Dynamic Multipoint VPN.docx

TRƯỜNG ĐH CÔNG NGHỆ THÔNG TIN -KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG

Dynamic Multipoint VPN

Đề tài môn: Công nghệ mạng viễn thông

Tháng 12 năm 2011

Chắc hẳn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ liệu này, phồ biến nhất là IPSec. Trong bài viết này, tôi xin giới thiệu đến các bạn một kỹ thuật mới có liên quan đến VPN đó là Dynamic Multipoint VPN. Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chi nhánh (branch) và trung tâm (central). Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Để hiểu rỏ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ thống mạng DMVPN này.

Th c hi nự ệ

Nguy n T n Thành –ễ ấ 08520357

Nguy n Đ c Trung –ễ ứ 08520432

M n Văn Th ng – 08520370 ẫ ắ

Ph n 1: T ng quanầ ổĐ tri n khai m ng DMVPN, chúng ta có hai cách th c tri n khai. Đó là hub-and-spokeể ể ạ ứ ể và spoke-and-spoke. Đ hi u đ c hai khái ni m này, tr c tiên b n nên hi u hub là gì,ể ể ượ ệ ướ ạ ể và spoke là gì. Hub đây là trung tâm (central), t c là h th ng m ng WAN đ t trungở ứ ệ ố ạ ặ ở tâm c a công ty. Còn Spoke ch chi nhánh, văn phòng. Nhìn vào hình 1.1 minh h a choủ ỉ ọ đi u đó, Hub chính là ph n Central Site, còn Spoke chính là ph n Branches.ề ầ ầ

Hình 1. 1: Mô hình tri n khai DMVPNể

Cũng trên hình 1.1, chúng ta th y rõ đ ng màu xanh chính là k t n i gi a Spoke-and-ấ ườ ế ố ữSpoke, còn màu đ chính là k t n i gi a Hub-and-Spoke. Nh v y, Hub-and-Spoke làỏ ế ố ữ ư ậ k t n i t trung tâm đ n chi nhánh, nó t ng t nh khái ni m trong Site-to-Site. Kháiế ố ừ ế ươ ự ư ệ ni m m i chính là ch Spoke-and-Spoke, là k t n i gi a các chinh nhánh v i nhau.ệ ớ ở ổ ế ố ữ ớ

N u nh trong VPN, b n ch nghe nh c đ n k t n i m t Client đ n m t Site, ho c m tế ư ạ ỉ ắ ế ế ố ộ ế ộ ặ ộ Site đ n m t Site, thì trong DMVPN, b n sẽ ti p t c có m t khái ni m m i h n, đó làế ộ ạ ế ụ ộ ệ ớ ơ k t n i gi nhi u Hub đ n nhi u Spoke, đi u này lý gi i t i sao nó có thêm chế ố ữ ề ế ề ề ả ạ ữ Multipoint.

Có m t vài tên g i mà các b n nên l u tâm đ n đ tránh nh m l n. Khi nói đ n Hub vàộ ọ ạ ư ế ể ầ ẫ ế Spoke là ý đang nói đ n router th c hi n ch c năng DMVPN trung tâm và chi nhánh.ế ự ệ ứ ở

Còn khi nói đ n Site Central và Site Branch (hay g i t c là Central và Branch) là nói đ nế ọ ắ ế nhi u thi t b có đó, Hub và Spoke n m Central và Branch. ề ế ị ở ằ ở

Các thành ph n c a DMVPNầ ủChúng ta sẽ cùng th o lu n v các thành ph n c n thi t đ tri n khai m t h th ngả ậ ề ầ ầ ế ể ể ộ ệ ố m ng doanh nghi p, s d ng DMVPN đ k t n i các văn phòng chi nhánh.ạ ệ ử ụ ể ế ố

Đ u tiên, không c n ph i tính toán, đó là h th ng Hub và Spoke. hai phía ph i cóầ ầ ả ệ ố Ở ả nh ng thi t b h tr t t trong vi c t o k t n i DMVPN. Có nhi u gi i pháp đ chúngữ ế ị ổ ợ ố ệ ạ ế ố ề ả ể ta l a ch n, nh ng ph bi n nh t v n là Router c a Cisco.ự ọ ư ổ ế ấ ẫ ủ

Nhìn vào mô hình hình 1.1, chúng ta nh n th y r ng, đ k t n i đ c gi a Hub vàở ậ ấ ằ ể ế ố ượ ữ Spoke nó ph i k t n i thông qua Cloud. Cloud đây ám ch nhà cung c p d ch vả ế ố ở ỉ ấ ị ụ internet (ISP). Có nhi u gi i pháp cho b n s d ng các d ch c a ISP cung c p. Cloudề ả ạ ử ụ ị ủ ấ này có th là Frame-Reply, ATM, Leased Lines.ể

Kỹ thu t thi t kậ ế ếTrong thi t k DMVPN, có hai topology đ c đ a ra bàn lu n:ế ế ượ ư ậ

Dual hub-dual DMVPN cloud Dual hub-single DMVPN cloud

Tr c tiên b n c n hi u DMVPN cloud là gì, nó là t p h p các router đ c c u hìnhướ ạ ầ ể ậ ợ ượ ầ đ nh tuy n đ giao ti p v i nhau. B n có th dùng giao th c mGRE ho c PPP ho c là cị ế ể ế ớ ạ ể ứ ặ ặ ả hai đ c u hình giao ti p v i các router này, chúng ph i có cùng subnet.ể ấ ế ớ ả

Nh v y hai kỹ thu t đ c p trên có th hi u là ư ậ ậ ề ậ ở ể ể đa hub đa DMVPN cloud và đa hub m t DMVPN cloud.ộ Nó đ c minh h a nh trong hình 1.2 và 1.3ượ ọ ư

Hình 1. 2: Dual DMVPN Cloud Topology

Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó k t n i v iế ố ớ các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì k t n iế ố th ng xuyên h n. Trong khi đó, Hub 2 đ c khuy n cáo là đ d phòng trong tr ngườ ơ ượ ế ể ự ườ h p Hub 1 g p chút tr c tr c. Gi a Hub1 và Hub 2 đ c khuy n cáo k t n i v i nhauợ ặ ụ ặ ữ ượ ế ế ố ớ trong m ng campus và không cùng subnet (cùng m t net, t c là net đ c chia m ngạ ộ ứ ượ ạ con). Đi u t t nhiên ph i đ m b o là c hub 1 và hub 2 đ u ph i giao ti p đ c v i hề ấ ả ả ả ả ề ả ế ượ ớ ệ th ng m ng bên trong. Gi i pháp này đ c bi t đ n v i kh năng ố ạ ả ượ ế ế ớ ả Failover, t c là h nứ ạ ch s c , luôn duy trì k t n i.ế ự ố ế ố

Hình 1. 3: Single DMVPN Cloud Topology

Mô hình th hai, dual hub singel DMVPN cloud, b n ch có m t đ ng m ng đ k t n iứ ạ ỉ ộ ườ ạ ể ế ố t t c các hub và branch. T DMVPN Cloud b n th y chúng ta có hai k t n i v hai hub.ấ ả ừ ạ ấ ế ố ề Gi i pháp này đ c bi t đ n v i kh năng ả ượ ế ế ớ ả load balanced.

