DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK Tác giả: Vi Thị Mưu I. KHÁI QUÁT VỀ DMVPN 1. DMVPN là gì ? Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo một cách dễ dàng. 2. Ưu điểm của DMVPN Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels ví dụ: như hình dưới ta có 3 tunnel > ta có [n(n-1)/2] = 6 tunnels 3. Các công nghệ sử dụng • IPSec (Internet Protocol SECurity) Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên mode Tunnel , nội dung và tiêu đề của gói tin được mã hoá. cả hai đều được bảo vệ • mGRE (Generic Routing Encapsulation) Giao thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các Router ở xa trong cấu trúc mạng IP. • NHRP (Next Hop Resolution Protocol) Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác. 4. Hoạt động của DMVPN DMVPN là giải pháp phần mềm của hệ điều hành cisco. DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm : - Next Hop Resolution Protocol (NHRP) + HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke + mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động. + Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp. + Multipoint GRE Tunnel Interface + Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels + Kích thước đơn giản và cấu hình phức tạp - DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng. - Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server. - Khi 1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích. - đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích. - Tunnel từ spoke-to-spoke được xây dựng qua mGRE tunnel 5. Định tuyến với DMVPN - Định tuyến động được yêu cầu qua tunnel Hub-to-spoke. - Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub. - IP next-hop cho 1 mạng spoke là interface tunnel cho spoke. - Các giao thức định tuyến được dùng: o Enhanced Interior Gateway Routing Protocol (EIGRP) o Open Shortest Path First (OSPF) o Border Gateway Protocol (BGP) o Routing Information Protocol (RIP) 6. DMVPN Phase o Phase 1 : Tính năng của Hub và Spoke o Phase 2 : Tính năng của spoke-to-spoke o Phase 3 : Khả năng thay đổi spoke-to-spoke để quy mô các mạng được mở rộng . IPSec + GRE đối với DMVPN phase 1 Hub-to-Spoke Tính năng : - Tất cả lưu lượng đi qua phải thông qua Hub - Triển khai dễ dàng - Files cấu hình Hub nhỏ Ưu điểm của DMVPN phase 1 - Hub và spoke cấu hình đơn giản và nhỏ gọn - Hỗ trợ Multicast traffic từ Hub đến các spoke - Hỗ trợ địa chỉ cho các spoke một cách linh động phase 2: - Trong phase 2 NHRP khởi động NHC-to-NHS tunnel và giao thức định tuyến động thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà Hub có và tất cả các spoke. Các thông tin này là : ip next hop của spoke đích và hỗ trợ riêng mạng đích. - Khi 1 gói tin được forward nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu . Nếu interface NHRP là interface outbound nó sẽ tìm NHRP mapping vào IP next hop . Nếu không có sự trùng khớp của bảng NHRP mapping, thì NHRP được kích khởi để gửi NHRP resolution request đến thông tin mapping (địa chỉ IP next hop đến địa chỉ vật lý layer). NHRP registration reply packet chứa thông tin mapping này và khi thông tin này được nhận các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng. Phase 3: - NHRP khởi động NHC và NHS tunnel và giao thức định tuyến động được dùng để phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến Hub. Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke, nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến . Nó sẽ đặt IP next hop của tất cả các mạng đích đến NHS (hub). Điều này làm giảm lượng thông tin trong bảng giao thức định tuyến cần để phân phối từ Hub đến các spoke, giảm việc cập nhật giao thức định tuyến đang chạy trên hub. - Khi data packet được forward, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface outbound thì nó sẽ tìm mapping NHRP vào IP next hop . Trong trường hợp này IP next hop sẽ được hub coi như là NHRP mapping (nó đã cài 1 tunnel với hub) , các spoke sẽ chỉ gửi data packet đến Hub. - Hub nhận được data packet và nó kiểm tra bảng định tuyến. Vì data packet này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ forward ra khỏi interface NHRP đến next hop về hướng spoke. Tại đây, hub phát hiện packet đến và gửi nó ra khỏi interface NHRP. Có nghĩa là data packet chiếm ít nhất 2 hop trong mạng NHRP và do đó đường này thông qua hub không phải là 1 đường tối ưu . Cho nên hub gửi trực tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này kích khởi NHRP. - Khi spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại . NHRP resolution request sẽ forward đến spoke đầu xa các dịch vụ mạng cho IP đích. - Spoke đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA của nó và toàn bộ subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP resolution reply trực tiếp trở lại spoke nội bộ . Đến thời điểm này đã đầy đủ thông tin cho data traffic được gửi trực tiếp qua spoke-to-spoke mà đường dẫn vừa được tạo. - Bảng định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng khi xây dựng tunnel spoke-to-spoke. Do đó khả năng của NHS (các hub) là tới hạn cho tính năng của mạng NHRP . khi chỉ có 1 hub mà hub đó bị down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. bởi vì nó bị mất hub giống như mất đi routing neighbor. Tuy nhiên, spoke không xoá bất kỳ tunnels spoke-to-spoke (NHRP mapping) mà vẫn còn hoạt động. Mặc dù tunnel spoke-to-spoke vẫn còn nhưng nó không được sử dụng vì trong bảng định tuyến không còn đường đi nào đến mạng đích nữa. - Trong quá trình bổ sung thêm , Khi bảng định tuyến đưa vào bị xoá không được kích hoạt đến NHRP. kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down. - Trong phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là định tuyến tĩnh) với chính xác IP next hop thì spoke vẫn có thể dùng spoke-to-spoke tunnel ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi NHRP mapping đưa vào vì NHRP resolution yêu cầu hoặc cần đáp ứng để đi qua hub. - Trong phase 3, ta chỉ cần định tuyến ra interface tunnel, không cần phải chính xác IP next hop ( NHRP bỏ qua IP next-hop trong phase 3). NHRP có khả năng làm tươi NHRP mapping . Vì NHRP resolution yêu cầu hoặc đáp ứng sẽ đi qua trực tiếp spoke-to-spoke tunnel. - Nếu ta có 2 (hoặc nhiều hơn) NHS Hub trong 1 mạng NBMA (1 mGRE, frame-relay , hoặc ATM interface) , sau khi hub đầu tiên bị down, spoke Router sẽ loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này, nhưng nó sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc này định tuyến sẽ được thiết lập ngay. Do đó lưu lượng spoke-to-spoke sẽ tiếp tục đi qua spoke-spoke tunnel, và nó không bị ảnh hưởng bởi hub đầu tiên. . DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK Tác giả: Vi Thị Mưu I. KHÁI QUÁT VỀ DMVPN 1. DMVPN là gì ? Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp. spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích. - đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke. cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp. + Multipoint GRE Tunnel Interface + Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels + Kích thước