Báo cáo đề tài:
Trường Đại học Khoa Học Tự Nhiên Thành Phố Hồ Chí Minh
Khoa Điện tử - Viễn thông
Giảng viên hướng dẫn: Ths. Nguyễn Việt Hà
Ths. Trần Thị Thảo Nguyên
Tên MSSV
1. Hoàng Ngọc Ân 0920003
2. Nguyễn Văn Lâm 0920056
3. Nguyễn Thị Hồng Linh 0920059
4. Lê Chung Ngọc Phương 0920094
5. Lương Dương Quân 0920100
Danh sách nhóm phản biện:
Tháng 12 năm 2012
Dynamic VPN
2
MỤC LỤC:
I. Sơ lược về DMVPN: 3
1. Sự ra đời của DMVPN: 3
2. Tổng quan về Dynamic VPN: 4
a) Khái niệm: 4
b) Tính chất: 4
c) Sự giảm cấu hình: 4
d) Định tuyến với DMVPN: 5
e) Cách tạo tunnel động: 6
f) DMVPN sử dụng hoặc không sử dụng IPSec: 6
3. Triển khai DMVPN: 6
II. Các giao thức: 7
1. IPsec 7
2. GRE over IPSec: 15
3. Giao thức GRE: 16
a) Các loại GRE: 16
b) Cơ chế hoạt động của GRE: 16
c) Point-to-Point GRE: 17
d) Giao thức mGRE trong DVPN : 18
4. Giao thức NHRP: 20
a) Chức năng NHRP: 20
b) Lợi ích của NHRP cho NBMA: 20
c) Sự đăng kí của NHRP: 20
d) Sự phân giải NHRP và chuyển hướng: 20
e) mGRE sử dụng NHRP: 22
III.Tóm tắt hoạt động DMVPN 25
IV. Mô phỏng DMVPN trên phần mềm GNS3: 30
V. Tài liệu tham khảo: 37
Dynamic VPN
3
Chắc hẳn bạn đã từng nghe qua khái niệm về VPN.Đó là giải pháp để kết nối mạng giữa
doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua
mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host
trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa.Có
nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec.
Phát triển dựa trên kỹ thuật VPN đó là Dynamic Multipoint VPN, bạn hình dung nó giống
với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central).Dynamic
là động, có nghĩa là kết nối này hoàn toàn tự động.
Dynamic Multipoint VPN (DMVPN) là một sự kết hợp của mGRE, NHRP, và IPsec.
NHRP cho phép các máy kết nối có địa chỉ động (ví dụ: Dial và DSL) với GRE / IPsec
tunnels.
Dựa trên mô hình hub và spoke.
I. Sơ lược về DMVPN:
1. Sự ra đời của DMVPN:
- Để triển khai mô hình mạng LAN trên diện rộng ở quy mô toàn thế giới người ta áp
dụng nhiều giải pháp khác nhau nhằm đáp ứng nhu cầu của các cá nhân, doanh nghiệp…
đồng thời đảm bảo được tính bảo mật của thông tin trên nền Internet. Điển hình như sử
dụng đường truyền lease line (khá tốn kém và khó khăn khi kết nối ở khoảng cách lớn),
ATM hoặc Frame Relay (chi phí khá cao).
- Do đó công nghệ VPN ra đời nhằm khắc phục những nhược điểm về chi phí nhưng vẫn
đảm bảo được tính bảo mật. Tuy nhiên người dùng phải thuê những địa chỉ tĩnh và
router đóng vai trò trung tâm (Hub) cũng phải chịu một lượng tải khá lớn và cấu hình
khá phức tạp đối với những mô hình mạng có quá nhiều chi nhánh (Spoke). Dựa trên
nền VPN công nghệ Dynamic VPN (DMVPN) ra đời nhằm cải thiện những khuyết điểm
của VPN kể trên.
Một số ưu điểm nổi bật:
o Cấu hình trên Hub đơn giản.
o Kết nối giữa các Spoke được thực hiện một cách tự động.
o Chi phí thấp hơn VPN thông thường.
o Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá bỏ
sau một thời gian không hoạt động đã cấu hình sẵn.
o Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke.
Dynamic VPN
4
2. Tổng quan về Dynamic VPN:
a) Khái niệm:
- Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của
hệ điều hành Cisco xây dựng làm cho công nghệ VPN với IPSec + GRE VPN trở nên
đơn giản, tự động và khả năng mở rộng cao
- Được kết hợp giữa hai công nghệ:
Next Hop Resolution on Protocol (NHRP): tạo nên phân khối NHRP để lập
bản đồ cơ sở dữ liệu của tất cả các đường hầm spoke.