DMVPN cloud h tr cho c hai mô hình tri n khai hub-and-spoke và spoke-and-spoke.ổ ợ ả ể Trong hub-and-spoke, m i headend ch a m t interface mGRE và m i branch có ch cỗ ứ ộ ỗ ứ ả p2p ho c mGRE interface. Trong mô hình spoke-and-spoke c hai đ u headend vàặ ả ầ branch đ u có mGRE interface.ề

Dual DMVPN Cloud TopologyV i Dual Cloud chúng ta sẽ th o lu n cho hai model tri n khai:ớ ả ậ ể

Hub-and-spoke Spoke-to-spoke

Hub-and-SpokeV i Dual DMVPN cloud trong model hub-and-spoke, có ch a hai headend (hub1 vàớ ứ hub2), m i cái có m t ho c nhi u tunnel mGRE k t n i đ n t t c các branch. Hình 1.4ỗ ộ ặ ề ế ố ế ấ ả minh h a cho chúng ta đi u đó.ọ ề

Hình 1. 4: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model

M i DMVPN cloud đ c đ i di n b ng IP duy nh t trong subnet. M t DMVPN cloudỗ ượ ạ ệ ằ ấ ộ đ c g i là primary (cloud chính), ch u trách nhi m cho m i l ng m ng c a Branch điượ ọ ị ệ ọ ượ ạ ủ qua. M i branch có ch a hai interface p2p GRE k t n i đ n m i Hub riêng lẽ. Trongỗ ứ ế ố ế ỗ model tri n khai này không có tunnel nào gi a các branch. Giao ti p n i b gi a cácể ữ ế ộ ộ ữ branch đ c cung c p thông qua hub. Thông s metric c a giao th c đ nh tuy n mà hượ ấ ố ủ ứ ị ế ệ th ng s d ng, đ c s d ng đ xác đ nh đâu là primary hub.ố ử ụ ượ ử ụ ể ị

Ki n trúc h th ng c a trung tâm (system headend)ế ệ ố ủCó hai ki n trúc dành cho h th ng trung tâm đ c đ a ra tri n khai là:ế ệ ố ượ ư ể

Single Tier Dual Tier

Single TierTrong ki n trúc Single Tier, v m t ch c năng thì mGRE và Crypto cùng t n t i trongế ề ặ ứ ồ ạ m t CPU c a router.ộ ủ

Hình 1. 5: Single Tier Headend Architecture

Hình 1.5 là gi i pháp dual cloud v i model hud-and-spoke. T t c các Headend đ u cóả ớ ấ ả ề tunnel mGRE và Crypto đ c g p chung l i trong m t multiple GRE tunnel, đ ph c vượ ộ ạ ộ ể ụ ụ cho các lu ng d li u c a branch. M t khác, đ k t thúc tunnel VPN t i trung tâm,ồ ữ ệ ủ ặ ể ế ạ headend có th g i m t thông đi p đ báo cho giao th c đ nh tuy n đang đ c sể ử ộ ệ ể ứ ị ế ượ ử d ng t i branch nh EIGRP, OSPF, b t k đ ng nào đ c ch n trong cloud (cloudụ ạ ư ấ ể ườ ượ ọ path – đ ng k t n i gi a các router trong cloud).ườ ế ố ữ

Dual TierV i ki n trúc dual tier, mGRE và Crypto không cùng t n t i trong cùng CPU c a router.ớ ế ồ ạ ủ

Hình 1. 6: Dual Tier Headend Architecture

Hình 1.6 là gi i pháp dual DMVPN cloud v i model hub-and-spoke. đây mGRE vàả ớ Ở Crypto t i headend n m riêng lẽ nhau nhau, chúng ph c v cho nhau và cho multipleạ ằ ụ ụ mGRE tunnel đ chuy n lu ng l u l ng m ng cho branch. Đ u cu i c a VPN tunnel,ể ể ồ ư ượ ạ ầ ố ủ Crypto sẽ nh n d li u g i t branch và sau đó chuy n ti p cho mGRE, đ mGRE qu ngậ ữ ệ ử ừ ể ế ể ả bá cho các giao th c đ nh tuy n t i branch nh EIGRP ho c OSPF.ứ ị ế ạ ư ặ

Router trong t t c các mô hình c a DMVPN đóng vai trò là đi m k t th c c a tunnel.ấ ả ủ ể ế ứ ủ Đ ng th i nó còn kiêm theo nhi u ch c năng khác nh Firewall. Đ a ch ip m t ngoàiồ ờ ề ứ ư ị ỉ ặ c a router có th là tĩnh ho c đ ng, và nó ph i đ c “map” trong b n đ c a router.ủ ể ặ ộ ả ượ ả ồ ủ Hành đ ng này có nghĩa là: M t inteface m t ngoài c a router có đ a ch ip public c aộ ộ ặ ủ ị ỉ ủ riêng nó, và m t tunnel cũng có ip (public ho c private), nó ph i nh x đ bi t tunnelộ ặ ả ả ạ ể ế này đ c chuy n ra interface t ng ng.ượ ể ươ ứ

Spoke-and-SpokeCũng gi ng nh Hub-and-spoke, trong model này cũng có hai Hub trung tâm, m i hubố ư ở ỗ có m t ho c nhi u tunnel k t n i đ n t t c các chi nhánh. Giao ti p gi a các Branchộ ặ ề ế ố ế ấ ả ế ữ đ c th c hi n thông qua Hub, tr khi nó có m t đ ng k t n i đ c t o ra gi a haiượ ự ệ ừ ộ ườ ế ố ượ ạ ữ Spoke. Đó chính là s khác bi t c a tr ng h p này. Tunnel gi a Spoke and Spoke đ cự ệ ủ ườ ợ ữ ượ g i là dynamic, nó ph i n m trong m t single DMVPN cloud ho c cùng m t subnet.ọ ả ằ ộ ặ ộ Tunnel c a spoke-and-spoke thì không gi a hai DMVPN cloud.ủ ở ữ

