MỤC LỤC

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT..............................................4

DANH MỤC CÁC HÌNH VẼ....................................................................................5
LỜI CAM ĐOAN.......................................................................................................8
LỜI CẢM ƠN.............................................................................................................9
TÓM TẮT.................................................................................................................10
CHƯƠNG 1: TỔNG QUAN VỀ VPN.....................................................................13

1.1. Giới thiệu tổng quan..............................................................................13

1.2. Lịch sử hình thành và phát triển............................................................14
1.3. Lợi ích và hạn chế của việc sử dụng VPN............................................15
1.3.1. Lợi ích.......................................................................................................................15
1.3.2. Hạn chế.....................................................................................................................17
1.4. Chức năng của VPN..............................................................................18
1.5. Phân loại mạng VPN.............................................................................18
1.6. Đường hầm và mã hóa..........................................................................19
CHƯƠNG 2..............................................................................................................20
CÔNG NGHỆ DYNAMIC MULTIPOINT VPN.....................................................20

2.1. Công nghệ Dynamic Multipoint VPN (DMVPN)................................20

2.1.1. Hub - and - spoke phát sinh một số hạn chế như sau...............................................20
2.1.2. Sử dụng mGRE sẽ giải quyết được hai hạn chế:.......................................................21
2.2. Các thành phần của DMVPN................................................................21
2.3. Khái niệm DMVPN...............................................................................22
2.4. Kỹ thuật thiết kế....................................................................................22
2.4.1. Dual DMVPN Cloud Topology................................................................................24
2.4.2. Single DMVPN Cloud Topology.............................................................................27
2.5. Ưu điểm và hạn chế...............................................................................28
2.5.1. Ưu điểm....................................................................................................................28
2.5.2. Hạn chế.....................................................................................................................28
2.6. Các vấn đề triển khai DMVPN.............................................................28
2.6.1. Cơ chế tunnel và địa chỉ IP........................................................................................28

1
 2.6.2. Giao thức GRE..........................................................................................................30
2.6.3. Giao thức NHRP........................................................................................................31
2.7. Định tuyến với DMVPN.......................................................................33
2.8. Các giao thức trong DMVPN................................................................34
2.8.1. Chế độ transport......................................................................................................35
2.8.2. Chế độ tunnel...........................................................................................................36
2.9. Ưu điểm và nhược điểm khi sử dụng IPSec..........................................47
2.9.1. Ưu điểm....................................................................................................................47
2.9.2. Nhược điểm..............................................................................................................47
CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP DM VPN TRƯỜNG ĐẠI HỌC CN GTVT49

3.1. Khảo sát, phân tích thiết kế hệ thống mạng trường Đại học CN
GTVT...................................................................................................................49
3.1.1. Đơn vị khảo sát: Trường Đại học Công nghệ GTVT...................................................49
3.1.2. Ưu nhược điểm của hệ thống cũ..............................................................................50
3.1.3. Phân tích hệ thống DM VPN:....................................................................................50
3.1.4. Thiết kế hệ thống DM VPN:......................................................................................52
3.2. Xây dựng mô hình DM VPN kết hợp giao thức IPSEC trên EVE-ng
55
3.3. Cấu hình cơ bản (DM VPN).................................................................55
3.3.1. Cấu hình DMVPN trên Router Cisco..........................................................................56
3.3.2. Cấu hình cơ bản:.......................................................................................................56
3.3.3. Cấu hình DMVPN......................................................................................................58
3.3.4. Kiểm tra cấu hình......................................................................................................60
3.3.5. Định tuyến giữa các DMVPN Tunnel.........................................................................62
3.4. Xây dựng mã hóa DMVPN mGRE TUNNEL với Ipsec......................64
3.4.1. Bảng so sánh ISAKMP Policy và IPSec Policy.............................................................64
3.4.2. Bảo mật DMVPN:......................................................................................................65
3.5. Kiểm tra, phân tích bắt gói tin bằng Wireshark:...................................70
3.5.1. Kiểm tra gói tin.........................................................................................................70
3.5.2. Chọn cổng f0/0 và chạy phần mềm Wireshark:........................................................70
3.5.4. Thực hiện bắt gói tin trên VMware Network Adapter VMnet8................................71
3.5.5. Thực hiện bắt gói tin trên màu xanh xám TCP, UDP.................................................71
3.5.6. Phân tích gói tin........................................................................................................72
3.6. Bảng giá dự trù kinh phí thiết bị:..........................................................73
3.6.1. Price list giá Router Cisco từ hãng mới nhất.............................................................73

