Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thể truyền dữ liệu. Tuy nhiên, có mợt vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được. Để làm được việc này thì phải cần đến mGRE.
• Point-to-Multipoint GRE (mGRE)
Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast. Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS. Tuy nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần mợt giao thức để ánh xạ địa chỉ tunnel sang địa chỉ cổng vật lý. Giao thức này được gọi là NHRP (Next Hop Resolution Protocol).
Hình 16: Mơ hình Point-to-Multipoint GRE (mGRE)
c. NHRP
NHRP (Next Hop Resolution Protocol) là 1 giao thức tương tự như giao thức Address Resolution Protocol (ARP), được định nghĩa trong IETF RFC 2332 và được mô tả thêm trong RFC 2333. Nó tự đợng ánh xạ các mạng Non-Broadcast Multi-Access (NBMA). Với NHRP, các mạng được kết nối trực tiếp vào mạng NBMA có thể biết được địa chỉ NBMA (vật lý) của các mạng khác là một phần của mạng đó, cho phép các hệ thống này giao tiếp trực tiếp.
NHRP là giao thức Client-Server thường được sử dụng trong mơ hình Hub & Spoke, trong đó Hub là Next Hop Server (NHS) và Spoke là Next Hop Clients (NHCs). Hub duy trì mợt bảng cơ sở dữ liệu NHRP về các địa chỉ IP công cộng của mỗi Spoke. Mỗi Spoke đăng ký địa chỉ IP thực của nó khi khởi động và truy vấn cơ sở dữ liệu NHRP để biết địa chỉ thực của các Spoke khác để xây dựng các Tunnel trực tiếp.
NHRP thường được sử dụng trong DMVPN kết hợp với multiple GRE (mGRE) Tunnels, IPSec encryption.
1.2. Các dạng triển khai mạng riêng ảo đa điểm động (DMVPN)
Hình 17: Mơ hình tổng quát DM VPN
Hub (Central) đặt tại trụ sở chính, cịn Spoke là các chi nhánh, văn phòng kết nối đến trụ sở. Đường màu xanh thể hiện kết nối giữa Spoke-and-Spoke, cịn màu đỏ chính là kết nối giữa Hub-and-Spoke.
1.3. Các thành phần trong mạng riêng ảo đa điểm động (DMVPN)
Các thành phần cần thiết để triển khai một hệ thống mạng sử dụng DMVPN bao gồm:
– Hệ thống Hub và Spoke là những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Hệ thống Hub và Spoke phổ biến nhất vẫn là Router của Cisco.
– Cloud dùng để kết nối được giữa Hub và Spoke. Cloud ở đây ám chỉ nhà cung cấp dịch vụ Internet (ISP). Cloud này có thể là Frame-Reply, ATM, Leased Lines.
Trong thiết kế DMVPN, có hai topology được đưa ra xem xét:
• Dual hub-dual DMVPN cloud
Hình 18: Dual DMVPN Cloud Topology
Trong mơ hình ở Hình 18 Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1. Hub 2 là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, ln duy trì kết nối.
Trong mơ hình ở Hình 19 chỉ có mợt đường mạng để kết nối tất cả các hub và branch. Giải pháp này cung cấp khả năng load balanced.
1.4. Mơ hình chung của mạng riêng ảo đa điểm động (DMVPN)
Với việc sử dụng DMVPN ta có thể làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP :
Hình 20: Mơ hình chung của DMVPN
Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels. Ví dụ như ở Hình 20, ta có 3 tunnels.
DMVPN dựa vào 2 công nghệ của Cisco đã thử nghiệm: - Next Hop Resolution Protocol (NHRP)
➢ HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả Spoke ✓ Mỗi Spoke đăng ký địa chỉ thực của nó khi nó khởi đợng.
✓ Sau đó các Spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các Spoke đích mà xây dựng tunnel trực tiếp.
➢ Multipoint GRE Tunnel Interface
✓ Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels ✓ Kích thước đơn giản và cấu hình phức tạp
- DMVPN khơng làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.
- Các Spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các Spoke. Các Spoke được xem như là client của NHRP server.
- Khi 1 Spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên Spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của Spoke đích.
- Đến đây Spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến Spoke đích.
- Tunnel từ Spoke-to-Spoke được xây dựng qua mGRE tunnel.