Hình 1. 7: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model

Ki n trúc h th ng trung tâmế ệ ốCác Branch trong ki u tri n khai này k t n i v i nhau thông qua tunnel riêng, và ph iể ể ế ố ớ ả đi qua DMVPN Cloud. Giao th c th ng xuyên th y gi a các tunnel này là IPSec. Đ giaoứ ườ ấ ữ ể ti p v i h th ng trung tâm, chúng ta có giao th c Single Tier, trong đó các ch c năngế ớ ệ ố ứ ứ c a mGRE và Crypto đ c gói g n trong m t router.ủ ượ ọ ộ

Single DMVPN Cloud TopologyTrong mô hình này, có hai headend đ c s d ng, nh ng chúng có cùng m t subnet.ượ ử ụ ư ộ Các văn phòng chi nhánh sẽ k t n i v i trung tâm thông qua giao di n mGRE. Và chúngế ố ớ ệ cũng ph i có cùng subnet đ th c hi n giao ti p n i b . Mô hình này không đ cả ể ự ệ ế ộ ộ ượ khuy n cáo vì chúng không kh d ng và không ch ng l i đ c. V i ki u tri n khaiế ả ụ ố ỗ ượ ớ ể ể Spoke-and-Spoke thì vi c tri n khai theo Single DMVPN này c n đ c cân nh c kỹ.ệ ể ầ ượ ắ

Hai headend ph i đ c c u hình DMVPN gi ng nhau, có đ a ch IP cùng m t subnet. Khiả ượ ấ ố ị ỉ ộ đó chúng sẽ h tr cho chúng ta ch c năng load balanced gi a hai trung tâm.ổ ợ ứ ữ

Hình 1. 8 Single DMVPN Cloud Topology

Tóm t tắNh v y khi nh c đ n topology đ tri n khai cho gi i pháp DMVPN, chúng ta có s tómư ậ ắ ế ể ể ả ự t t nh sau:ắ ư

- Mô hình tri n khai dành cho:ể

Hub-and-Spoke: Gi a trung tâm và chi nhánh. Trong Hub-and-Spoke có hai ki n trúcữ ế dành cho cloud.

o Dual Cloud: Có nhi u subnetềo Single Cloud: Có m t subnetộ

Trong c hai ki n trúc thì trung tâm (header) có th tri n khai theo hai gi i pháp:ả ế ở ể ể ả

o Single Tier: hai giao th c mGRE và Crypto trên cùng m t router.ứ ộo Dual Tier: hai giao th c mGRE và Crypto hai router khác nhau.ứ ở

Spoke-and-Spoke: gi a các chi nhánh v i nhauữ ớ

Ph n 2: Các v n đ khi tri n khai ầ ấ ề ểDMVPN

C ch tunnel và đ a ch ipơ ế ị ỉB n có th đã nghe th y đâu đó ng i ta nói r ng: “VPN t o tunnel đ k t n i giaoạ ể ấ ở ườ ằ ạ ể ế ố ti p l i”. Và b n nhìn th y m t hình minh h a d i đây:ế ạ ạ ấ ộ ọ ướ

Hình 2. 1: Mô hình VPN v i c ch Tunnelớ ơ ế

Nh v y tunnel là m t c ch , mà ng i ta g i là đ ng ng, nó có ch c năng che d uư ậ ộ ơ ế ườ ọ ườ ố ứ ấ đi d li u A nào đó b ng m t l p d li u B khác. Mô hình là v y đ chúng ta d hi u,ữ ệ ằ ộ ớ ữ ệ ậ ể ễ ễ th c ch t công vi c này trong truy n thông là g n thêm vào d li u m t header riêng,ự ấ ệ ề ắ ữ ệ ộ đ bi t r ng đó là gói d li u theo đ nh d ng c a B.ể ế ằ ữ ệ ị ạ ủ

Nhìn vào mô hình minh h a này, chúng ta cũng th y có m t v n đ đ c đ c p đ nọ ấ ộ ấ ể ượ ề ậ ế chính là đ a ch IP. B n thân gói d li u g i t A, đã có đ a ch ip c a riêng nó và c aị ỉ ả ữ ệ ử ừ ị ỉ ủ ủ đích mà nó c n đ n. Khi đ c tunnel hóa đi, nó mang thêm vào m t đ a ch ip ngu n vàầ ế ượ ộ ị ỉ ồ đích c a tunnel. Ng i ta g i đây là ip tunnel, và giao ti p gi a hai ip tunnel này g i làủ ườ ọ ế ữ ọ Tunnel Interface. Nh v y, gi a hai đ u c a tunnel, v m t lu n lý, b n có th hi u nóư ậ ữ ầ ủ ề ặ ậ ạ ể ể là m t s cáp m ng n i hai đi m c n giao ti p v i nhau.ộ ợ ạ ố ể ầ ế ớ

Hình 2. 2: Đ a ch ipị ỉ

M c đích c a vi c t o tunnel là đ che d u đ a ch ip private b ng đ a ch ip public, tụ ủ ệ ạ ể ấ ị ỉ ằ ị ỉ ừ đó giúp hai h th ng m ng private có th giao ti p đ c v i nhau. T i đ u g i, đ a chệ ố ạ ể ế ượ ớ ạ ầ ử ị ỉ ip private n m trong gói d li u, đ c gói thành m t gói d li u m i (đúng h n là g nằ ữ ệ ượ ộ ữ ệ ớ ơ ắ thêm header) mang đ a ch ip public, và thông qua tunnel nó đ c g i đ n đ u nh n cóị ỉ ượ ử ế ầ ậ đ a ch ip public. T i đ u nh n gói d li u đ c tháo ra đ l y d li u bên trong và trị ỉ ạ ầ ậ ữ ệ ượ ể ấ ữ ệ ả vào cho m ng private.ạ

Giao th c GREứLàm th nào đ có đ c tunnel? Nh đã đ c p, tunnel th c ch t là g n thêm m tế ể ượ ư ề ậ ự ấ ắ ộ header theo đ nh d ng quy đ nh vào trong gói tin c n g i. Nh v y đ nh d ng quy đ nhị ạ ị ầ ử ư ậ ị ạ ị này là gì?. Câu tr l i r ng nó là nh ng giao th c đóng gói d li u trong tunnel. M t vàiả ờ ằ ữ ứ ữ ệ ộ giao th c có th k tên nh PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2ứ ể ể ư Tunneling Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing Encapsulation). T t c giao th c này đ u sẽ g n vào gói tin c n g i nh ng d li u c a riêng nó, và phíaấ ả ứ ề ắ ầ ử ữ ữ ệ ủ đ u nh n ph i hi u đ bóc gói (Discapsulation) cho đúng.ầ ậ ả ể ể