Multipoint GRE tunnel interface: Một giao diện GRE hỗ trợ nhiều GRE và
đường hầm IPSec làm đơn giản kích thước và mức độ cấu hình.
- Một số công ty muốn kết nối các site chi nhánh với nhau, trong khi đồng thời kết nối
với site chính qua Internet, nó sẽ có lợi cho lưu lượng spoke to spoke để đi trực tiếp
hơn là thông qua một site hub. Với giải pháp IPsec Dynamic VPN (DMVPN), các site
spoke sẽ có thể tự động thiết lập kết nối an toàn giữa chúng.
- DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static and dynamic) theo yêu
cầu của đường hầm.
b) Tính chất:
Giảm cấu hình cho router Hub.
Hỗ trợ IP Unicast, Multicast và
định tuyến động.
Hỗ trợ từ xa với địa chỉ cấu hình tự
động cho spoke.
Spoke router với cấu hình dynamic
NAT và Hub router với cấu hình
statics NAT.
Tự tạo tunnels spoke to spoke.
Tạo điều kiện không cần trực tiếp
cấu hình khi có một spoke mới
được bổ sung.
Có IPSec hoặc không có IPSec.
Phần lớn các gói tin ban đầu sẽ đi
qua site hub cho đến khi spoke to
spoke được thiết lập.
c) Sự giảm cấu hình:
Trước DMVPN: p-p GRE + IPSec
- Một GRE cho một spoke.
- Tất cả các tunnel phải được xác định
trước.
Sử dụng tunnel đích tĩnh.
Dùng DMVPN: mGRE + IPSec
- Một interface mGRE hỗ trợ tất cả các
spoke.
- Tunnel đích tự động hỗ trợ cho địa chỉ
động của spoke.
Dynamic VPN
5
Yêu cầu địa chỉ tĩnh cho spoke.
- Cấu hình Hub lớn
Cần nhiều interface GRE.
Cần cấu hình trực tiếp nhiều địa chỉ
cho nhiều spoke.
Thêm spoke thì cần phải trực tiếp
thay đổi cấu hình trên Hub.
Lưu thông spoke to spoke đều thông
qua Hub.
- Hub cấu hình đơn giản hơn
Một giao diện cho tất cả các spoke.
Cấu hình có NHRP.
Tất cả các spoke có cùng một subnet.
Không cần cấu hình Hub khi có thêm
spoke.
Lưu thông spoke to spoke có thể thông
qua hub hoặc trực tiếp.
d) Định tuyến với DMVPN:
Định tuyến động được yêu cầu qua đường hầm hub to spoke.Spoke học tất cả các mạng
riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi từ hub.
Các giao thức định tuyến được dùng:
Enhanced Interior Gateway Routing Protocol (EIGRP)
Open Shortest Path First (OSPF)
Border Gateway Protocol (BGP)
Routing Information Protocol (RIP)
(**) Có thể sử dụng cho spoke to spoke.
Dynamic VPN
6
e) Cách tạo tunnel động:
- Mỗi spoke có một đường hầm vĩnh viễn GRE/IPSec với các Hub nhưng không nối
các spoke. Chúng được đăng kí như clients của NHRP server.
- Khi một spoke gửi một gói tin đến một đích đến (private) subnet của một spoke khác,
nó sẽ truy vấn NHRP server tìm địa chỉ đích của spoke đó.
- Sau đó spoke tự tạo tunnel động GRE/IPSec đến spoke mục tiêu. (Vì nó đã biết địa
chỉ đích)
- Tunnel spoke to spoke được xây dựng qua mGRE.
f) DMVPN sử dụng hoặc không sử dụng IPSec:
- DMVPN được xây dựng bởi một hệ thống mạng với mạng lưới đường hầm động.
- Có thể chạy mà không có mã hóa.
- IPSec được kích hoạt thông qua việc “Bảo vệ đường hầm” (Tunnel Protection).
• NHRP kích hoạt IPSec trước khi cài bản đồ mới.
• NHRP cài đặt mapping và gửi đăng kí nếu cần thiết.
• NHRP thông báo cho nhau khi một mapping hoặc dịch vụ bị xóa.