1.5. Ưu điểm của việc sử dụng mạng riêng ảo đa điểm động (DMVPN)
Ta có thể đưa ra so sánh giữa VPN truyền thống và DMVPN như sau để thấy được những ưu điểm trong việc sử dụng DMVPN.
Đối với mạng VPN truyền thống, mơ hình mạng như Hình 9 gồm mợt site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.
Đối với mơ hình VPV truyền thống, ta có thể nhắc lại những hạn chế sau:
• Khi tạo tunnel point-to-point, phải biết được địa chỉ IP của nguồn và đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao.
• Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiêu tunnel.
• Mỗi tunnel khi được tạo sẽ có mợt cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router HUB là khá lớn, gây tốn kém.
• Khi spokeA muốn giao tiếp với spokeB, nó phải thơng qua HUB. Điều này không linh động.
Trong khi đó, đối với mạng DMVPN theo mơ hình ở Hình 20, ta sẽ giải quyết được những hạn chế của mơ hình VPN truyền thống và làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP.
Ngoài việc linh hoạt mở rộng những mạng IPSec VPN, DMVPN cịn có những ưu điểm sau:
• Giảm đợ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.
• Bảo đảm các packet được mã hóa khi truyền đi
• Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels
• Khả năng thiết lập đợng và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP)
• Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)
2. Kỹ thuật thiết kế mạng riêng ảo đa điểm động (DMVPN)
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
• Dual hub-dual DMVPN cloud
• Dual hub-single DMVPN cloud
Trước tiên, cần hiểu DMVPN cloud là gì? DMVPN cloud là tập hợp các router được cấu hình định tuyến để giao tiếp với nhau. Ta có thể dùng giao thức mGRE hoặc Point-to-Point (P2P) hoặc là cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hu đa DMVPN cloud và đa hu một DMVPN cloud. Nó được minh họa như trong Hình 21 và Hình 22.
Hình 21: Dual DMVPN Cloud Topology
Trong mơ hình Dual hub-dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp trục trặc. Giữa Hub1 và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả Hub 1 và Hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, ln duy trì kết nối.
Hình 22: Single DMVPN Cloud Topology
Mơ hình thứ hai, dual hub-singel DMVPN cloud, chỉ có mợt đường mạng để kết nối tất cả các Hub và Branch. Từ DMVPN Cloud có hai kết nối về hai Dub. Giải pháp này được biết đến với khả năng load balanced.
DMVPN cloud hổ trợ cho cả hai mơ hình triển khai Hub-and-Spoke và Spoke-and-Spoke. Trong Dub-and-Spoke, mỗi headend chứa một interface mGRE và mỗi Branch có chứa cả P2P hoặc mGRE interface. Trong mơ hình Spoke-and- Spoke cả hai đầu headend và branch đều có mGRE interface.
2.1. Dual DMVPN Cloud Topology
Với Dual Cloud có hai mơ hình triển khai:
• Hub-and-spoke
• Spoke-and-spoke
2.1.1. Hub-and-Spoke
Với Dual DMVPN cloud trong mơ hình Hub-and-Spoke, có chứa hai headend (Hub1 và Hub2), mỗi cái có mợt hoặc nhiều tunnel mGRE kết nối đến tất cả các Branch. Minh họa ở Hình 23.
Hình 23: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model
Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi Hub riêng lẽ. Trong mơ hình triển khai này khơng có tunnel nào giữa các Branch. Giao tiếp nội bộ giữa các Branch được cung cấp thông qua Hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là Primary Hub.
Kiến trúc hệ thống của trung tâm (system headend)
Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:
• Single Tier
• Dual Tier
a. Single Tier
Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong một CPU của router.
Hình 24: Single Tier Headend Architecture
Hình 24 là giải pháp Dual cloud với model Hud-and-Spoke. Tất cả các Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ cho các luồng dữ liệu của Branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thể gửi mợt thơng điệp để báo cho giao thức định tuyến đang được sử dụng tại Branch như EIGRP, OSPF, bất kể đường nào được chọn trong cloud (cloud path – đường kết nối giữa các router trong cloud).
b. Dual Tier
Với kiến trúc Dual Tier, mGRE và Crypto không cùng tồn tại trong cùng CPU của router.