Th nh ng c ba giao th c PPTP, L2TP và L2F đ u v ng ph i m t v n đ là khôngế ư ả ứ ề ướ ả ộ ấ ề th đ nh tuy n. Khi c ch tunnel đ c t o ra, hai site k t n i v i nhau thì chúng cóể ị ế ơ ế ượ ạ ế ố ớ th n m trong cùng m t m ng LAN, và phía sau chúng có th là hàng lo t các m ngể ằ ộ ạ ể ạ ạ LAN khác. Hai router gi a vai trò đ u cu i c a VPN (n i t o ra tunnel) ph i ch u tráchữ ầ ố ủ ơ ạ ả ị

nhi m g i c p nh t đ nh tuy n bên trong m ng cho nhau. Chúng ta đ u bi t r ng, c pệ ử ậ ậ ị ế ạ ề ế ằ ậ nh t đ nh tuy n này g i theo broadcast, mà đa ph n môi tr ng m ng public khôngậ ị ế ử ầ ườ ạ cho phép gói tin broadcast đi qua. GRE sẽ gi i quy t v n đ này.ả ế ấ ề

GRE đ c dùng trong vi c đóng gói đ nh tuy n, dành cho môi tr ng m ng non-ượ ệ ị ế ườ ạbroadcast (m ng không cho phép broadcast).ạ GRE cung c p m t c ch đóng gói t t cấ ộ ơ ế ấ ả các giao th c c a t ng m ng, g i đ n cho nh ng giao th c c a t ng m ng khác. GRE sứ ủ ầ ạ ử ế ữ ứ ủ ầ ạ ử d ng đ truy n t i các gói tin IP t m ng private này đ n m ng private khác, thôngụ ể ề ả ừ ạ ế ạ qua internet. GRE tunnel cũng cho phép các giao th c đ nh tuy n ho t đ ng khi nóự ị ế ạ ộ chuy n ti p t m ng private đ n các router khác trên m ng internet. GRE cũng đóngể ế ừ ạ ế ạ gói d li u multicast đ chuy n qua internet.ữ ệ ể ể

GRE không cung c p c ch mã hoá, do đó nó c n IPSEC đ mã hoá d li u trên đ ngấ ơ ế ầ ể ữ ệ ườ truy n. M t gói tin khi c n chuy n ra m ng public thông qua GRE, nó sẽ đ c đóng góiề ộ ầ ể ạ ượ theo chu n c a GRE, b ng cách thêm vào GRE header, có đ dài 32 đ n 160 bits.ẩ ủ ằ ộ ế

Hình 2. 3: Ví d v GREụ ề

Tri n khai GRE có hai gi i pháp, gi i pháp Point-to-Point (ppp GRE) và gi i pháp Multi-ể ả ả ảPoint (mGRE). Đ i v i mô hinh DMVPN Hub-and-Spoke thì mGRE đ c l a ch n trongố ớ ượ ự ọ c u hình.ấ

Giao th c NHRPứHai router (đã t o tunnel) k t n i v i nhau xem nhau nh trong m ng LAN. Đi u đ uạ ế ố ớ ư ạ ề ầ tiên đ g i đ c d li u gi a hai router này là xác đ nh đ a ch IP. Đ ng khía c nhể ử ượ ữ ệ ữ ị ị ỉ ứ ở ạ ng i g i t i 2 router, nó ch bi t đ a ch ip private. Công vi c vi c th hai là xác đ nhườ ử ạ ỉ ế ị ỉ ệ ệ ứ ị v i ip này thì MAC là bao nhiêu, b ng giao th c ARP. Tuy nhiên, giao th c ARP khôngớ ằ ứ ứ th ho t đ ng, vì đây đang dùng c ch tunnel, nó không cho phép gói tin c a ARPể ạ ộ ở ơ ế ủ ch y qua đ tìm MAC. Vì th NHRP (Next Hop Resolution Protocol) ra đ i.ạ ể ế ờ

NHRP là giao th c gi ng giao th c ARP (giao th c phân gi i đ a ch ) làm gi m nh ngứ ố ứ ứ ả ị ỉ ả ữ v n đ m ng NBMA (Non-Broadcast Multiple Access). V i NHRP, các h th ng h c đ aấ ề ạ ớ ệ ố ọ ị

ch c a các h th ng khác đ c c đ nh đ n m ng NBMA m t cách linh đ ng. Cho phépỉ ủ ệ ố ượ ố ị ế ạ ộ ộ các m ng này thông tr c ti p v i nhau mà traffic đ c dùng không c n qua hop trungạ ự ế ớ ượ ầ gian.

NHRP đ c thi t k đ tr giúp IP dò đ ng cho quá trình truy n kh i d li u trên hượ ế ế ể ợ ườ ề ố ữ ệ ệ th ng m ng NBMA. NHRP không ph i là giao th c dò đ ng. Đó ch là m t gi i pháp kỹố ạ ả ứ ườ ỉ ộ ả thu t v đ a ch đ s p x p l i các đ a ch c a IP trong quá trình chuy n d li u sangậ ề ị ỉ ể ắ ế ạ ị ỉ ủ ể ữ ệ các đ a ch ki u. M ng NBMA trái ng c l i v i m ng phát tán. Trên h th ng m ngị ỉ ể ạ ượ ạ ớ ạ ệ ố ạ phát tán, nhi u máy tính cũng nh các thi t b cùng dùng chung m t cáp m ng hay cácề ư ế ị ộ ạ thi t b truy n thông khác. Khi m t máy tính truy n đi các frame thông tin, t t c cácế ị ề ộ ề ấ ả nút trên m ng cùng “l ng nghe “ các frame, nh ng ch nút nào mà đ a ch c a nó đ cạ ắ ư ỉ ị ỉ ủ ượ ch đ nh trên frame m i th t s nh n đ c các frame n y. B i v y, các frame g i làỉ ị ớ ậ ự ậ ượ ầ ở ậ ọ đ c phát tán. M ng ki u NBMA s d ng các m ch h ng k t n i đ phân ph i cácượ ạ ể ử ụ ạ ướ ế ố ể ố frame hay cell t đ u n y đ n đ u kia c a m ch. Không có tr m nào khác liên quanừ ầ ầ ế ầ ủ ạ ạ đ n m ch n y ngo i tr 2 nút cu i c a nó. Các d ch v chuy n d li u trong IP phi k tế ạ ầ ạ ừ ố ủ ị ụ ể ữ ệ ế n i (connectionless) không ph i luôn luôn phù h p v i các liên k t h ng k t n i c aố ả ợ ớ ế ướ ế ố ủ ATM.

