - Sau đó spoke tự tạo tunnel động GRE/IPSec đến spoke mục tiêu. (Vì nó đã biết địa chỉ đích) - Tunnel spoke to spoke được xây dựng qua mGRE. f) DMVPN sử dụng hoặc không sử dụng IPSec: - DMVPN được xây dựng bởi một hệ thống mạng với mạng lưới đường hầm động. - Có thể chạy mà không có mã hóa. - IPSec được kích hoạt thông qua việc “Bảo vệ đường hầm” (Tunnel Protection). • NHRP kích hoạt IPSec trước khi cài bản đồ mới. • NHRP cài đặt mapping và gửi đăng kí nếu cần thiết. • NHRP thông báo cho nhau khi một mapping hoặc dịch vụ bị xóa. 3. Triển khai DMVPN: - Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai.Đó là hub-and-spoke vàspoke-and-spoke. Hub là trung tâm (central), tức là hệ thống mạng WAN đặt ở trungtâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Dynamic VPN 7 Mô hình triển khai DMVPN Trên hình, đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke.Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Site-to-Site. Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau. II. Các giao thức: 1.IPsec - IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác. IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật. - IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP. - IPSec hỗ trợ nhiều thuật toán dùng để mã hóa dữ liệu và chứng thực đầu cuối. Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau: + Tính bảo mật dữ liệu – Data confidentiality Dynamic VPN 8 + Tính toàn vẹn dữ liệu – Data Integrity + Tính chứng thực nguồn dữ liệu – Data origin authentication + Tính tránh trùng lặp gói tin – Anti-replay Các giao thức của IPSec: - Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức: + IKE (Internet Key Exchange) + ESP (Encapsulation Security Payload) + AH (Authentication Header) - IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra. - SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA - Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa Dynamic VPN 9 của các attacker. + IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley. + ISAKMP:là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA + Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie- Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật. - Giao thức IKE dùng UDP port 500. Các giai đoạn (phase) hoạt động của IKE: Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5 tùy chọn. IKE phase 1: Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA. Dynamic VPN 10 Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode. Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là: - Thuật toán mã hóa: DES, 3DES, AES - Thuật toán hash: MD5, SHA - Phương pháp chứng thực: Preshare-key, RSA - Nhóm khóa Diffie-Hellman (version của Diffie-Hellman) Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau: - 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật - 2 message tiếp theo trao đổi khóa Diffire-Hellman - 2 message cuối cùng thực hiện chứng thực giữa các thiết bị Aggressive mode: sử dụng 3 message - Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman - Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận - Message cuối cùng sẽ chứng thực bên vửa gửi. Phase 1.5: Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật. Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN IKE phase 2: Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2. Các thông số mà Quick mode thỏa thuận trong phase 2: - Giao thức IPSec: ESP hoặc AH - IPSec mode: Tunnel hoặc transport - IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định. - Trao đổi khóa Diffie-Hellman [...]... tin mới là địa chỉ NMBA Multicast packets chỉ được gởi đến mạng từ xa cụ thể được xác định bằng cấu hình NHRP - Đường dẫn mGRE/NHRP Path 22 Dynamic VPN Cách hoạt động NHRP NHRP yêu cầu đăng kí: 23 Dynamic VPN NHRP trả lời đăng kí: Cách học của NHRP 24 Dynamic VPN Spoke sẽ gởi yêu cầu phân giải của NHRP đến NHS của nó để học địa chỉ NBMA Chuỗi địa chỉ có thể là địa chỉ mạng Lý tưởng,... chu kỳ Timeout(có thể thiết lập), entry NHRP hết hạn, IPsec sẽ tháo bỏ đường hầm giữa 2 Spoke 29 Dynamic VPN IV Mô phỏng DMVPN trên phần mềm GNS3: Mô hình mô phỏng có kiến cấu trúc mạng tương tự như hình dưới đây: Dưới đây là thông tin cấu hình trên các router Hub, Spoke mà nhóm đã thực hiện: 30 Dynamic VPN Thông tin cấu hình trên Router Center (Hub), sau khi đã “show run” chúng ta được: Hostname... tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thểtruyền dữ liệu Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được.Để làm được việc này thì phải cần đến mGRE 17 Dynamic VPN d) Giao thức mGRE trong DVPN : Giao thức GRE được xác định: 1.Tunnel interface : interface tunnel 0 2.Tunnel address : ip address... 255.0.0.0 Tunnel source ethernet0/0 […… ] Trong đó: 10.0.0.1 là địa chỉ tunnel 0 của router A 172.16.0.1 là địa chỉ NBMA 18 Dynamic VPN Tunnels mGRE Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast.Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS Tuy nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần một giao thức để ánh xạđịa chỉ tunnel... địa chỉ VPN IP đến NBMA IP DMVPN GRE Interfaces: Trong DMVPN , Hub phải có 1 điểm nối đến mGRE Spokes có thể có 1 điểm để đến điểm của GRE interface hoặc mGRE interface Phải sử dụng mGRE xuyên suốt quá trình Chú ý: Giao thức GRE point-to-point không cho kết nối tunnel trực tiếp giữa spoketo-spoke o Vì mGRE tunnels không có xác định tunnel đích, chúng không thể sử dụng độc lập o NHRP thông báo mGRE.. .Dynamic VPN IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode Encapsulating Security Header (ESP) ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch vụ chống tấn công Anti-reply 11 Dynamic VPN. .. 25 2 Router Dynamic VPN tại Spoke A xem bảng định tuyến của nó để tìm một đường mạng đến đường mạng đích (192.168.2.0) thuộc Spoke B.Bảng định tuyến trả về địa chỉ next-hop của 10.0.0.12 thông qua interface tunel0 của Spoke A 3 Spoke A tra địa chỉ 10.0.0.12 trong bảng NHRP mapping và không tìm thấy mục tương ứng Vì vậy nó gửi một gói tin truy vấn địa chỉ NHRP cho NHRP server 26 Dynamic VPN 4 NHRP server... 27 Dynamic VPN 6 Bây giờ, đường hầm đã được xây dựng đên Spoke B, Spoke A sẽ gửi dữ liệu đến Spoke B Chú ý: Việc truyền dữ liệu có thể thực hiện từ 2 phía 7 Web server nhận gói tin từ PC và gửi trả lời.Việc kích hoạt này tại Spoke B giống các bước 2, 3, 4 đã làm tại Spoke A Ngay khi B có NHRP mapping cho A, gói tin trả lời của A có thể gửi trực tiếp đến A Bây giờ đường hầm đã hoàn tất 28 Dynamic VPN. .. chống tấn công Anti-Replay 12 Dynamic VPN - Authentication Header (AH) AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu.Phần Header của AH đơn giản hơn nhiều so với EPS AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header Trong chế độ Transport, 13 Dynamic VPN giá trị giao thức lớp trên... sử dụng IPSec, trong chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header Qua đó AHtrong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật Tuy nhiên phần nội dung của gói tin là không được bảo mật 14 Dynamic VPN 2 GRE over IPSec: - GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền - Khi IPSec kết hợp với . phòng. Dynamic VPN 7 Mô hình triển khai DMVPN Trên hình, đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke.Như vậy, Hub-and-Spoke. mapping hoặc dịch vụ bị xóa. 3. Triển khai DMVPN: - Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai.Đó là hub-and-spoke vàspoke-and-spoke. Hub là trung tâm (central), tức là. tunneling) tại site spoke. Dynamic VPN 4 2. Tổng quan về Dynamic VPN: a) Khái niệm: - Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hệ điều