Hình 25: Dual Tier Headend Architecture
Hình 25 là giải pháp dual DMVPN cloud với mơ hình hub-and-spoke. Ở đây mGRE và Crypto tại headend nằm riêng lẻ nhau, chúng phục vụ cho nhau và cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho Branch. Đầu cuối của VPN tunnel, Crypto sẽ nhận dữ liệu gửi từ Branch và sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho các giao thức định tuyến tại Branch như EIGRP hoặc OSPF.
Router trong tất cả các mơ hình của DMVPN đóng vai trị là điểm kết thúc của tunnel. Đồng thời nó cịn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt ngồi của router có thể là tĩnh hoặc đợng, và nó phải được “map” trong bản đồ của router. Hành động này có nghĩa là: Mợt inteface mặt ngồi của router có địa chỉ ip public của riêng nó, và mợt tunnel cũng có ip (public hoặc private), nó phải ánh xạ để biết tunnel này được chuyển ra interface tương ứng.
2.1.2. Spoke-to-spoke
Cũng giống như Hub-and-Spoke, trong mơ hình này cũng có hai Hub ở trung tâm, mỗi Hub có mợt hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao tiếp giữa các Branch được thực hiện thông qua Hub, trừ khi nó có mợt đường kết nối được tạo ra giữa hai Spoke. Đó chính là sự khác biệt của trường hợp này. Tunnel giữa Spoke and Spoke được gọi là dynamic, nó phải nằm trong mợt single DMVPN
cloud hoặc cùng một subnet. Tunnel của Spoke-and-Spoke thì khơng ở giữa hai DMVPN cloud.
Hình 26: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model
Kiến trúc hệ thống trung tâm
Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel riêng, và phải đi qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các tunnel này là IPSec. Để giao tiếp với hệ thống trung tâm, chúng ta có giao thức Single Tier, trong đó các chức năng của mGRE và Crypto được gói gọn trong mợt router.
2.2. Single DMVPN Cloud Topology
Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet. Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE. Và chúng cũng phải có cùng subnet để thực hiện giao tiếp nợi bợ. Mơ hình này khơng được khuyến cáo vì chúng không khả dụng và không chống lỗi được. Với kiểu triển khai Spoke-and-Spoke thì việc triển khai theo Single DMVPN này cần được cân nhắc kỹ.
Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một subnet. Khi đó chúng sẽ hổ trợ cho chúng ta chức năng load balanced giữa hai trung tâm.
Hình 27: Single DMVPN Cloud Topology
Tóm tắt
Như vậy, để khắc phục những hạn chế tồn tại trong mơ hình VPN truyền thống đang được triển khai trong mạng truyền số liệu quân sự hiện nay, giải pháp DMVPN có thể xem là một giải pháp khả thi để triển khai trong thời gian sắp đến. Trong Chương III, chúng ta sẽ đề xuất mơ hình và triển khai trên mơi trường giả lập mạng truyền số liệu quân sự để có thể thấy được tính khả thi và hiệu quả của DMVPN.
CHƯƠNG III: ĐỀ XUẤT MƠ HÌNH ỨNG DỤNG TRÊN CƠNG CỤ MÔ PHỎNG HỆ THỐNG MẠNG (NETWORK SIMULATOR Version 3 – NS3)[4]
- Mô tả tóm tắt mục đích của chương
- Dựa trên các kết quả nghiên cứu và phân tích ở CHƯƠNG II, đề xuất phương án triển khai trên hạ tầng mạng TSLQS. Phân tích làm rõ giải pháp
- Cài đặt thử nghiệm DMVPN trên mô hình mạng mô phỏng được xây dựng với công cụ NS3
- Đánh giá về khả năng ứng dụng cũng như tính khả thi trong việc thay thế công nghệ mạng riêng ảo truyền thống trên mạng TSLQS
KẾT LUẬN
- Tóm tắt những kết quả đã làm được - Đánh giá, đề xuất hướng phát triển
TÀI LIỆU THAM KHẢO
[1] TS. Nguyễn Hồng Quang, TS. Nguyễn Nam Hải, Các hệ thống truyền tin mật, NXB Thông tin và Truyền thông, 2016
[2] A Survey on Dynamic Multipoint Virtual Private Networks – Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2)
[3] Dynamic Multipoint VPN (DMVPN) Design Guide© 2006 Cisco Systems, Inc. All rights reserved
[4] Scalable DMVPN Deployment and Implementation Guide – Network Systems Integration & Test Engineering (NSITE)