Tunnel Protection ModeTiêu bi u v n là IPSec, chúng ta có th c u hình crypto theo ki u dynamic ho c static ể ẫ ể ấ ể ặ ở c hai đ u router header và branch.Trong các phiên b n IOS 13 (ho c l n h n) h trả ầ ả ặ ớ ơ ổ ợ h u h t các c u hình c a IPSec. Cũng t phiên b n 13 này, khái ni m IPSec profileầ ế ấ ủ ừ ả ệ đ c gi i thi u. IPSec Profile đ c áp d ng cho h u h t các k t n i, chúng ta khôngượ ớ ệ ượ ụ ầ ế ế ố c n ph i s d ng nhi u ACL cho m i interface. Tuy nhiên, ch có nh ng subnet nàoầ ả ử ụ ề ỗ ỉ ữ đ c c u hình giao ti p và đ c phép giao ti p v i IPSec thì m i s d ng đ c profileượ ấ ế ượ ế ớ ớ ử ụ ượ này.

S d ng giao th c đ nh tuy nử ụ ứ ị ếTrong thi t k c a DMVPN khuy n cáo s d ng các giao th c đ nh tuy n đ ng đ đ nhế ế ủ ế ử ụ ứ ị ế ộ ể ị tuy n t headen đ n branch. Vi c s d ng các giao th c đ nh tuy n đ ng có nhi u l iế ừ ế ệ ử ụ ứ ị ế ộ ề ợ th h n đóng góp tr c tuy n b ng IPSec (IPSec Direct Encapsulation). Trong VPN, giaoế ơ ự ế ằ th c đ nh tuy n ph i đ m b o cùng m t l i ích so v i m ng truy n th ng, nó bao g m:ứ ị ế ả ả ả ộ ợ ớ ạ ề ố ồ

Thông tin v topology c a m ngề ủ ạ Thông báo thay đ i trong c u trúc c a topologyổ ấ ủ Tr ng thái đi u khi n t xa c a m i đ i t ngạ ề ể ừ ủ ỗ ố ượ

M t s giao th c đ nh tuy n có th đ c s d ng trong m t thi t k DMVPN bao g mộ ố ứ ị ế ể ượ ử ụ ộ ế ế ồ EIGRP, OSPF, RIPv2, và ODR (ch dùng trong hub-and-spoke). Giao th c EIGRP đ cỉ ứ ượ khuy n cáo s d ng nhi u nh t, b i vì giao th c đ nh tuy n đ ng này duy trì đ nhế ử ụ ề ấ ở ứ ị ế ộ ị tuy n theo chu kỳ c a CPU và băng thông m ng, cũng nh th i gian h i t nhanh chóngế ủ ạ ư ờ ộ ụ c a nó. EIGRP cung c p m t lo t các tùy ch n đ t ng h p đ a ch (summarization) vàủ ấ ộ ạ ọ ể ổ ợ ị ỉ qu ng bá đ nh tuy n m c đ nh (default route).ả ị ế ặ ị

Các giao th c đ nh tuy n nh OSPF cũng đã đ c xác minh là d s d ng, nh ng khôngứ ị ế ư ượ ễ ử ụ ư đ c th o lu n r t chi ti t. ODR có th không đ c s d ng trong mô hình tri n khaiượ ả ậ ấ ế ể ượ ử ụ ể spoke-to-spoke vì ODR không h tr chia tách tunnel (split tunneling).ỗ ợ

Giao th c đ nh tuy n đ ng làm tăng vi c s d ng CPU trên thi t b m ng, do đó tácứ ị ế ộ ệ ử ụ ế ị ạ đ ng này ph i đ c xem xét khi tăng kích th c m ng.ộ ả ượ ướ ạ

Cân nh c s d ng Crypto ắ ử ụIPSec h tr hai c ch mã hóa là transport và tunnel. V i c ch transport thì ch mãổ ợ ơ ế ớ ơ ế ỉ hóa ph n d li u (payload), còn ph n header có ch a đ a ngu n và đích thì không đ cầ ữ ệ ầ ứ ị ồ ượ mã hóa. V i c ch tunnel thì c ph n d li u và header đ u đ c mã hóa, giúp b o vớ ơ ế ả ầ ữ ệ ề ượ ả ệ thông tin trong ph n header. C ch transport còn thêm vào 20 byte đ m trong t ngầ ơ ế ệ ổ kích th c gói tin. C hai c ch này đ u đ c s d ng đ tri n khai trong DMVPN.ướ ả ơ ế ề ượ ử ụ ể ể

N u crypto tunnel đ c s d ng cho NAT ho c PAT thì b t bu c ph i dùng c chế ượ ử ụ ặ ắ ộ ả ơ ế tunnel. M c khác, trong tri n khai DMVPN, n u tri n khai dual tier v i c GRE tunnelặ ể ế ể ớ ả và crypto tunnel thì cũng b t bu c ph i dùng c ch tunnel trong IPSec.ắ ộ ả ơ ế

IKE Call Admission ControlTr c đây phiên b n IOS 12.3 không có m t ch ng trình nào đi u khi n và gi i h nướ ả ộ ươ ề ể ớ ạ s l ng và t c đ kh i t o các yêu c u ch ng th c c a ISAKMP (giao th c dùng đố ượ ố ộ ở ạ ầ ứ ự ủ ứ ề qu n lý khóa và kh i t o k t n i), đ u đó d n đ n s quá t i c a router và làm trànả ở ạ ế ố ề ẫ ế ự ả ủ ng m băng thông m ng.ậ ạ

IKE Call Admission Control (CAC) đ c gi i thi u trong phiên b n 12.3 đã gi i h nượ ớ ệ ả ớ ạ đ c s l ng ch ng th c c a ISAKMP cho phép đ n và đi t m t router. B ng cáchượ ố ượ ứ ự ủ ế ừ ộ ằ gi i h n s l ng crypto đ ng đ c t o ra, chúng ta có th ngăn ch n không cho routerớ ạ ố ượ ộ ượ ạ ể ặ b tràn ng m các yêu c u ISAKMP đ c t o ra. Vi c gi i h n này còn ph thu c vàoị ậ ầ ượ ạ ệ ớ ạ ụ ộ n n t n công ngh , mô hình m ng, ng d ng và lu ng d li u truy n t i qua m ng.ề ả ệ ạ ứ ụ ồ ữ ệ ề ả ạ N u b n ch đ nh m t gi i h n IKE CAC ít h n s l ng hi n t i c a ho t đ ng IKE SA,ế ạ ỉ ị ộ ớ ạ ơ ố ượ ệ ạ ủ ạ ộ m t l i c nh báo đ c hi n th , nh ng ISAKMP SA không ch m d t. M t yêu c uộ ờ ả ượ ể ị ư ấ ứ ộ ầ ISAKMP SA m i b t ch i cho đ n khi b đ m ISAKMP SA ho t đ ng là d i m c gi iớ ị ừ ố ế ộ ế ạ ộ ướ ứ ớ h n c u hình.ạ ấ

