I. KHÁI QUÁT VỀ DMVPN
1) DMVPN là gì ?
Dynamic
Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công
nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép được
triển khai IPSec trong mạng riêng ảo một cách dễ dàng.
2) Ưu điểm của DMVPN
Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels
3) Các công nghệ sử dụng
· IPSec (Internet Protocol SECurity)
Giao thức
cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá
công khai trên mode Tunnel , nội dung và tiêu đề của gói tin được mã
hoá. cả hai đều được bảo vệ
· mGRE (Generic Routing Encapsulation)
Giao
thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn
trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các
Router ở xa trong cấu trúc mạng IP.
· NHRP (Next Hop Resolution Protocol)
Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác.
4. Hoạt động của DMVPN
DMVPN là giải pháp phần mềm của hệ điều hành cisco.
DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm :
- Next Hop Resolution Protocol (NHRP)
o HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke
§ mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động.
§ Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp.
o Multipoint GRE Tunnel Interface
§ Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels
§ Kích thước đơn giản và cấu hình phức tạp
- DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.
- Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server.
- Khi
1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke
khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích.
- đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích.
- Tunnel từ spoke-to-spoke được xây dựng qua mGRE tunnel
5. Định tuyến với DMVPN
- Định tuyến động được yêu cầu qua tunnel Hub-to-spoke.
- Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub.
- IP next-hop cho 1 mạng spoke là interface tunnel cho spoke.
- Các giao thức định tuyến được dùng:
o Enhanced Interior Gateway Routing Protocol (EIGRP)
o Open Shortest Path First (OSPF)
o Border Gateway Protocol (BGP)
o Routing Information Protocol (RIP)
6. DMVPN phase
o Phase 1 : Tính năng của Hub và Spoke
o Phase 2 : Tính năng của spoke-to-spoke
o Phase 3 : Khả năng thay đổi spoke-to-spoke để quy mô các mạng được mở rộng .
IPSec + GRE đối với DMVPN phase 1
Hub-to-Spoke
Tính năng :
- Tất cả lưu lượng đi qua phải thông qua Hub
- Triển khai dễ dàng
- Files cấu hình Hub nhỏ
Ưu điểm của DMVPN phase 1
- Hub và spoke cấu hình đơn giản và nhỏ gọn
- Hỗ trợ Multicast traffic từ Hub đến các spoke
- Hỗ trợ địa chỉ cho các spoke một cách linh động
phase 2:
- Trong
phase 2 NHRP khởi động NHC-to-NHS tunnel và giao thức định tuyến động
thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà Hub
có và tất cả các spoke. Các thông tin này là : ip next hop của spoke
đích và hỗ trợ riêng mạng đích.
- Khi
1 gói tin được forward nó sẽ tới outbound interface và ip next hop từ
bảng định tuyến mẫu . Nếu interface NHRP là interface outbound nó sẽ tìm
NHRP mapping vào IP next hop . Nếu không có sự trùng khớp của bảng NHRP
mapping, thì NHRP được kích khởi để gửi NHRP resolution request đến
thông tin mapping (địa chỉ IP next hop đến địa chỉ vật lý layer). NHRP
registration reply packet chứa thông tin mapping này và khi thông tin
này được nhận các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu
chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng.
Phase 3:
- NHRP
khởi động NHC và NHS tunnel và giao thức định tuyến động được dùng để
phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến
Hub. Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke,
nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến
. Nó sẽ đặt IP next hop của tất cả các mạng đích đến NHS (hub). Điều
này làm giảm lượng thông tin trong bảng giao thức định
tuyến cần để phân phối từ Hub đến các spoke, giảm việc cập nhật giao
thức định tuyến đang chạy trên hub.
- Khi
data packet được forward, nó sẽ tới outbound interface và ip next hop
từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface
outbound thì nó sẽ tìm mapping NHRP vào IP next hop . Trong trường hợp
này IP next hop sẽ được hub coi như là NHRP mapping (nó đã cài 1 tunnel
với hub) , các spoke sẽ chỉ gửi data packet đến Hub.
- Hub
nhận được data packet và nó kiểm tra bảng định tuyến. Vì data packet
này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ
forward ra khỏi interface NHRP đến next hop về hướng spoke. Tại đây, hub
phát hiện packet đến và gửi nó ra khỏi interface NHRP. Có nghĩa là data
packet chiếm ít nhất 2 hop trong mạng NHRP và do đó đường này thông qua
hub không phải là 1 đường tối ưu . Cho nên hub gửi trực
tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là
thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này
kích khởi NHRP.
- Khi
spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution
request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại . NHRP
resolution request sẽ forward đến spoke đầu xa các dịch vụ mạng cho IP
đích.
- Spoke
đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA của nó và toàn bộ
subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích
từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP
resolution reply trực tiếp trở lại spoke nội bộ . Đến thời điểm này đã
đầy đủ thông tin cho data traffic được gửi trực tiếp qua spoke-to-spoke mà đường dẫn vừa được tạo.
- Bảng
định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng
khi xây dựng tunnel spoke-to-spoke. Do đó khả năng của NHS (các hub) là
tới hạn cho tính năng của mạng NHRP . khi chỉ có 1 hub mà hub đó bị
down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. bởi
vì nó bị mất hub giống như mất đi routing neighbor. Tuy nhiên, spoke
không xoá bất kỳ tunnels spoke-to-spoke (NHRP mapping) mà vẫn còn hoạt
động. Mặc dù tunnel spoke-to-spoke vẫn còn nhưng nó không được sử dụng
vì trong bảng định tuyến không còn đường đi nào đến mạng đích nữa.
- Trong
quá trình bổ sung thêm , Khi bảng định tuyến đưa vào bị xoá không được
kích hoạt đến NHRP. kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down.
- Trong
phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là
định tuyến tĩnh) với chính xác IP next hop thì spoke vẫn có thể dùng spoke-to-spoke
tunnel ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi NHRP
mapping đưa vào vì NHRP resolution yêu cầu hoặc cần đáp ứng để đi qua
hub.
- Trong
phase 3, ta chỉ cần định tuyến ra interface tunnel, không cần phải
chính xác IP next hop ( NHRP bỏ qua IP next-hop trong phase 3). NHRP có
khả năng làm tươi NHRP mapping . Vì NHRP resolution yêu cầu hoặc đáp ứng
sẽ đi qua trực tiếp spoke-to-spoke tunnel.
Nếu ta có 2 (hoặc nhiều hơn) NHS Hub trong 1 mạng NBMA (1 mGRE, frame-relay
, hoặc ATM interface) , sau khi hub đầu tiên bị down, spoke Router sẽ
loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này, nhưng nó
sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc
này định tuyến sẽ được thiết lập ngay. Do đó lưu lượng spoke-to-spoke sẽ
tiếp tục đi qua spoke-spoke tunnel, và nó không bị ảnh hưởng bởi hub đầu tiên.
Không có nhận xét nào:
Đăng nhận xét