2
 3.6.2. Bảng báo giá thiết bị.................................................................................................73
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI..................................................73
TÀI LIỆU THAM KHẢO........................................................................................74
PHỤ LỤC..................................................................................................................76

3
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

Tên viết tắt Tên đầy đủ Nghĩa tiếng việt

VPN Virtual Private Network Mạng riêng ảo
Dynamic Multipoint Virtual
DMVPN Mạng riêng ảo đa điểm động
Private Network
IPSEC Internet Protocol Security Bảo mật giao thức Internet
ARP Address Ressolution Protocol Giao thức phân giải địa chỉ
ACL Access Control List Danh sách điều khiển truy cập
Giao thức phân giải chặng kế
NHRP Next Hop Resolution Protocol
tiếp trong DMVPN
Enhanced Interior Gateway Giao thức định tuyến động nâng
EIGRP
Routing Protocol cao độc quyền hãng Cisco
Generic Routing Encapsulation Giao thức định tuyến đường
GRE
Tunnels hầm trên hệ thống VPN
Multipoint Generic Routing Nhiều giao thức định tuyến
mGRE
Encapsulation Tunnels đường hầm trên hệ thống VPN
ATM Asynchronous Transfer Mode Chế độ truyền không đồng bộ
PPP Point to Point Protocol Giao thức điểm - điểm
FTP File Transfer Protocol Giao thức truyền tập tin
Giao thức định tuyến vecto
RIP Routing Information Protocol
khoảng cách
PIM Protocol Independent Multicast Giao thức đa phương độc lập
Giao thức định tuyến theo liên
OSPF Open shortest path first
kết trạng thái
Media Access Control or
MAC Địa chỉ thiết bị mạng
Message Authentication code
Giao thức truyền tải siêu văn
HTTP Hypertext Transfer Protocol
bản
Internet Group Management
IGMP Giao thức quản lý nhóm Internet
Protocol
UDP User Datagram Protocol Giao thức dữ liệu người dùng
TCP Tranmission Control Protocol Giao thức điều khiển truyền dẫn
TTL Time To Live Thời gian sống
Loại cây sử dụng đường truyền
SPT Shortest Path Tree
dữ liệu ngắn nhất
MPLS MuliProtocol Label Switching Chuyển mạch nhãn đa giao thức
FR Frame Relay Công nghệ mạng diện rộng
Internet Security Association Giao thức quản lý khóa và hiệp
ISAKMP
and Key Management Protocol hội bảo mật Internet