CAC cung c p hai ph ng pháp ti p c n đ h n ch IKE SA có th dùng đ tri n khaiấ ươ ế ậ ể ạ ế ể ể ể trong m ng DMVPN. Đ u tiên, CAC bình th ng là m t giám sát tài nguyên toàn c c,ạ ầ ườ ộ ụ thăm dò ph n h i ả ồ đ đ m b o r ng t t c các quá trình bao g m IKE không làm quá t iể ả ả ằ ấ ả ồ ả CPU c a router ho c b nh đ m. Ng i dùng có th c u hình m t gi i h n tàiủ ặ ộ ớ ệ ườ ể ấ ộ ớ ạ nguyên, đ i di n b i m t t l ph n trăm tài nguyên h th ng t 0 đ n 100. N u ng iạ ệ ở ộ ỷ ệ ầ ệ ố ừ ế ế ườ dùng xác đ nh m t gi i h n tài nguyên là 90%, sau đó IKE CAC lo i b các yêu c uị ộ ớ ạ ạ ỏ ầ ISAKMP SA h th ng tiêu th đ n 90% hi u su t. Tính năng này r t có giá tr trên cácệ ố ụ ế ệ ấ ấ ị b đ nh tuy n headend, có th phân lo i và mã hóa các gói d li u trong các công cộ ị ế ể ạ ữ ệ ụ mã hoá ph n c ng v i t c đ dòng. Đi u này h u ích trên các b đ nh tuy n khi tri nầ ứ ớ ố ộ ề ữ ộ ị ế ể

khai theo mô hình hub-and-spoke, b i vì các b đ nh tuy n chi nhánh th ng đ tở ộ ị ế ườ ạ ng ng tr c khi đ c n p đ y đ v i ISAKMP SA.ưỡ ướ ượ ạ ầ ủ ớ

Cách ti p c n th hai cho phép ng i s d ng c u hình m t gi i h n xác th c IKEế ậ ứ ườ ử ụ ấ ộ ớ ạ ự ISAKMP SA (IKE CAC). Khi gi i h n này đ c đ t t i, IKE CAC lo i b t t c các yêu c uớ ạ ượ ạ ớ ạ ỏ ấ ả ầ ISAKMP SA m i. Các Yêu c u then ch t c a IPsec SA l i luôn đ c cho phép vì đ b oớ ầ ố ủ ạ ượ ể ả t n tính toàn v n c a phiên hi n t i. Ch c năng này ch y u nh m vào các b đ nhồ ẹ ủ ệ ạ ứ ủ ế ắ ộ ị tuy n chi nhánh trong m t mô hình tri n khai spoke-to-spoke. B ng cách c u hìnhế ở ộ ể ằ ấ m t gi i h n s l ng các dynamic tunnel có th đ c t o ra, ng i s d ng có thộ ớ ạ ố ượ ể ượ ạ ườ ử ụ ể ngăn ch n m t b đ nh tuy n không b tràn ng p n u nó đ t nhiên tràn ng p các yêuặ ộ ộ ị ế ị ậ ế ộ ậ c u SA. Ý t ng CAC IKE ph thu c r t nhi u vào các n n t ng c th và công nghầ ưở ụ ộ ấ ề ề ả ụ ể ệ crypto, c u trúc liên k t m ng, và nh ng thi t l p đ c tri n khai.ấ ế ạ ữ ế ậ ượ ể

Tham kh o thêm v IKE CAC t i:ả ề ạ http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_call_addmsn_ike.html

Ph n 3: Demo c u hìnhầ ấ

Lab 1: IPsec + GRE Hub and SpokeTrong bài lab này chúng ta sử dụng mô hình mạng như sau:

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_call_addmsn_ike.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_call_addmsn_ike.html

Đây là kiến trúc Hub and Spoke, đơn hub nhiều DMVPN Cloud. Từ Hub kết nối đến các Spoke bằng những subnet khác nhau.

C u hìnhấ

Hub! Khởi tạo cryto với khóa là cisco47crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0!! Lựa chọn phương thức mã hóa là DES và MD5, tiếp cận theo kiểu transportcrypto ipsec transform-set trans esp-des esp-md5-hmac mode transport!Tạo cryto map có tên là vpnmap1crypto map vpnmap1 local-address FastEthernet1/0crypto map vpnmap1 10 ipsec-isakmp set peer 172.17.0.2 set transform-set trans

match address 101crypto map vpnmap1 20 ipsec-isakmp set peer 172.17.0.3 set transform-set trans match address 102!Tạo các tunnel để spoke giao tiếpinterface Tunnel1 bandwidth 1000 ip address 10.0.0.1 255.255.255.252 ip mtu 1400 delay 1000 tunnel source FastEthernet1/0 tunnel destination 172.17.0.2!interface Tunnel2 bandwidth 1000 ip address 10.0.0.5 255.255.255.252 ip mtu 1400 delay 1000 tunnel source FastEthernet1/0 tunnel destination 172.17.0.3!Cấu hình cho interface vật lýinterface Loopback1 ip address 192.168.0.1 255.255.255.0!interface FastEthernet1/0 ip address 172.17.0.1 255.255.255.0 duplex auto speed auto crypto map vpnmap1!Cấu hình định tuyếnrouter eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 no auto-summary!Cấu hình accesslistaccess-list 101 permit gre host 172.17.0.1 host 172.17.0.2access-list 102 permit gre host 172.17.0.1 host 172.17.0.3

Spoke 1crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0

!crypto ipsec transform-set trans esp-des esp-md5-hmac mode transport!crypto map vpnmap1 local-address FastEthernet1/0crypto map vpnmap1 10 ipsec-isakmp set peer 172.17.0.1 set transform-set trans match address 101!interface Loopback1 ip address 192.168.1.1 255.255.255.0!interface Tunnel0 bandwidth 1000 ip address 10.0.0.2 255.255.255.252 ip mtu 1400 delay 1000 tunnel source FastEthernet1/0 tunnel destination 172.17.0.1!interface FastEthernet1/0 ip address 172.17.0.2 255.255.255.0 duplex auto speed auto crypto map vpnmap1!router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 no auto-summary!access-list 101 permit gre host 172.17.0.2 host 172.17.0.1

Spoke 2crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0!crypto ipsec transform-set trans esp-des esp-md5-hmac mode transport!crypto map vpnmap1 local-address FastEthernet1/0

crypto map vpnmap1 10 ipsec-isakmp set peer 172.17.0.1 set transform-set trans match address 101!interface Loopback1 ip address 192.168.2.1 255.255.255.0!interface Tunnel0 bandwidth 100 ip address 10.0.0.6 255.255.255.252 ip mtu 1400 delay 1000 tunnel source FastEthernet1/0 tunnel destination 172.17.0.1!interface FastEthernet1/0 ip address 172.17.0.3 255.255.255.0 duplex auto speed auto crypto map vpnmap1!router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.2.0 no auto-summary!access-list 101 permit gre host 172.17.0.3 host 172.17.0.1

