ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM
KHOA ĐIỆN TỬ VIỄN THÔNG











BÁO CÁO ĐỀ TÀI
Dynamic Multipoint VPN



Giáo viên hướng dẫn : Trần Thị Thảo Nguyên

Sinh Viên Thực Hiện : Ngô Đức Quyết 0920102
Lưu Bảo Chiêu 0920154
Nguyễn Huy Hoàng 0920176
Trương Nguyễn Hạnh Nguyên 0920208
Nguyễn Thị Thu Thủy 0920232
TP Hồ Chí Minh, 3 tháng 12 năm 2012.

Page 1



I. Giới thiệu công nghệ DMVPN (Dynamic Multipoint VPN)
1. Đặt vấn đề:
Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận
dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao
đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh
nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau.
Có rất nhiều giải pháp được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu
cầu trao đổi thông tin vừa đáp ứng nhu cầu bảo mật thông tin khi nó được truyền ngang
qua mạng internet – môi trường không bảo mật. Những giải pháp này có thể là thuê
những đường truyền leased line. Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy
nhiên nó không khả thi khi phải kết nối những nơi cách xa nhau. Giải pháp khác là sử
dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí
cho giải pháp này cũng khá cao.
VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ
ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày
càng phát triển. Mặc dù vậy, VPN thông thường có những nhược điểm của nó. Đó là các
điểm kết nối phải thuê những địa tĩnh; đồng thời trên router đóng vai trò trung tâm phải
thực hiện việc cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các điểm muốn kết nối
với nhau phải thông qua router trung tâm này mà không thể kết nối trực tiếp được. Từ
những hạn chế trên nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển
của VPN nhằm cải thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn
giản, các kết nối được thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN
thông thường.
Để hiểu DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu, chúng ta xét một mô
hình VPN sử dụng IPSec( Internet Protocol Security) và GRE (Generic Routing
Encapsulation).



Page 2




Mô hình Hub-and-Spoke
Mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối đến các site chi
nhánh (SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec +
GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.
Nhưng mô hình trên phát sinh một số hạn chế:
 Khi tạo tunnel point-to-point, điều bắt buộc là chúng ta phải biết địa chỉ IP của nguồn và
đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi
phí cao.
 Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử
mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiều
tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router phải
lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên
router HUB là khá lớn. Cho nên router HUB phải là một router được trang bị bộ nhớ và
CPU mạnh, tốn kém.
 Khi spoke A muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không linh
động.
Những hạn chế trên được giải quyết trong DMVPN. Với DMVPN, trên mỗi
router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint). Với việc sử
dụng mGRE sẽ giải quyết được hai hạn chế:
Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử
dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn



Page 3



địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải
là một địa chỉ tĩnh.
Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một
spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở
router HUB.
Tuy nhiên, như đã nói, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào
một giao thức khác, đó là NHRP (Next Hop Resolution Protocol).
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông
thường.

Mô hình DMVPN

2. Khái niệm DMVPN:
Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm
của hệ điều hành Cisco, là sự kết hợp của các công nghệ IPsec, mGRE và NHRP. Các
công nghệ này kết hợp lại cho phép được triển khai IPsec trong mạng riêng ảo một cách
dễ.




Page 4





3. Ưu điểm:
 Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hoá việc
thêm, xoá các site spoke.
 Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá
bỏ sau một thời gian không hoạt động đã cấu hình sẵn.
 Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke.
 Tạo ra một kích thước cấu hình cố định trên router hub kể cả khi thêm một
router spoke vào mạng VPN.
4. Hạn chế:
 Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke
được thiết lập.
 Mã hoá đường hầm IPsec phải được thực hiện từ router spoke.
5. Các công nghệ được sử dụng:
IPsec (Internet Protocol Security): Giao thức cho phép bảo vệ sự thay đổi của các
gói tin tại lớp IP. Dựa trên khoá công khai trên chế độ tunnel mode, nội dung và mào đầu
của gói tin được mã hoá, cả hai đều được bảo vệ.
mGRE (Generic Routing Encapsulation): Giao thức truyền trên đường hầm, đóng
gói các loại gói tin thành một loại lớn trong đường hầm IP, sau đó kết nối point to point
ảo với các router ở xa trong cấu trúc mạng IP. Cho phép một giao diện GRE hỗ trợ nhiều
đường hầm IPsec.
NHRP (Next Hop Resolution Protocol): Giao thúc được sử dụng bởi các router để
phát hiện địa chỉ MAC của các router và các host khác. Hub duy trì cơ sở dữ liệu của địa
chỉ thực của tất cả các spoke, mỗi spoke đăng kí địa chỉ thực của nó khi khởi động. Sau
đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích để
xây dựng đường hầm trực tiếp.
6. Hoạt động của DMVPN:

