b. mGRE
GRE-Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, Giao thức này sẽ đóng gói mợt số kiểu gói tin vào bên trong các IP tunnels để tạo thành các kết nối điểm-điểm (point-to-point) ảo. Các IP tunnel chạy trên hạ tầng mạng công cộng.
GRE thêm vào tối thiểu 24 byte vào gói tin, trong đó bao gồm 20-byte IP header mới, 4 byte cịn lại là GRE header. GRE có thể tùy chọn thêm vào 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.
Hình 13: Định dạng packet được đóng gói với GRE
GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả. Nó có thể tạo tunnel cho bấy kì giao thức lớp 3 nào. GRE cho phép những giao thức định tuyến hoạt đợng trên kênh truyền của mình. GRE khơng có cơ chế bảo mật tốt. Trong khi đó, IPSec cung cấp sự tin cậy cao. Do đó nhà quản trị thường kết hợp GRE với IPSec để tăng tính bảo mật, đồng thời cũng hỗ trợ IPSec trong việc định tuyến và truyền những gói tin có địa chỉ IP Muliticast.
GRE header bản thân nó chứa đựng 4 byte, đây là kích cỡ nhỏ nhất của một GRE header khi không thêm vào các tùy chọn. 2 byte đầu tiên là các cờ (flags) để chỉ định những tùy chọn GRE. Những tùy chọn này nếu được active, nó thêm vào GRE header. Bảng sau mơ tả những tùy chọn của GRE header.
Bảng 1: GRE header
Trong GRE header 2 byte còn lại chỉ định cho trường giao thức. 16 bits này xác định kiểu của gói tin được mang theo trong GRE tunnel. Hình sau mơ tả cách mà mợt gói tin GRE với tất cả tùy chọn được gán vào một IP header và data.
Hình 14: Định dạng tùy chọn trong GRE header
GRE là giao thức có thể đóng gói bất kì gói tin nào của lớp network. GRE cung cấp khả năng có thể định tuyến giữa những mạng riêng (private network) thông qua môi trường Internet bằng cách sử dụng các địa chỉ IP đã được định tuyến. GRE truyền thống là point-to-point, còn mGRE là sự mở rộng khái niệm này bằng
việc cho phép mợt tunnel có thể đến được nhiều điểm đích, mGRE tunnel là thành phần cơ bản nhất trong DMVPN.
• Point-to-Point GRE
Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu hình mợt tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai tunnel, mợt đến R2 và mợt đến R3. Mỗi tunnel như vậy thì cần một địa chỉ IP. Giả sử mô hình trên được mở rợng thành nhiều spoke, thì trên R1 cần phải cấu hình phức tạp và tốn khơng gian địa chỉ IP.
Hình 15: Mơ hình Point-to-Point GRE
Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thể truyền dữ liệu. Tuy nhiên, có mợt vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được. Để làm được việc này thì phải cần đến mGRE.
• Point-to-Multipoint GRE (mGRE)
Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast. Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS. Tuy nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần mợt giao thức để ánh xạ địa chỉ tunnel sang địa chỉ cổng vật lý. Giao thức này được gọi là NHRP (Next Hop Resolution Protocol).
Hình 16: Mơ hình Point-to-Multipoint GRE (mGRE)
c. NHRP
NHRP (Next Hop Resolution Protocol) là 1 giao thức tương tự như giao thức Address Resolution Protocol (ARP), được định nghĩa trong IETF RFC 2332 và được mô tả thêm trong RFC 2333. Nó tự đợng ánh xạ các mạng Non-Broadcast Multi-Access (NBMA). Với NHRP, các mạng được kết nối trực tiếp vào mạng NBMA có thể biết được địa chỉ NBMA (vật lý) của các mạng khác là một phần của mạng đó, cho phép các hệ thống này giao tiếp trực tiếp.
NHRP là giao thức Client-Server thường được sử dụng trong mơ hình Hub & Spoke, trong đó Hub là Next Hop Server (NHS) và Spoke là Next Hop Clients (NHCs). Hub duy trì mợt bảng cơ sở dữ liệu NHRP về các địa chỉ IP công cộng của mỗi Spoke. Mỗi Spoke đăng ký địa chỉ IP thực của nó khi khởi đợng và truy vấn cơ sở dữ liệu NHRP để biết địa chỉ thực của các Spoke khác để xây dựng các Tunnel trực tiếp.
NHRP thường được sử dụng trong DMVPN kết hợp với multiple GRE (mGRE) Tunnels, IPSec encryption.