3. Triển khai DMVPN:
- Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai.Đó là hub-and-spoke
vàspoke-and-spoke. Hub là trung tâm (central), tức là hệ thống mạng WAN đặt ở
trungtâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng.
Dynamic VPN
7
Mô hình triển khai DMVPN
Trên hình, đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối
giữa Hub-and-Spoke.Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương
tự như khái niệm trong Site-to-Site. Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau.
II. Các giao thức:
1.IPsec
- IPSec – Internet Protocol security: là giao thức cung
cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu
được truyền đi an toàn từ nơi này sang nơi khác.
IPSec VPN là sự kết hợp để tạo ra một mạng riêng an
toàn phục vụ cho việc truyền dữ liệu bảo mật.
- IPSec hoạt động ở lớp Network, nó không phụ thuộc
vào lớp Data-Link như các giao thức dùng trong VPN
khác như L2TP, PPTP.
- IPSec hỗ trợ nhiều thuật toán dùng để mã hóa dữ liệu và chứng thực đầu cuối. Những kỹ thuật
mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
+ Tính bảo mật dữ liệu – Data confidentiality
Dynamic VPN
8
+ Tính toàn vẹn dữ liệu – Data Integrity
+ Tính chứng thực nguồn dữ liệu – Data origin authentication
+ Tính tránh trùng lặp gói tin – Anti-replay
Các giao thức của IPSec:
- Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối,
IPSec dùng 3 giao thức:
+ IKE (Internet Key Exchange)
+ ESP (Encapsulation Security Payload)
+ AH (Authentication Header)
- IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau
như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi
xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association)
được tạo ra.
- SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu
trong cơ sở dữ liệu của SA
- Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ
được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa
Dynamic VPN
9
của các attacker.
+ IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet
Security Association and Key Management Protocol) và Oakley.
+ ISAKMP:là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
+ Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-
Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
- Giao thức IKE dùng UDP port 500.
Các giai đoạn (phase) hoạt động của IKE:
Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP.
Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase
này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5
tùy chọn.
IKE phase 1:
Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số
bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý
giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.
Dynamic VPN
10
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
- Thuật toán mã hóa: DES, 3DES, AES
- Thuật toán hash: MD5, SHA
- Phương pháp chứng thực: Preshare-key, RSA
- Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được
chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi.
Phase 1.5:
Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo
nên một kênh truyền bảo mật.
Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong
Remote Access VPN
IKE phase 2:
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho
kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa
trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.
Các thông số mà Quick mode thỏa thuận trong phase 2:
- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc
được chỉ định.
- Trao đổi khóa Diffie-Hellman
Dynamic VPN
11
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo
nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH,
hoạt động theo tunnel mode hay transport mode.
Encapsulating Security Header (ESP)
ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch
vụ chống tấn công Anti-reply.
Dynamic VPN
12
ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header và trước Header
của giao thức lớp trên. IP Header có thể là một IP Header mới trong chếđộ Tunnle hoặc là IP
Header nguồn nếu trong chế độ Transport.
Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị32 bit được
tích hợp với địa chỉ đích và giao thức trong IP Header. SPI là một số được lựa chọn bởi Host
đích trong suốt quá trình diễn ra thương lượng Public Key giữa các Peer-to-Peer. Số này tăng
một cách tuần tự và nằm trong Header của người gửi. SPI kết hợp với cơ chế Slide Window tạo
thành cơ chế chống tấn công Anti-Replay.
Dynamic VPN
13
- Authentication Header (AH)
AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công.
Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu.Phần Header của AH đơn
giản hơn nhiều so với EPS.
AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header. Trong chế độ Transport,
Dynamic VPN
14
giá trị giao thức lớp trên được bảo vệ như UPD, TCP , trong chế độ Tunnle, giá trị này là 4.
Vị trí của AH trong chế độ Transport và Tunnle như trong hình sau:
Trong chế độ Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong chế độ
Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header. Qua đó AHtrong chế độ
Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật. Tuy nhiên phần nội dung
của gói tin là không được bảo mật.
Dynamic VPN
15
2. GRE over IPSec:
- GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật
cho kênh truyền.
- Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo
ra khả năng mở rộng hệ thống mạng rất lớn.Do đó, sự kết hợp giữa IPSec và GRE tạo nên một
giải pháp tối ưu khi triển khai mạng DMVPN, mang lại các tính năng sau:
- Sự bảo mật, toàn vẹn dữ liệu và chứng thực đầu cuối
- Tăng khả năng mở rộng cho việc thiết kế mạng
- Đáp ứng các ứng dụng multicast.