 DMVPN không làm thay đổi các chuẩn của đường hầm IPsec VPN nhưng nó thay
đổi cấu hình của chúng.
 Các spoke có một đường hầm IPsec cố định đến hub, nhưng không có đến các

spoke. Các spoke được xem như là client của NHRP server.
 Khi một spoke cần gửi gói tin đến mạng con phía trong spoke khác, nó yêu cầu
NHRP cấp các địa chỉ thực của spoke đích.
 Đến đây spoke nguồn có thể khởi tạo một đường hầm IPsec động đến spoke đích.
 Đường hầm từ spoke to spoke được xây dựng qua đường hầm mGRE.


Page 5



7. Định tuyến với DMVPN:
Định tuyến động được yêu cầu qua đường hầm hub to spoke. Spoke học tất cả các
mạng riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi
từ hub. Các giao thức định tuyến được dùng:
 Enhanced Interior Gateway Routing Protocol (EIGRP)
 Open Shortest Path First (OSPF)
 Border Gateway Protocol (BGP)
 Routing Information Protocol (RIP)
8. Các giao thức trong DVPN:
8.1. Giao thức bảo mật IPSEC ( Internet Protocol Security):
- IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền
thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá
(Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền
thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.


Hình 1: framework của IPsec



Page 6



Ipsec cung cấp các dịch vụ bảo mật:
 Tính bảo mật dữ liệu – Data confidentiality
 Tính toàn vẹn dữ liệu – Data Integrity
 Tính chứng thực nguồn dữ liệu – Data origin authentication
- Encapsulating Security Header (ESP)

Hình 2: Mô tả Encapsulating Security Header
ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch
vụ chống tấn công Anti-reply


Page 7




Gói dữ liệu IP được bảo vệ bởi ESP
ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header và
trước Header của giao thức lớp trên. IP Header có thể là một IP Header mới trong chế
độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport.












Gói IP được bảo vệ bởi ESP trong chế độ
Transport

Gói IP được bảo vệ bởi ESP trong chế độ Tunnel


Page 8





Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị
32 bit được tích hợp với địa chỉ đích và giao thức trong IP Header.
SPI là một số được lựa chọn bởi Host đích trong suốt quá trình diễn ra thương
lượng Public Key giữa các Peer-to-Peer. Số này tăng một cách tuần tự và nằm trong
Header của người gửi. SPI kết hợp với cơ chế Slide Window tạo thành cơ chế chống
tấn công Anti-Replay.

Hình 3: Hai mode truyền của ESP
- Authentication Header (AH)


Page 9




AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống
tấn công. Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu. Phần
Header của AH đơn giản hơn nhiều so với EPS








AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header. Trong chế
độ Transport, gá trị giao thức lớp trên được bảo vệ như UPD, TCP , trong chế độ
Tunnle, giá trị này là 4. Vị trí của AH trong chế độ Transport và Tunnle như trong
hình sau:







Gói IP được bảo vệ bởi AH

Gói IP được bảo vệ bởi AH trong chế độ Transport


Page

10









Trong chế độ Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong
chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header. Qua đó AH
trong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật. Tuy
nhiên phần nội dung của gói tin là không được bảo mật.

Hình 4: Biểu diễn Authentication Header

Gói IP bảo vệ bởi AH trong chế độ Tunnel


Page
11




Bảng so sánh tính chất của AH và ESP
8.2. Giao thức mã hóa định tuyến GRE (Generic routing encapsulation):
GRE-Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi
Cisco, Giao thức này sẽ đóng gói một số kiểu gói tin vào bên trong các IP tunnels để tạo

thành các kết nối điểm-điểm (point-to-point) ảo. Các IP tunnel chạy trên hạ tầng mạng
công cộng.
Gói tin sau khi đóng gói được truyền qua mạng IP và sử dụng GRE header để định
tuyến. Mỗi lần gói tin GRE đi đến đích, lần lượt các header ngoài cùng sẽ được gỡ bỏ cho
đến khi gói tin ban đầu được mở ra.
GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả. Nó có thể tạo tunnel cho
bấy kì giao thức lớp 3 nào.
GRE cho phép những giao thức định tuyến hoạt động trên kênh truyền của mình
.

GRE không có cơ chế bảo mật tốt. Trong khi đó, IPSec cung cấp sự tin cậy cao. Do đó
nhà quản trị thường kết hợp GRE với IPSec để tăng tính bảo mật, đồng thời cũng hỗ trợ
IPSec trong việc định tuyến và truyền những gói tin có địa chỉ IP Muliticast.
8.2.1.