4
 DANH MỤC CÁC HÌNH VẼ
Trang

Chương 1..................................................................................................................13
Hình 1.1. Mô hình VPN thông thường.....................................................................14
Hình 1.2. Ưu điểm của VPN so với mạng truyền thống...........................................15
Hình 1.3. Các ưu điểm của VPN...............................................................................17
Hình 1.4. Đường hầm VPN......................................................................................19
Chương 2..................................................................................................................20
Hình 2.1. Mô hình Hub - and - spoke.......................................................................20
Hình 2.2. Mô hình DMVPN.....................................................................................21
Hình 2.3. Mô hình triển khai DMVPN.....................................................................22
Hình 2.4. Dual DMVPN Cloud Topology................................................................23
Hình 2.5. Single DMVPN Cloud Topology..............................................................23
Hình 2.6. Dual DMVPN Cloud Topology - Hub-and-Spoke...................................24
Hình 2.7. Single Tier Headend Architecture............................................................25
Hình 2.8. Headend Architecture...............................................................................26
Hình 2.9. Cloud Topology - Spoke-to-Spoke...........................................................26
Hình 2.10. Single DMVPN Cloud Topology............................................................27
Hình 2.11. Mô hình VPN với cơ chế Tunnel............................................................29
Hình 2.12. Địa chỉ IP................................................................................................29
Hình 2.13. Giao thức GRE........................................................................................31
Hình 2.14. HeadQuarters (HQ) , Branch1 (BR1) và Branch2 (BR2).......................32
Hình 2.15. Khung giao thức được sử dụng trong IPSec...........................................34
Hình 2.16. Chế độ Transport.....................................................................................35
Hình 2.17. Chế độ tunnel..........................................................................................36
Hình 2.18. Thiết bị mạng thực hiện trong IPSec trong chế độ đường hầm..............36
Hình 2.19. AH trong mode tunnel và transport........................................................37
Hình 2.20. ESP trong mode tunnel và transport.......................................................37
Hình 2.21. Liên kết an toàn.......................................................................................39
Hình 2.22. Chính sách IPSec: xử lý gói tin đầu vào.................................................40
Hình 2.23. Chính sách IPSec: xử lý gói tin đầu ra....................................................41

5
Hình 2.24. Mô tả Encapsulating Security Header.....................................................41
Hình 2.25. Gói dữ liệu được bảo vệ bởi ESP............................................................42
Hình 2.26. Gói IP được bảo vệ bởi ESP trong chế độ Transport..............................42
Hình 2.27. Gói IP được bảo vệ trong chế độ Tunnel................................................42
Hình 2.28. Hai mode truyền của ESP.......................................................................43
Hình 2.29. Xác thực tiêu đề......................................................................................44
Hình 2.30. Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH..............................45
Hình 2.31. Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH..............................45
Chương 3...................................................................................................................49
Hình 3.1. Mô hình DMVPN Phase 3 Hub to spoke for tunnel ipsec........................50
Hình 3.2. Sơ đồ vị trí hệ thống DM VPN Hà Nội.....................................................52
Hình 3.3. Sơ đồ vị trí hệ thống DM VPN Vĩnh Yên.................................................53
Hình 3.4. Sơ đồ vị trí hệ thống DM VPN Thái Nguyên...........................................53
Hình 3.5. Sơ đồ vị trí hệ thống DM VPN đơn vị trường ĐH CN GTVT.................54
Hình 3.7. Sơ đồ thiết bị DM VPN trên EVE_ng......................................................55
Hình 3.6. Sơ đồ vật lý DM VPN trên EVE_ng........................................................55
Hình 3.8. Mô hình DM VPN trường ĐH CN GTVT................................................56
Hình 3.9. Cấu hình cơ bản Hub_UTT.......................................................................57
Hình 3.10. Cấu hình cơ bản Spoke1_VY..................................................................57
Hình 3.11. Cấu hình cơ bản Spoke2_TN..................................................................58
Hình 3.12. Cấu hình DMVPN Hub_UTT.................................................................58
Hình 3.13. Cấu hình DMVPN SPOKE1-VY............................................................59
Hình 3.14. Cấu hình DMVPN SPOKE2-TN............................................................59
Hình 3.15. Kiểm tra DMVPN R1, R2, R3................................................................61
Hình 3.16. Kiểm tra DMVPN R1, R2, R3................................................................62
Hình 3.17. Cấu hình giao thức Eigrp trên R1, R2, R3..............................................63
Hình 3.18. Kiểm tra giao thức Eigrp trên Hub_UTT................................................64
Hình 3.19. Cấu hình IPSec và isakmp trên Hub_UTT.............................................65
Hình 3.20. Cấu hình IPSec và isakmp trên Spoke1, Spoke2....................................65
Hình 3.21. Kiểm tra IPSec trên Hub, Spoke1, Spoke2.............................................66
Hình 3.22. Kiểm tra isakmp trên Hub, Spoke1, Spoke2...........................................67
Hình 3.20. Kiểm tra gói tin Spoke1 đến Spoke2......................................................67
6
Hình 3.23. Kiểm tra crypto ipsec sa Spoke1_UTT...................................................67
Hình 3.24. Kiểm tra crypto ipsec sa Hub_UTT........................................................68
Hình 3.25. Kiểm tra crypto ipsec sa Spoke2_UTT...................................................68
Hình 3.26. Kiểm tra loopback0 (Hub, Spoke1, Spoke2)..........................................69
Hình 3.27. Kiểm tra gói tin.......................................................................................70
Hình 3.28. Chọn cổng f0/0 trên HUB_UTT.............................................................70
Hình 3.29. VMware Network Adapter VMnet8.......................................................71
Hình 3.30. Bắt gói tin trên màu xanh xám TCP, UDP..............................................71
Hình 3.31. Phân tích gói tin......................................................................................72

