Chắc hẳn bạn đã từng nghe qua khái niệm về VPN.Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa.Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec.
Trang 1Báo cáo đề tài:
Khoa Điện tử - Viễn thông
Giảng viên hướng dẫn: Ths Nguyễn Việt Hà
4 Lê Chung Ngọc Phương 0920094
Danh sách nhóm phản biện:
Tháng 12 năm 2012
Trang 22
MỤC LỤC:
I Sơ lược về DMVPN: 3
1 Sự ra đời của DMVPN: 3
2 Tổng quan về Dynamic VPN: 4
a) Khái niệm: 4
b) Tính chất: 4
c) Sự giảm cấu hình: 4
d) Định tuyến với DMVPN: 5
e) Cách tạo tunnel động: 6
f) DMVPN sử dụng hoặc không sử dụng IPSec: 6
3 Triển khai DMVPN: 6
II Các giao thức: 7
1 IPsec 7
2 GRE over IPSec: 15
3 Giao thức GRE: 16
a) Các loại GRE: 16
b) Cơ chế hoạt động của GRE: 16
c) Point-to-Point GRE: 17
d) Giao thức mGRE trong DVPN : 18
4 Giao thức NHRP: 20
a) Chức năng NHRP: 20
b) Lợi ích của NHRP cho NBMA: 20
c) Sự đăng kí của NHRP: 20
d) Sự phân giải NHRP và chuyển hướng: 20
e) mGRE sử dụng NHRP: 22
III.Tóm tắt hoạt động DMVPN 25
IV Mô phỏng DMVPN trên phần mềm GNS3: 30
V Tài liệu tham khảo: 37
Trang 33
Chắc hẳn bạn đã từng nghe qua khái niệm về VPN.Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa.Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec
Phát triển dựa trên kỹ thuật VPN đó là Dynamic Multipoint VPN, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central).Dynamic
là động, có nghĩa là kết nối này hoàn toàn tự động
Dynamic Multipoint VPN (DMVPN) là một sự kết hợp của mGRE, NHRP, và IPsec
NHRP cho phép các máy kết nối có địa chỉ động (ví dụ: Dial và DSL) với GRE / IPsec tunnels
Dựa trên mô hình hub và spoke
I Sơ lược về DMVPN:
1 Sự ra đời của DMVPN:
- Để triển khai mô hình mạng LAN trên diện rộng ở quy mô toàn thế giới người ta áp dụng nhiều giải pháp khác nhau nhằm đáp ứng nhu cầu của các cá nhân, doanh nghiệp… đồng thời đảm bảo được tính bảo mật của thông tin trên nền Internet Điển hình như sử dụng đường truyền lease line (khá tốn kém và khó khăn khi kết nối ở khoảng cách lớn), ATM hoặc Frame Relay (chi phí khá cao)
- Do đó công nghệ VPN ra đời nhằm khắc phục những nhược điểm về chi phí nhưng vẫn đảm bảo được tính bảo mật Tuy nhiên người dùng phải thuê những địa chỉ tĩnh và router đóng vai trò trung tâm (Hub) cũng phải chịu một lượng tải khá lớn và cấu hình khá phức tạp đối với những mô hình mạng có quá nhiều chi nhánh (Spoke) Dựa trên nền VPN công nghệ Dynamic VPN (DMVPN) ra đời nhằm cải thiện những khuyết điểm của VPN kể trên
Một số ưu điểm nổi bật:
o Cấu hình trên Hub đơn giản
o Kết nối giữa các Spoke được thực hiện một cách tự động
o Chi phí thấp hơn VPN thông thường
o Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá bỏ sau một thời gian không hoạt động đã cấu hình sẵn
o Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke
Trang 44
2 Tổng quan về Dynamic VPN:
a) Khái niệm:
- Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của
hệ điều hành Cisco xây dựng làm cho công nghệ VPN với IPSec + GRE VPN trở nên đơn giản, tự động và khả năng mở rộng cao
- Được kết hợp giữa hai công nghệ:
Next Hop Resolution on Protocol (NHRP): tạo nên phân khối NHRP để lập bản đồ cơ sở dữ liệu của tất cả các đường hầm spoke
Multipoint GRE tunnel interface: Một giao diện GRE hỗ trợ nhiều GRE và đường hầm IPSec làm đơn giản kích thước và mức độ cấu hình
- Một số công ty muốn kết nối các site chi nhánh với nhau, trong khi đồng thời kết nối với site chính qua Internet, nó sẽ có lợi cho lưu lượng spoke to spoke để đi trực tiếp hơn là thông qua một site hub Với giải pháp IPsec Dynamic VPN (DMVPN), các site spoke sẽ có thể tự động thiết lập kết nối an toàn giữa chúng
- DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static and dynamic) theo yêu cầu của đường hầm
Spoke router với cấu hình dynamic
NAT và Hub router với cấu hình statics NAT
Tự tạo tunnels spoke to spoke
Tạo điều kiện không cần trực tiếp
cấu hình khi có một spoke mới được bổ sung
Có IPSec hoặc không có IPSec
Phần lớn các gói tin ban đầu sẽ đi
qua site hub cho đến khi spoke to spoke được thiết lập
c) Sự giảm cấu hình:
Trước DMVPN: p-p GRE + IPSec
- Một GRE cho một spoke
- Tất cả các tunnel phải được xác định
trước
Sử dụng tunnel đích tĩnh
Dùng DMVPN: mGRE + IPSec
- Một interface mGRE hỗ trợ tất cả các spoke