Các loại GRE:


Page
12



GRE là giao thức có thể đóng gói bất kì gói tin nào của lớp network. GRE cung
cấp khả năng có thể định tuyến giữa những mạng riêng (private network) thông qua môi
trường Internet bằng cách sử dụng các địa chỉ IP đã được định tuyến.
GRE truyền thống là point-to-point, còn mGRE là sự mở rộng khái niệm này bằng
việc cho phép một tunnel có thể đến được nhiều điểm đích, mGRE tunnel là thành phần
cơ bản nhất trong DMVPN.


8.2.2.

Point-to-Point GRE:

Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu
hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai
tunnel, một đến R2 và một đến R3. Mỗi tunnel như vậy thì cần một địa chỉ IP. Giả sử mô
hình trên được mở rộng thành nhiều spoke, thì trên R1 cần phải cấu hình phức tạp và tốn
không gian địa chỉ IP.


Page
13




Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thể
truyền dữ liệu. Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast
(chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được. Để làm được việc
này thì phải cần đến mGRE.
8.2.3.

Point-to-Multipoint GRE (mGRE):

Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast. Đây là
tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS. Tuy
nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần một giao thức để ánh xạ
địa chỉ tunnel sang địa chỉ cổng vật lý. Giao thức này được gọi là NHRP (Next Hop
Resolution Protocol)



Page
14




Đối với các mGRE Tunnel thì mỗi router chỉ có một Tunnel được cấu hình cùng
một subnet logical.

8.2.4.

GRE over IPSec
:
8.2.4.1.

Tính năng:

Giao thức IPSec có độ an toàn và bảo mật cao, trong khi GRE thì bản thân nó
không bảo mật. Nhưng ngược lại, GRE cung cấp khả năng định tuyến và hỗ trợ multicast
còn IPSec thì không. Do đó, sự kết hợp giữa IPSec và GRE tạo nên một giải pháp tối ưu
khi triển khai mạng DMVPN, mang lại các tính năng sau:


Sự bảo mật, toàn vẹn dữ liệu và chứng thực đầu cuối


Tăng khả năng mở rộng cho việc thiết kế mạng



Đáp ứng các ứng dụng multicast.


Page
15



8.2.4.2.

Hoạt động:

GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ
được truyền dẫn qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện
thông qua việc IPSec sẽ đóng gói packets GRE bởi các tham số bảo mật của mình.
GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
Có nhiều lớp IP bên trong một gói tin GRE over IPSec. Lớp trong cùng là gói tin IP ban
đầu . Gói tin này được bao bọc trong một GRE header để cho phép chạy những giao thức
định tuyến bên trong GRE tunnel. Cuối cùng, IPSec được thêm vào lớp ngoài cùng để
cung cấp sự bảo mật và toàn vẹn. Kết quả là hai site có thể trao đổi thông tin định tuyến
và những mạng IP với nhau một cách an toàn.

GRE over IPSec thường sử dụng chế độ transport, nếu những điểm cuối GRE và
IPSec là một, ngược lại thì sử dụng tunnel mode. Dù sử dụng tunnel hay transport mode,
IP header và gói tin ban đầu cũng được bảo vệ một cách đầy đủ.
8.3.

Next Hop Resolution Protocol:
8.3.1.


Tương tác NHRP và mạng NBMA (Nonbroadcast
Multiaccess):
NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) mà làm
giảm những vấn để mạng NBMA. Với NHRP, các hệ thống học địa chỉ NBMA của các
hệ thống khác được cố định đến mạng NBMA một cách linh động. Cho phép các mạng


Page
16



này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian.
Hai chức năng của NHRP hỗ trợ cho các mạng NBMA:
- Giao thức NHRP giống như giao thức phân giải địa chỉ cho phép Next Hop Clients
(NHCs) được đăng ký một cách linh động với Next Hop Servers (NHSs). Điều này
cho phép NHCs được nối đến mạng NBMA mà không cần thay đổi cấu hình trên
NHSs, đặc biệt là trong trường hợp NHCs có địa chỉ IP vật lý động hoặc là Router có
Network Address Translation (NAT) sẽ làm thay đổi địa chỉ IP vật lý. Trong các
trường hợp này nó không thể cấu hình lại được logical Virtual Private Network (VPN
IP) đến physical (NBMA IP) mapping cho NHC trên NHS. Chức năng này được gọi
là sự đăng ký NHRP.
- NHRP là một giao thức phân giải cho phép một NHC client (Spoke) để định vị logical
VPN IP đến NBMA IP mapping cho NHC client khác (spoke) trong cùng mạng
NBMA. Nếu không có sự định vị này, các gói tin IP đang đi từ các host của một
spoke này đến các host của một spoke khác sẽ đi qua hướng của NHS (hub). Điều này
sẽ làm tăng sự sử dụng băng thông của hub và CPU cho việc xử lý các gói tin này.
Đây thường được gọi là hair-pinning. Với NHRP, các hệ thống học địa chỉ NBMA
của các hệ thống khác được cố định đến mạng NBMA một cách linh động , cho phép

các mạng thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung
gian. Điều này làm giảm tải trên hop trung gian (NHS) và có thể tăng băng thông tổng
của mạng NBMA được lớn hơn băng thông của hub.
8.3.2.