Cơ chế hoạt động của GRE over IPSec:
- GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền
thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec
sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.
- GRE over IPSec cũng có hai mode hoạt động: Tunnel mode và Transport mode
- GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được
truyền dẫn qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông
qua việc IPSec sẽ đóng gói packets GRE bởi các tham số bảo mật của mình.GRE over
IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
- Có nhiều lớp IP bên trong một gói tin GRE over IPSec. Lớp trong cùng là gói tin IP ban
đầu. Gói tin này được bao bọc trong một GRE header để cho phép chạy những giao thức
địnhtuyến bên trong GRE tunnel. Cuối cùng, IPSec được thêm vào lớp ngoài cùng để
cung cấp sự bảo mật và toàn vẹn. Kết quả là hai site có thể trao đổi thông tin định tuyến
và những mạng IP với nhau một cách an toàn.GRE over IPSec thường sử dụng chế độ
transport, nếu những điểm cuối GRE và IPSec là một, ngược lại thì sử dụng tunnel mode.
Dù sử dụng tunnel hay transport mode, IP header và gói tin ban đầu cũng được bảo vệ
một cách đầy đủ.
Dynamic VPN
16
3. Giao thức GRE:
GRE - Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với
mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng IP.
Gói tin sau khi đóng gói được truyền qua mạng IP và sử dụng GRE header để định tuyến.
Mỗi lần gói tin GRE đi đến đích, lần lượt các header ngoài cùng sẽ được gỡ bỏ cho đến khi gói
tin ban đầu được mở ra.GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả.Nó có thể tạo
tunnel cho bấy kì giao thức lớp 3 nào.GRE cho phép những giao thức định tuyến hoạt động trên
kênh truyền của mình.GRE không có cơ chế bảo mật tốt.Trong khi đó, IPSec cung cấp sự tin cậy
cao. Do đó nhà quản trị thường kết hợp GRE với IPSec để tăng tính bảo mật, đồng thời cũng hỗ
trợ IPSec trong việc định tuyến và truyền những gói tin có địa chỉ IP Muliticast.
a) Các loại GRE:
- GRE là 1tunel đơn giản không thương lượng và GRE chỉ cần thiết bị đầu cuối đường
hầm.
- GRE đóng gói frame hoặc gói dữ liệu vào một địa chỉ IP packet khác + IP header
- GRE chỉ có 4 đến 8 bytes của bit trên đầu.
- GRE có hai dạng chính là :
Point to point(GRE)
Point to mutipoint (mGRE)
b) Cơ chế hoạt động của GRE:
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức
IPSec hoạt động ở Tunnel mode.Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói
tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi
trường trung gian.
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến,
còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp
tính năng tin cậy như: checksum, key chứng thực, sequence number.
Dynamic VPN
17
Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ
định những tính năng tùy chọn của GRE
- Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào
sau trường Protocol type của GRE header.
- Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây
như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì
key này được dùng để xác định các thiết bị đích.
- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE
header.
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE
đóng gói và truyền qua kênh truyền.
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của
kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.
c) Point-to-Point GRE:
Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu
hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu
hình hai tunnel, một đến R2 và một đến R3. Mỗi tunnel như vậy thì cần một địa
chỉ IP.
Giả sử mô hình trên được mở rộng thành nhiều spoke, thì trên R1 cần phải cấu
hình phức tạp và tốn không gian địa chỉ IP.
Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thểtruyền dữ
liệu. Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn
224.0.0.5) thì GRE point-to-point không thực hiện được.Để làm được việc này thì phải
cần đến mGRE.
Dynamic VPN
18
d) Giao thức mGRE trong DVPN :
Giao thức GRE được xác định:
1.Tunnel interface : interface tunnel 0
2.Tunnel address : ip address 10.0.0.1
255.0.0.0
3. A tunnel source/destination :
tunnel source S0/1
tunnel destination 172.16.0.2
4.Lựa chọn tunnel key : Tunnel key 1
Giao thức mGRE được xác định:
1.Tunnel interface : interface tunnel 0
2.Tunnel address : ip address 10.0.0.1
255.0.0.0
3. A tunnel source/destination :
tunnel source S0/1
tunnel mode gre multipoint
4. Lựa chọn tunnel key : Tunnel key 1
Chú ý: Giao thức mGRE không có tunnel destination.