Ki m traểDùng lệnh show ip route trên Hub, chúng thấy rằng đã định tuyến cho mạng 192.168.1.0/24 và 192.168.2.0/24 qua interface là Tunnel1 10.0.0.2 và Tunnel2 10.0.0.6

HUB#show ip route[output cut]Gateway of last resort is not set

172.17.0.0/24 is subnetted, 1 subnetsC 172.17.0.0 is directly connected, FastEthernet1/0 10.0.0.0/30 is subnetted, 2 subnetsC 10.0.0.0 is directly connected, Tunnel1C 10.0.0.4 is directly connected, Tunnel2

C 192.168.0.0/24 is directly connected, Loopback1D 192.168.1.0/24 [90/2944000] via 10.0.0.2, 00:17:21, Tunnel1D 192.168.2.0/24 [90/2944000] via 10.0.0.6, 00:17:19, Tunnel2

Tương tự như vậy các định tuyến trên Spoke2 và Spoke1 cũng qua hai địa chỉ ip của tunnel.SPOKE1#show ip route[output cut]Gateway of last resort is not set

172.17.0.0/24 is subnetted, 1 subnetsC 172.17.0.0 is directly connected, FastEthernet1/0 10.0.0.0/30 is subnetted, 2 subnetsC 10.0.0.0 is directly connected, Tunnel0D 10.0.0.4 [90/3072000] via 10.0.0.1, 00:19:52, Tunnel0D 192.168.0.0/24 [90/2944000] via 10.0.0.1, 00:19:52, Tunnel0C 192.168.1.0/24 is directly connected, Loopback1D 192.168.2.0/24 [90/3200000] via 10.0.0.1, 00:19:48, Tunnel0

Trên Hub dùng lệnh show crypto engine connections active để xem các crypto connection

Dùng lệnh show crypto isakmp sa để xem trạng thái của isakmpHUB#show crypto isakmp sadst src state conn-id slot status172.17.0.1 172.17.0.3 QM_IDLE 16 0 ACTIVE172.17.0.1 172.17.0.2 QM_IDLE 15 0 ACTIVE

Lab 2: IPsec + mGRE Hub and SpokeTrong bài lab này chúng ta sử dụng mGRE để cấu hình cho VPN. Thực hiện bài lab theo sơ đồ mạng sau:

C u hìnhấ

Hub!hostname HUBip dhcp pool network-172-17 network 172.17.0.0 255.255.0.0!crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0!crypto ipsec transform-set trans esp-des esp-md5-hmac mode transportcrypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport!crypto ipsec profile vpnprof set transform-set trans2 !interface Loopback1 ip address 192.168.0.1 255.255.255.0!interface Tunnel0 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 no ip redirects

ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 600 no ip split-horizon eigrp 1 delay 1000 tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof!interface FastEthernet1/0 ip address 172.17.0.1 255.255.255.0 duplex auto speed auto!router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 no auto-summary

Spoke 1!hostname SPOKE1 !crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0!crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport!crypto map vpnmap1 local-address FastEthernet1/0crypto map vpnmap1 10 ipsec-isakmp set peer 172.17.0.1 set security-association level per-host set transform-set trans2 match address 101!interface Loopback1 ip address 192.168.1.1 255.255.255.0!

interface Tunnel0 bandwidth 1000 ip address 10.0.0.2 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 tunnel source FastEthernet1/0 tunnel destination 172.17.0.1 tunnel key 100000!interface FastEthernet1/0 ip address dhcp hostname spoke1 duplex auto speed auto crypto map vpnmap1!router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 no auto-summary!access-list 101 permit gre 172.16.1.0 0.0.0.255 host 172.17.0.1!

Spoke 2hostname SPOKE2!crypto isakmp policy 1 authentication pre-sharecrypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0!!crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport!crypto map vpnmap1 local-address FastEthernet1/0crypto map vpnmap1 10 ipsec-isakmp set peer 172.17.0.1 set security-association level per-host set transform-set trans2

match address 101!interface Loopback1 ip address 192.168.2.1 255.255.255.0!interface Tunnel0 bandwidth 1000 ip address 10.0.0.3 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 tunnel source FastEthernet1/0 tunnel destination 172.17.0.1 tunnel key 100000!interface FastEthernet1/0 ip address dhcp hostname spoke2 duplex auto speed auto!router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 no auto-summary!access-list 101 permit gre 172.16.2.0 0.0.0.255 host 172.17.0.1!

Ki m traểTrên Hub dùng lệnh show ip nhrp để xem các ánh xạ đã thực hiện được lưu trữ tại đây.

Hub#show ip nhrp 10.0.0.2/32 via 10.0.0.2, Tunnel0 created 01:25:18, expire 00:03:51 Type: dynamic, Flags: authoritative unique registered NBMA address: 172.16.1.4 10.0.0.3/32 via 10.0.0.3, Tunnel0 created 00:06:02, expire 00:04:03 Type: dynamic, Flags: authoritative unique registered NBMA address: 172.16.2.10

... 10.0.0.<n>/32 via 10.0.0.<n>, Tunnel0 created 00:06:00, expire 00:04:25 Type: dynamic, Flags: authoritative unique registered NBMA address: 172.16.<n>.41

Lab 3: Dynamic Multipoint IPsec VPN

C u hìnhấ

Hub! hostname Hub ! crypto isakmp policy 1 authentication pre−sharecrypto isakmp key cisco47 address 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2

! interface Tunnel0 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network−id 100000 ip nhrp holdtime 600ip ospf network broadcast ip ospf priority 2 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address 172.17.0.1 255.255.255.0 ! interface Ethernet1 ip address 192.168.0.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0

Spoke 1hostname Spoke1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.2 255.255.255.0 ip mtu 1400 ip nhrp authentication test

ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source Ethernet0tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address dhcp hostname Spoke1 ! interface Ethernet1 ip address 192.168.1.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 !

Spoke 2hostname Spoke2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.3 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300

ip nhrp nhs 10.0.0.1ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source Ethernet0tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address dhcp hostname Spoke1 ! interface Ethernet1 ip address 192.168.3.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0

Ki m traểKiểm tra tên Hub bằng lệnh show ip nhrp sẽ thấy các ánh xạ địa chỉ tương ứng.

Trên mỗi Spoke, kiểm tra bằng các lệnh show ip nhrp, show cryto angine connection active.