7
 LỜI CAM ĐOAN

Em xin cam đoan đồ án tốt nghiệp “Xây dựng giải pháp Dynamic Multipoint
VPN, ứng dụng hệ thống mạng trường Đại học công nghệ GTVT” là công trình nghiên
cứu của bản thân. Các tài liệu trong đồ án là trung thực, có nguồn trích dẫn và chú
thích rõ ràng, minh bạch, có tính kế thừa và phát triển từ các tài liệu tham khảo và
chương trình.

Em xin hoàn toàn chịu trách nhiệm về lời cam đoan danh dự của em!

Hà Nội, ngày tháng năm 2022

Tác giả đồ án

Đào trọng Nghĩa

8
 LỜI CẢM ƠN

Đề tài : “Xây dựng giải pháp Dynamic Multipoint VPN, ứng dụng hệ thống
mạng trường Đại học công nghệ GTVT” là nội dung em chọn để nghiên cứu và làm đồ
án tốt nghiệp say bốn năm học chương trình đại học ngành truyền thông và mạng máy
tính tại trường Đại học Công nghệ Giao thông vận tải Hà Nội.

Để hoàn thành quá trình nghiên cứu và hoàn thiện đồ án tốt nghiệp này, lời đầu
tiên, em xin chân thành cảm ơn khoa Công nghệ thông tin, trường Đại học Công nghệ
Giao thông vận tải đã tạo điều kiện thuận lợi cho em thực hiện đồ án tốt nghiệp.

Bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô trong khoa công nghệ thông tin
đã dìu dắt, chia sẻ những kiến thức quý báu trong suốt quá trình học tập tại trường.
Đặc biệt em xin chân thành cảm ơn thầy Phan Như Minh cùng với kinh nghiệm, tri
thức và tâm huyết của thầy đã rất tận tình hướng dẫn, chỉ bảo em trong suốt thời gian
thực hiện đồ án vừa qua. Nếu không có thầy đồ án tốt nghiệp của em khó lòng có thể
hoàn thành được.

Mặc dù em đã có cố gắng, nhưng với trình độ còn hạn chế, trong quá trình thực
hiện đề tài không tránh khỏi những thiếu sót. Em hi vọng sẽ nhận được những ý kiến
nhận xét, góp ý của các thầy giáo, cô giáo về những vấn đề triển khai trong đồ án.

Em xin trân trọng cảm ơn!