1.2. Các dạng triển khai mạng riêng ảo đa điểm động (DMVPN)
Hình 17: Mơ hình tổng quát DM VPN
Hub (Central) đặt tại trụ sở chính, cịn Spoke là các chi nhánh, văn phịng kết nối đến trụ sở. Đường màu xanh thể hiện kết nối giữa Spoke-and-Spoke, cịn màu đỏ chính là kết nối giữa Hub-and-Spoke.
1.3. Các thành phần trong mạng riêng ảo đa điểm động (DMVPN)
Các thành phần cần thiết để triển khai một hệ thống mạng sử dụng DMVPN bao gồm:
– Hệ thống Hub và Spoke là những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Hệ thống Hub và Spoke phổ biến nhất vẫn là Router của Cisco.
– Cloud dùng để kết nối được giữa Hub và Spoke. Cloud ở đây ám chỉ nhà cung cấp dịch vụ Internet (ISP). Cloud này có thể là Frame-Reply, ATM, Leased Lines.
Trong thiết kế DMVPN, có hai topology được đưa ra xem xét:
• Dual hub-dual DMVPN cloud
Hình 18: Dual DMVPN Cloud Topology
Trong mơ hình ở Hình 18 Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1. Hub 2 là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, ln duy trì kết nối.
Trong mơ hình ở Hình 19 chỉ có mợt đường mạng để kết nối tất cả các hub và branch. Giải pháp này cung cấp khả năng load balanced.
1.4. Mơ hình chung của mạng riêng ảo đa điểm động (DMVPN)
Với việc sử dụng DMVPN ta có thể làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP :
Hình 20: Mơ hình chung của DMVPN
Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels. Ví dụ như ở Hình 20, ta có 3 tunnels.
DMVPN dựa vào 2 công nghệ của Cisco đã thử nghiệm: - Next Hop Resolution Protocol (NHRP)
➢ HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả Spoke ✓ Mỗi Spoke đăng ký địa chỉ thực của nó khi nó khởi đợng.
✓ Sau đó các Spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các Spoke đích mà xây dựng tunnel trực tiếp.
➢ Multipoint GRE Tunnel Interface
✓ Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels ✓ Kích thước đơn giản và cấu hình phức tạp
- DMVPN khơng làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.
- Các Spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các Spoke. Các Spoke được xem như là client của NHRP server.
- Khi 1 Spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên Spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của Spoke đích.
- Đến đây Spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến Spoke đích.
- Tunnel từ Spoke-to-Spoke được xây dựng qua mGRE tunnel.
1.5. Ưu điểm của việc sử dụng mạng riêng ảo đa điểm động (DMVPN)
Ta có thể đưa ra so sánh giữa VPN truyền thống và DMVPN như sau để thấy được những ưu điểm trong việc sử dụng DMVPN.
Đối với mạng VPN truyền thống, mơ hình mạng như Hình 9 gồm mợt site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.
Đối với mơ hình VPV truyền thống, ta có thể nhắc lại những hạn chế sau:
• Khi tạo tunnel point-to-point, phải biết được địa chỉ IP của nguồn và đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao.
• Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử mạng cơng ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiêu tunnel.
• Mỗi tunnel khi được tạo sẽ có mợt cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router HUB là khá lớn, gây tốn kém.
• Khi spokeA muốn giao tiếp với spokeB, nó phải thơng qua HUB. Điều này không linh động.
Trong khi đó, đối với mạng DMVPN theo mơ hình ở Hình 20, ta sẽ giải quyết được những hạn chế của mơ hình VPN truyền thống và làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và NHRP.
Ngoài việc linh hoạt mở rộng những mạng IPSec VPN, DMVPN cịn có những ưu điểm sau:
• Giảm đợ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.
• Bảo đảm các packet được mã hóa khi truyền đi
• Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels
• Khả năng thiết lập đợng và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thơng qua hub (nhờ mGRE và NHRP)
• Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)
2. Kỹ thuật thiết kế mạng riêng ảo đa điểm động (DMVPN)
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
• Dual hub-dual DMVPN cloud
• Dual hub-single DMVPN cloud
Trước tiên, cần hiểu DMVPN cloud là gì? DMVPN cloud là tập hợp các router được cấu hình định tuyến để giao tiếp với nhau. Ta có thể dùng giao thức mGRE hoặc Point-to-Point (P2P) hoặc là cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hu đa DMVPN cloud và đa hu một DMVPN cloud. Nó được minh họa như trong Hình 21 và Hình 22.
Hình 21: Dual DMVPN Cloud Topology
Trong mơ hình Dual hub-dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp trục trặc. Giữa Hub1 và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả Hub 1 và Hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, ln duy trì kết nối.