- Tunnel address là địa chỉ ip xác định trên tunnel interface.
- Non-broadcast multiple access (NBMA) address (physical address) là địa chỉ ip sử dụng
như tunnel source hoặc destination.
Ví dụ :
Trên roter A, 1 cấu hình:
Interface ethernet 0/0
Ip address 172.16.0.1 255.255.255.0
Interface tunnel0
Ip address 10.0.0.1 255.0.0.0
Tunnel source ethernet0/0
[…… ]
Trong đó:
10.0.0.1 là địa chỉ tunnel 0 của router A
172.16.0.1 là địa chỉ NBMA
Dynamic VPN
19
Tunnels mGRE
Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast.Đây là tính năng chính
của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS. Tuy nhiên, trong mGRE,
điểm cuối chưa được xác định nên nó cần một giao thức để ánh xạđịa chỉ tunnel sang địa chỉ
cổng vật lý. Giao thức này được gọi là NHRP (Next Hop Resolution Protocol).
Đối với các mGRE Tunnel thì mỗi router chỉ có một Tunnel được cấu hình cùng một subnet
logical.
Sử dụng 1 interface tunnel
Mạng Non-broadcast multi –access (NBMA) .
Đến được nhiều tunnel destination.
Hỗ trợ multicast và broadcast.
Next Hop Resolution Protocol (NHRP)
Mapping địa chỉ VPN IP đến NBMA IP.
DMVPN GRE Interfaces:
o Trong DMVPN , Hub phải có 1 điểm nối đến mGRE.
o Spokes có thể có 1 điểm để đến điểm của GRE interface hoặc mGRE interface.
o Phải sử dụng mGRE xuyên suốt quá trình.
o Chú ý: Giao thức GRE point-to-point không cho kết nối tunnel trực tiếp giữa spoke-
to-spoke.
o Vì mGRE tunnels không có xác định tunnel đích, chúng không thể sử dụng độc lập .
o NHRP thông báo mGRE địa chỉ để gửi gói tin.
Dynamic VPN
20
4. Giao thức NHRP:
NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) mà làm giảm
những vấn để mạng NBMA. Với NHRP, các hệ thống học địa chỉ NBMA của các hệ thống khác
được cố định đến mạng NBMA một cách linh động.Cho phép các mạngnày thông trực tiếp với
nhau mà traffic được dùng không cần qua hop trung gian.
a) Chức năng NHRP:
- Giao thức NHRP giống như giao thức phân giải địa chỉ cho phép Next Hop Clients(NHCs)
được đăng ký một cách linh động với Next Hop Servers (NHSs). Điều này cho phép NHCs
được nối đến mạng NBMA mà không cần thay đổi cấu hình trênNHSs, đặc biệt là trong
trường hợp NHCs có địa chỉ IP vật lý động hoặc là Router cóNetwork Address Translation
(NAT) sẽ làm thay đổi địa chỉ IP vật lý. Trong cáctrường hợp này nó không thể cấu hình
lại được logical Virtual Private Network (VPNIP) đến physical (NBMA IP) mapping cho NHC
trên NHS. Chức năng này được gọilà sự đăng ký NHRP.
- NHRP là một giao thức phân giải cho phép một NHC client (Spoke) để định vị logicalVPN IP
đến NBMA IP mapping cho NHC client khác (spoke) trong cùng mạngNBMA. Nếu
không có sự định vị này, các gói tin IP đang đi từ các host của mộtspoke này đến các host của
một spoke khác sẽ đi qua hướng của NHS (hub). Điều nàysẽ làm tăng sự sử dụng băng thông của
hub và CPU cho việc xử lý các gói tin này.Đây thường được gọi là hair-pinning. Với NHRP, các
hệ thống học địa chỉ NBMAcủa các hệ thống khác được cố định đến mạng NBMA một cách linh
động , cho phépcác mạng thông trực tiếp với nhau mà traffic được dùng không cần qua hop
trunggian. Điều này làm giảm tải trên hop trung gian (NHS) và có thể tăng băng thông tổng
của mạng NBMA được lớn hơn băng thông của hub.
b) Lợi ích của NHRP cho NBMA:
- Router, Access Server, và các host có thể sử dụng NHRP để tìm địa chỉ của các Router và các
host khác kết nối đến mạng NBMA. Riêng mạng NBMA lưới là được cấu hình với nhiều mạng
hợp lại để cung cấp đầy đủ các kết nối cho các lớp mạng. Như trong các cấu hình, các gói tin có
thể tạo một vài hops qua mạng NBMA trước khi đến tại đầu ra Router (mạng đích gần nhất của
Router).