- Tunnel đích tự động hỗ trợ cho địa chỉ động của spoke
Trang 55
Yêu cầu địa chỉ tĩnh cho spoke
- Cấu hình Hub lớn
Cần nhiều interface GRE
Cần cấu hình trực tiếp nhiều địa chỉ
cho nhiều spoke
Thêm spoke thì cần phải trực tiếp
thay đổi cấu hình trên Hub
Lưu thông spoke to spoke đều thông
qua Hub
- Hub cấu hình đơn giản hơn
Một giao diện cho tất cả các spoke
Định tuyến động được yêu cầu qua đường hầm hub to spoke.Spoke học tất cả các mạng
riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi từ hub
Các giao thức định tuyến được dùng:
Enhanced Interior Gateway Routing Protocol (EIGRP)
Open Shortest Path First (OSPF)
Border Gateway Protocol (BGP)
Routing Information Protocol (RIP)
(**) Có thể sử dụng cho spoke to spoke
Trang 66
e) Cách tạo tunnel động:
- Mỗi spoke có một đường hầm vĩnh viễn GRE/IPSec với các Hub nhưng không nối các spoke Chúng được đăng kí như clients của NHRP server
- Khi một spoke gửi một gói tin đến một đích đến (private) subnet của một spoke khác,
nó sẽ truy vấn NHRP server tìm địa chỉ đích của spoke đó
- Sau đó spoke tự tạo tunnel động GRE/IPSec đến spoke mục tiêu (Vì nó đã biết địa chỉ đích)
- Tunnel spoke to spoke được xây dựng qua mGRE
f) DMVPN sử dụng hoặc không sử dụng IPSec:
- DMVPN được xây dựng bởi một hệ thống mạng với mạng lưới đường hầm động
- Có thể chạy mà không có mã hóa
- IPSec được kích hoạt thông qua việc “Bảo vệ đường hầm” (Tunnel Protection)
• NHRP kích hoạt IPSec trước khi cài bản đồ mới
• NHRP cài đặt mapping và gửi đăng kí nếu cần thiết
• NHRP thông báo cho nhau khi một mapping hoặc dịch vụ bị xóa
Trang 77
Mô hình triển khai DMVPN
Trên hình, đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke.Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương
tự như khái niệm trong Site-to-Site Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau
II Các giao thức:
1.IPsec
- IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật
- IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP
- IPSec hỗ trợ nhiều thuật toán dùng để mã hóa dữ liệu và chứng thực đầu cuối Những kỹ thuật
mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
+ Tính bảo mật dữ liệu – Data confidentiality
Trang 88
+ Tính toàn vẹn dữ liệu – Data Integrity
+ Tính chứng thực nguồn dữ liệu – Data origin authentication
+ Tính tránh trùng lặp gói tin – Anti-replay
Các giao thức của IPSec:
- Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:
+ IKE (Internet Key Exchange)
+ ESP (Encapsulation Security Payload)
+ AH (Authentication Header)
- IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra
- SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA
- Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa
Trang 99
của các attacker
+ IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet
Security Association and Key Management Protocol) và Oakley
+ ISAKMP:là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA + Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-
Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật
- Giao thức IKE dùng UDP port 500
Các giai đoạn (phase) hoạt động của IKE:
Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa 2 điểm Ngoài phase 1 và phase 2 còn có phase 1,5 tùy chọn
IKE phase 1:
Đây là giai đoạn bắt buộc phải có Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA
Trang 1010
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
- Thuật toán mã hóa: DES, 3DES, AES
- Thuật toán hash: MD5, SHA
- Phương pháp chứng thực: Preshare-key, RSA
- Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi
- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định
- Trao đổi khóa Diffie-Hellman
Trang 1111
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode
Encapsulating Security Header (ESP)
ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch
vụ chống tấn công Anti-reply
Trang 1212
ESP điền giá trị 50 trong IP Header ESP Header được chèn vào sau IP Header và trước Header của giao thức lớp trên IP Header có thể là một IP Header mới trong chếđộ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport
Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị32 bit được tích hợp với địa chỉ đích và giao thức trong IP Header SPI là một số được lựa chọn bởi Host đích trong suốt quá trình diễn ra thương lượng Public Key giữa các Peer-to-Peer Số này tăng một cách tuần tự và nằm trong Header của người gửi SPI kết hợp với cơ chế Slide Window tạo thành cơ chế chống tấn công Anti-Replay
Trang 1313
- Authentication Header (AH)
AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu.Phần Header của AH đơn giản hơn nhiều so với EPS
AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header Trong chế độ Transport,
Trang 1414
giá trị giao thức lớp trên được bảo vệ như UPD, TCP , trong chế độ Tunnle, giá trị này là 4
Vị trí của AH trong chế độ Transport và Tunnle như trong hình sau:
Trong chế độ Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header Qua đó AHtrong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật Tuy nhiên phần nội dung của gói tin là không được bảo mật
Trang 1515
2 GRE over IPSec:
- GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền
- Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo
ra khả năng mở rộng hệ thống mạng rất lớn.Do đó, sự kết hợp giữa IPSec và GRE tạo nên một giải pháp tối ưu khi triển khai mạng DMVPN, mang lại các tính năng sau:
- Sự bảo mật, toàn vẹn dữ liệu và chứng thực đầu cuối
- Tăng khả năng mở rộng cho việc thiết kế mạng
- Đáp ứng các ứng dụng multicast
Cơ chế hoạt động của GRE over IPSec:
- GRE over IPSec là sự kết hợp giữa GRE và IPSec Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập Điều này được thực hiện thông qua việc IPSec
sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình
- GRE over IPSec cũng có hai mode hoạt động: Tunnel mode và Transport mode
- GRE over IPSec là sự kết hợp giữa GRE và IPSec Lúc này các gói tin GRE sẽ được truyền dẫn qua kênh truyền bảo mật do IPSec thiết lập Điều này được thực hiện thông qua việc IPSec sẽ đóng gói packets GRE bởi các tham số bảo mật của mình.GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
- Có nhiều lớp IP bên trong một gói tin GRE over IPSec Lớp trong cùng là gói tin IP ban đầu Gói tin này được bao bọc trong một GRE header để cho phép chạy những giao thức địnhtuyến bên trong GRE tunnel Cuối cùng, IPSec được thêm vào lớp ngoài cùng để cung cấp sự bảo mật và toàn vẹn Kết quả là hai site có thể trao đổi thông tin định tuyến
và những mạng IP với nhau một cách an toàn.GRE over IPSec thường sử dụng chế độ transport, nếu những điểm cuối GRE và IPSec là một, ngược lại thì sử dụng tunnel mode
Dù sử dụng tunnel hay transport mode, IP header và gói tin ban đầu cũng được bảo vệ một cách đầy đủ
Trang 16a) Các loại GRE:
- GRE là 1tunel đơn giản không thương lượng và GRE chỉ cần thiết bị đầu cuối đường hầm
- GRE đóng gói frame hoặc gói dữ liệu vào một địa chỉ IP packet khác + IP header
- GRE chỉ có 4 đến 8 bytes của bit trên đầu
- GRE có hai dạng chính là :
Point to point(GRE)
Point to mutipoint (mGRE)
b) Cơ chế hoạt động của GRE:
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode.Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number
Trang 17- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu
c) Point-to-Point GRE:
Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai tunnel, một đến R2 và một đến R3 Mỗi tunnel như vậy thì cần một địa chỉ IP
Giả sử mô hình trên được mở rộng thành nhiều spoke, thì trên R1 cần phải cấu hình phức tạp và tốn không gian địa chỉ IP
Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thểtruyền dữ liệu Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được.Để làm được việc này thì phải cần đến mGRE
Trang 1818
d) Giao thức mGRE trong DVPN :
Giao thức GRE được xác định:
1.Tunnel interface : interface tunnel 0
2.Tunnel address : ip address 10.0.0.1
255.0.0.0
3 A tunnel source/destination :
tunnel source S0/1
tunnel destination 172.16.0.2
4.Lựa chọn tunnel key : Tunnel key 1
Giao thức mGRE được xác định:
1.Tunnel interface : interface tunnel 0 2.Tunnel address : ip address 10.0.0.1
255.0.0.0
3 A tunnel source/destination :
tunnel source S0/1
tunnel mode gre multipoint
4 Lựa chọn tunnel key : Tunnel key 1
Chú ý: Giao thức mGRE không có tunnel destination
- Tunnel address là địa chỉ ip xác định trên tunnel interface
- Non-broadcast multiple access (NBMA) address (physical address) là địa chỉ ip sử dụng như tunnel source hoặc destination