Hình 22: Single DMVPN Cloud Topology
Mơ hình thứ hai, dual hub-singel DMVPN cloud, chỉ có mợt đường mạng để kết nối tất cả các Hub và Branch. Từ DMVPN Cloud có hai kết nối về hai Dub. Giải pháp này được biết đến với khả năng load balanced.
DMVPN cloud hổ trợ cho cả hai mơ hình triển khai Hub-and-Spoke và Spoke-and-Spoke. Trong Dub-and-Spoke, mỗi headend chứa một interface mGRE và mỗi Branch có chứa cả P2P hoặc mGRE interface. Trong mơ hình Spoke-and- Spoke cả hai đầu headend và branch đều có mGRE interface.
2.1. Dual DMVPN Cloud Topology
Với Dual Cloud có hai mơ hình triển khai:
• Hub-and-spoke
• Spoke-and-spoke
2.1.1. Hub-and-Spoke
Với Dual DMVPN cloud trong mơ hình Hub-and-Spoke, có chứa hai headend (Hub1 và Hub2), mỗi cái có mợt hoặc nhiều tunnel mGRE kết nối đến tất cả các Branch. Minh họa ở Hình 23.
Hình 23: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model
Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi Hub riêng lẽ. Trong mơ hình triển khai này khơng có tunnel nào giữa các Branch. Giao tiếp nội bộ giữa các Branch được cung cấp thông qua Hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là Primary Hub.
Kiến trúc hệ thống của trung tâm (system headend)
Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:
• Single Tier
• Dual Tier
a. Single Tier
Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong một CPU của router.
Hình 24: Single Tier Headend Architecture
Hình 24 là giải pháp Dual cloud với model Hud-and-Spoke. Tất cả các Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ cho các luồng dữ liệu của Branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thể gửi mợt thơng điệp để báo cho giao thức định tuyến đang được sử dụng tại Branch như EIGRP, OSPF, bất kể đường nào được chọn trong cloud (cloud path – đường kết nối giữa các router trong cloud).
b. Dual Tier
Với kiến trúc Dual Tier, mGRE và Crypto không cùng tồn tại trong cùng CPU của router.
Hình 25: Dual Tier Headend Architecture
Hình 25 là giải pháp dual DMVPN cloud với mơ hình hub-and-spoke. Ở đây mGRE và Crypto tại headend nằm riêng lẻ nhau, chúng phục vụ cho nhau và cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho Branch. Đầu cuối của VPN tunnel, Crypto sẽ nhận dữ liệu gửi từ Branch và sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho các giao thức định tuyến tại Branch như EIGRP hoặc OSPF.
Router trong tất cả các mơ hình của DMVPN đóng vai trị là điểm kết thúc của tunnel. Đồng thời nó cịn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt ngồi của router có thể là tĩnh hoặc đợng, và nó phải được “map” trong bản đồ của router. Hành động này có nghĩa là: Mợt inteface mặt ngồi của router có địa chỉ ip public của riêng nó, và mợt tunnel cũng có ip (public hoặc private), nó phải ánh xạ để biết tunnel này được chuyển ra interface tương ứng.
2.1.2. Spoke-to-spoke
Cũng giống như Hub-and-Spoke, trong mơ hình này cũng có hai Hub ở trung tâm, mỗi Hub có mợt hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao tiếp giữa các Branch được thực hiện thông qua Hub, trừ khi nó có mợt đường kết nối được tạo ra giữa hai Spoke. Đó chính là sự khác biệt của trường hợp này. Tunnel giữa Spoke and Spoke được gọi là dynamic, nó phải nằm trong một single DMVPN
cloud hoặc cùng một subnet. Tunnel của Spoke-and-Spoke thì khơng ở giữa hai DMVPN cloud.
Hình 26: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model
Kiến trúc hệ thống trung tâm
Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel riêng, và phải đi qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các tunnel này là IPSec. Để giao tiếp với hệ thống trung tâm, chúng ta có giao thức Single Tier, trong đó các chức năng của mGRE và Crypto được gói gọn trong mợt router.
2.2. Single DMVPN Cloud Topology
Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet. Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE. Và chúng cũng phải có cùng subnet để thực hiện giao tiếp nợi bợ. Mơ hình này khơng được khuyến cáo vì chúng khơng khả dụng và không chống lỗi được. Với kiểu triển khai Spoke-and-Spoke thì việc triển khai theo Single DMVPN này cần được cân nhắc kỹ.
Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một subnet. Khi đó chúng sẽ hổ trợ cho chúng ta chức năng load balanced giữa hai trung tâm.
Hình 27: Single DMVPN Cloud Topology
Tóm tắt
Như vậy, để khắc phục những hạn chế tồn tại trong mơ hình VPN truyền