- Mạng NBMA được coi là NonBroadcast vì nó không hỗ trợ Broadcasting (vd: một mạng IP
mGRE tunnel) hoặc Broadcasting quá tốn kém (vd: SMDS Broadcast group quá lớn).
c) Sự đăng kí của NHRP:
Spoke đăng kí tự động với NHS (Next hop server).
Hỗ trợ spokes với địa chỉ động NBMA hoặc NAT.
d) Sự phân giải NHRP và chuyển hướng:
Hỗ trợ xây dựng tunnels động spoke-to-spoke.
Kiểm soát và lưu thông IP Multicast vẫn hoạt đông thông qua Hub.
Dữ liệu Unicast lưu thông trực tiếp, giảm tải trên routers hub.
Dynamic VPN
21
Ví dụ sự đăng kí NHRP
Ví dụ sự phân giải NHRP và chuyển hướng
- NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu trên hệ
thống mạng NBMA.
- NHRP không phải là giao thức dò đường. Đó chỉ là một giải pháp kỹ thuật về địa chỉ để
sắp xếp lại các địa chỉ của IP trong quá trình chuyển dữ liệu sang các địa chỉ kiểu.
- Mạng NBMA trái ngược lại với mạng Broascast. Trên hệ thống mạng Broascast, nhiều
máy tính cũng như các thiết bị cùng dùng chung một cáp mạng hay các thiết bị truyền
thông khác. Khi một máy tính truyền đi các frame thông tin, tất cả các nút trên mạng
cùng “lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên
frame mới thật sự nhận được các frame nầy. Bởi vậy, các frame gọi là được phát tán.
Dynamic VPN
22
- Mạng kiểu NBMA sử dụng các mạch hướng kết nối để phân phối các frame hay cell từ
đầu nầy đến đầu kia của mạch. Không có trạm nào khác liên quan đến mạch nầy ngoại
trừ 2 nút cuối của nó.Các dịch vụ chuyển dữ liệu trong IP phi kết nối (connectionless)
không phải luôn luôn phù hợp với các liên kết hướng kết nối của ATM.
e) mGRE sử dụng NHRP:
- Khi 1 gói tin được định tuyến, nó được truyền giao thức mGRE cần next –hop.
- Next-hop là địa chỉ tunnel của mạng peer từ xa.
- mGRE tìm trong NHRP cache đến địa chỉ next- hop và lấy lại địa chỉ NBMA của mạng
từ xa.
- mGRE đóng gói packet vào GRE/IP payload
- Đích của gói tin mới là địa chỉ NMBA .
- Multicast packets chỉ được gởi đến mạng từ xa cụ thể được xác định bằng cấu hình
NHRP.
Đường dẫn mGRE/NHRP Path.
Dynamic VPN
23
Cách hoạt động NHRP
NHRP yêu cầu đăng kí:
Dynamic VPN
24
NHRP trả lời đăng kí:
Cách học của NHRP
Dynamic VPN
25
Spoke sẽ gởi yêu cầu phân giải của NHRP đến NHS của nó để học địa chỉ NBMA.
Chuỗi địa chỉ có thể là địa chỉ mạng.
Lý tưởng, Chuỗi địa chỉ nên là địa chỉ next hop
NHS sẽ trả lời với địa chỉ NBMA từ cache của nó.
Sự phân giải sẽ có lifetime được thiết lập trong hub cache.
Nếu NHS không có mục của nó trong cache , thì sẽ báo lỗi và spoke sẽ cài đặt nó và
chuyển gói tin đến NHS.
Trong suốt quá trình xử lí, spoke sẽ chuyển tất cả gói tin đến NHS của nó.
Ngay khi mục NHRP tạo ra nhưng không được nhập vào cache , thì tunnel IPsec sẽ được
khởi .
Mục NHRP sẽ được chèn vào cache và sử dụng khi IPsec tunnel đã được chuẩn bị.
IPsec tunnel sẽ mất khi mục NHRP bị hết giờ.
III.Tóm tắt hoạt động DMVPN
1. Một máy tính
(192.168.1.25) trong Spoke
A muốn kết nối đến Web
server (192.168.2.37) tại
spoke B . Nó gửi một gói
tin về phía server .