Lợi ích của NHRP cho NBMA:
Router, Access Server, và các host có thể sử dụng NHRP để tìm địa chỉ của các
Router và các host khác kết nối đến mạng NBMA. Riêng mạng NBMA lưới là được cấu
hình với nhiều mạng hợp lại để cung cấp đầy đủ các kết nối cho các lớp mạng. Như trong
các cấu hình, các gói tin có thể tạo một vài hops qua mạng NBMA trước khi đến tại đầu
ra Router(Mạng đích gần nhất Router).


Page
17



- Mạng NBMA được coi là NonBroadcast vì nó không hỗ trợ Broadcasting (vd: một
mạng IP mGRE tunnel) hoặc Broadcasting quá tốn kém (vd: SMDS Broadcast group
quá lớn).
- NRP cung cấp giống như giao thức ARP để giảm các vấn đề mạng NBMA. Với
NHRP, các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng
NBMA một cách linh động, cho phép các hệ thống này thông trực tiếp với nhau mà
traffic được dùng không cần qua hop trung gian.
8.3.3.

Next Hop Server Selection:
NHRP resolution request đi qua một hoặc nhiều hop (hubs) trong mạng con
NBMA hub-to-spoke trước khi phát đáp ứng đến trạm cần đến. Mỗi trạm (gồm trạm

nguồn lựa chọn NHS lân cận để nó forward request. NHS chọn phương pháp điển hình để
thực hiện định tuyến dựa trên địa chỉ đích lớp mạng của NHRP request. NHRP resolution
request cuối cùng đến trạm nơi mà phát NHRP resolution reply. Trạm đáp ứng này đưa ra


Page
18



trả lời sử dụng địa chỉ đích từ trong gói tin NHRP để xác định nơi cần gửi reply.

Hình 6: Minh họa cho 4 Router kết nối đến mạng NBMA
- Trong mạng là IP của các Router cần thiết để cho các Router thông lẫn nhau bằng
cách tạo IP các gói tin tunneling trong IP các gói tin tunnels GRE. Các router hỗ trợ
kết nối IP tunnel (xem hop 1, hop 2 và hop 3 trong hình). Khi router A thử forward IP
gói tin từ host nguồn đến host đích, NHRP được kích khởi. Thay cho host nguồn,
router A gửi NHRP resolution request packet được đóng gói trong GRE IP packet, mà
theo trên hình thì 3 hop qua mạng đến Router D để kết nối đến host đích . sau khi
router A nhận NHRP resolution reply, Router A xác định rằng router D là NBMA IP
next hop, và router A sẽ gửi subsequence data IP packet cuối đến router D trong GRE
IP next hop.
- Với NHRP, NBMA next hop được xác định, host nguồn cũng bắt đầu gửi dữ liệu gói
tin đến đích (không kết nối qua NBMA như IP GRE và SMDS) hoặc thiết lập 1 VC


Page
19




ảo kết nối đến đích. kết nối này được cấu hình với đáp ứng băng thông và chất lượng
dịch vụ cho kết nối định hướng mạng NBMA như : frame relay, ATM, hoặc DMVPN
mà Ipsec mã hóa ngang hàng phải được thiết lập.
8.3.4.

NHRP sử dụng với DMVPN (NHRP Used with a DMVPN)
- NHRP thường thuận tiện cho việc xây dựng VPN. VPN bao gồm : mạng ảo layer 3
được xây dựng trên nền layer 3 mạng thực tế. cấu trúc mà ta sử dụng qua VPN là độc
lập đối với mạng lớp trên và các giao thức mà ta chạy qua hoàn toàn độc lập với nó.
mạng VPN (DMVPN) dựa trên GRE logical tunnel mà có thể được bảo vệ bằng cách
thêm vào IPSec để mã hoá GRE IP tunnels.
II.

Mô phỏng mạng DMVPN:


Đây là kiến trúc Hub and Spoke, đơn Hub nhiều DMVPN Cloud. Từ Hub kết nối
tới các Spoke bằng những subnet khác nhau.



Page
20



-
Cấu hình:
+ Cấu hình tại Hub:






Page
21





+ Cấu hình tại Spoke 1:



Page
22







Page
23





+ Cấu hình tại Spoke 2


Page
24