Lab 4: Dual Hub − Single DMVPN Layout

C u hìnhấ

Hub 1 hostname Hub1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 !

crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network−id 100000 ip nhrp holdtime 600 ip ospf network broadcastip ospf priority 2 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address 172.17.0.1 255.255.255.0 interface Ethernet1 ip address 192.168.0.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 1 network 192.168.0.0 0.0.0.255 area 0

Hub 2 hostname Hub2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof

set transform−set trans2 ! interface Tunnel0bandwidth 900 ip address 10.0.0.2 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp map multicast dynamic ip nhrp network−id 100000 ip nhrp holdtime 600 ip nhrp nhs 10.0.0.1 ip ospf network broadcastip ospf priority 1 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address 172.17.0.5 255.255.255.0 ! interface Ethernet1 ip address 192.168.0.2 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 1 network 192.168.0.0 0.0.0.255 area 0 !

Spoke 1hostname Spoke1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport !

crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.11 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.5 ip nhrp map 10.0.0.2 172.17.0.5 ip nhrp network−id 100000 ip nhrp holdtime 300ip nhrp nhs 10.0.0.1 ip nhrp nhs 10.0.0.2 ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address dhcp hostname Spoke1 ! interface Ethernet1 ip address 192.168.1.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 1 network 192.168.1.0 0.0.0.255 area 1

Spoke 2 hostname Spoke2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport

! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.12 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.5 ip nhrp map 10.0.0.2 172.17.0.5 ip nhrp network−id 100000 ip nhrp holdtime 300ip nhrp nhs 10.0.0.1 ip nhrp nhs 10.0.0.2 ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address dhcp hostname Spoke1 ! interface Ethernet1 ip address 192.168.2.1 255.255.255.0 !router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 !

Ki m traểKiểm tra trên Hub1, ta nhận được các kết quả như sau.

Kết quả kiểm tra trên Hub2, ta có kết quả tương tự.

Cuối cùng là kết quả kiểm tra trên spoke1 và spoke2

Lab 5: Dual Hub − Dual DMVPN Layout

C u hìnhấ

Hub 1hostname Hub1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network−id 100000 ip nhrp holdtime 600

no ip split−horizon eigrp 1 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address 172.17.0.1 255.255.255.252 ! interface Ethernet1 ip address 192.168.0.1 255.255.255.0 ! router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto−summary !

Hub 2hostname Hub2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000ip address 10.0.1.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamicip nhrp network−id 100001 ip nhrp holdtime 600 no ip split−horizon eigrp 1 delay 1000 tunnel source Ethernet0

tunnel mode gre multipointtunnel key 100001 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address 172.17.0.5 255.255.255.252 ! interface Ethernet1 ip address 192.168.0.2 255.255.255.0 ! router eigrp 1 network 10.0.1.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no auto−summary !

Spoke 1hostname Spoke1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 !interface Tunnel0 bandwidth 1000ip address 10.0.0.11 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Ethernet0tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof

!interface Tunnel1 bandwidth 1000ip address 10.0.1.11 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map 10.0.1.1 172.17.0.5 ip nhrp network−id 100001 ip nhrp holdtime 300ip nhrp nhs 10.0.1.1 delay 1000 tunnel source Ethernet0tunnel destination 172.17.0.5 tunnel key 100001 tunnel protection ipsec profile vpnprof!interface Ethernet0 ip address dhcp hostname Spoke1!interface Ethernet1 ip address 192.168.1.1 255.255.255.0!router eigrp 1network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 no auto−summary!

Spoke 2hostname Spoke2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 !interface Tunnel0

bandwidth 1000ip address 10.0.0.12 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Ethernet0tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface Tunnel1 bandwidth 1000ip address 10.0.1.12 255.255.255.0 ip mtu 1400 ip nhrp authentication testip nhrp map 10.0.1.1 172.17.0.5 ip nhrp network−id 100001 ip nhrp holdtime 300ip nhrp nhs 10.0.1.1 delay 1000 tunnel source Ethernet0tunnel destination 172.17.0.5 tunnel key 100001 tunnel protection ipsec profile vpnprof ! interface Ethernet0 ip address dhcp hostname Spoke2 ! interface Ethernet1 ip address 192.168.2.1 255.255.255.0 ! router eigrp 1network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 no auto−summary !

Ph n 4: T ng k tầ ổ ếGiải pháp DMVPN cung cấp cho chúng ta chức năng tiện lợi để kết nối các mạng lớn với các mạng nhỏ thông qua IPSec VPN. Chúng ta dễ dàng mở rộng phạm vi hoạt động của mạng khi có IPSec VPN thông thường.

DMVPN cho phép giao tiếp trực tiếp giữa các spoke với nhau. Trong hầu hết các mạng, việc giao tiếp giữa spoke và spoke diễn ra không thường xuyên cho lắm. Chính vì thế việc dành một tài nguyên cho kết nỗi giữa hai spoke không thường xuyên là một việc vô cùng lãng phí. Giải pháp DMVPN khởi tạo một kết nối động, nhưng trực tiếp, giữa các spoke với nhau khi chúng có nhu cầu giao tiếp.

Việc sử mạng qua ISP cung cấp ip động để kết nối các chi nhánh lại với nhau là đều tưởng chừng như không thể. Giải pháp DMVPN đã giải quyết cho chúng trở ngại đó. Nó chỉ yêu cầu phía Hub luôn sẵn sàng lắng nghe kết nối và có ip tĩnh, còn lại tất cả các spoke đều được phép sử dụng ip động để giao tiếp. NHRP sẽ chịu trách nhiệm ánh xạ địa chỉ thường xuyên.

DMVPN cho phép chúng ta dễ dàng bổ sung các Spoke mới vào mạng. Khi cần bổ sung spoke mới, bạn chỉ việc gắn router spoke vào, hệ thống sẽ tự nhận biết spoke mới này và bổ sung định tuyến cho nó và cho các spoke khác trong mạng.

DMVPN làm giảm kích thước các tập tinh cấu hình lưu trên các router. Điều này bạn có thể thấy rõ trong cấu hình mGRE, và thậm chí là trong IPSec + GRE dành cho hub-spoke vẫn có thể tối ưu được.

DMVPN sử dụng GRE, và do đó có thể áp dụng định tuyến động thông qua mạng VPN và sử dụng địa chỉ Ip multicast. Điều này có nghĩa là một giao thức định tuyến động có thể được sử dụng, và các trung tâm dự phòng có thể được hỗ trợ bởi giao thức đó. Ứng dụng Multicast cũng được hỗ trợ.

Cuối cùng, bạn đừng quên DMVPN sử dụng tunnel cho tất cả các kết nối của nó.

Tài li u tham kh oệ ảDynamic Multipoint IPsec VPNs (Using Multipoint GRE/NHRP to Scale IPsec VPNs), Document ID: 41940, by Cisco Press,2008

Dynamic Multipoint VPN (DMVPN) Design Guide, Document ID: OL-9024-01, by Cisco System,2006.

Presentation Dynamic Multipoint Vpn, By Cisco System, 2004.

Documents

Dynamic Multipoint VPN.docx