Hà Nội, ngày tháng năm 2022

Tác giả đồ án

Đào trọng Nghĩa

9
 MỞ ĐẦU
1. Tên đề tài:
Xây dựng giải pháp Dynamic Multipoint VPN kết hợp bộ giao thức IPSec, ứng
dụng hệ thống mạng trường Đại học công nghệ GTVT.
2. Sự cần thiết của việc nghiên cứu
Mạng internet ngày càng mở rộng trên toàn thế giới, không chỉ vậy, việc tận
dụng nguồn tài nguyên “vô tận” và đem lại những hiệu quả vô cùng to lớn. Vấn đề trao
đổi thông tin liên lạc là rất quan trọng, đặc biệt với những tổ chức, công ty, doanh
nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lý khác nhau.
Có rất nhiều giải pháp được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu
cầu trao đổi thông tin vừa đáp ứng nhu cầu bảo mật thông tin khi được truyền ngang
qua mạng internet – môi trường không bảo mật. Những giải pháp trên có thể là thuê
những đường truyền leased line. Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy
nhiên không khả thi khi phải kết nối những nơi cách xa nhau. Giải pháp khác là sử
dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi
phí cho giải pháp trên cũng khá cao. VPN là giải pháp khả thi nhất vì vừa đảm bảo
được yếu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất
rộng rãi. Công nghệ ngày càng phát triển. Mặc dù vậy, VPN thông thường cũng có
những nhược điểm. Đó là những điểm kết nối phải thuê những địa tĩnh, đồng thời trên
router đóng vai trò trung tâm phải thực hiện việc cấu hình khá nhiều và phức tạp.
Thêm vào đó, khi các điểm muốn kết nối với nhau phải thông qua router trung tâm
trên mà không thể kết nối trực tiếp được.
Từ những hạn chế trên nên công nghệ Dynamic Multipoint VPN được ra đời.
Công nghệ trên là một bước phát triển của VPN nhằm cải thiện những hạn chế trên.
Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được thực hiện một cách tự
động và chi phí phải bỏ ra cũng ít hơn một VPN thông thường.
Để xây dựng mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối
đến các site chi nhánh (SpokeA và SpokeB) qua internet. Với sử dụng VPN thông
thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và
SpokeB.

10
 Mô hình trên phát sinh một số hạn chế khi tạo Tunnel Point – to – Point, điều
bắt buộc là chúng ta phải biết địa chỉ IP của nguồn và đích. Do đó, ở các spoke và
HUB chúng ta phải thuê những địa chỉ tĩnh, dẫn đến chi phí cao.
Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB.
Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy
nhiêu tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên
router phải lưu trữ một cơ sở dữ liệu khá lớn. Cho nên router HUB phải là một router
được trang bị bộ nhớ và CPU mạnh, tốn kém. Khi spokeA muốn giao tiếp với spokeB,
phải thông qua HUB. Điều trên không linh động. Những hạn chế trên được giải quyết
trong DMVPN. Với DMVPN, trên mỗi router, ứng với cổng Interfacce sẽ sử dụng một
mGRE tunnel (point-to-multipoint). Với việc sử dụng mGRE sẽ giải quyết được hai
hạn chế:
Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử
dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn,
còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt
buộc phải là một địa chỉ tĩnh.
Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu tên một
spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều trên làm giảm
tải ở router HUB.
Tuy nhiên, như đã i, nếu sử dụng mGRE thì việc xác định địa chỉ đích sẽ nhờ
vào một giao thức khác, đó là giao thức NHRP (Next Hop Resolution Protocol).
Như vậy, trong bài trên “Xây dựng giải pháp Dynamic Multipoint VPN kết
hợp bộ giao thức IPSec ứng dụng hệ thống mạng trường Đại học công nghệ
GTVT” là việc cần thiết, cấp bách cho hệ thống mạng doanh nghiệp khi sử dụng nhiều
chi nhánh.
3. Mục tiêu nghiên cứu
- Tìm hiểu DM VPN, IPSec
- Phân tích giải pháp VPN, DMVPN
- Xây dựng giải pháp Dynamic Multipoint VPN kết hợp bộ giao thức IPSec
- Ứng dụng hệ thống mạng trường Đại học công nghệ GTVT
4. Nội dung nghiên cứu của đề tài
- Phần 1. Tổng quan về VPN
11
 - Phần 2. Công nghệ DM VPN
- Phần 3. Xây dựng giải pháp DM VPN trường Đại học Công nghệ giao thông
vận tải
5. Phương pháp nghiên cứu
5.1. Trong nước:
(Phân tích, đánh giá được những công trình nghiên cứu có liên quan đến đề tài,
những kết quả nghiên cứu mới nhất trong lĩnh vực nghiên cứu đề tài)
Sử dụng tài liệu, ứng dụng thực tế công nghệ Dynamic Multipoint VPN, Xây
dựng mô hình giả lập trên EVE-ng ứng dụng cho hệ thống mạng trường Đại học công
nghệ GTVT bao gồm 3 phân hiệu: Hà Nội, Vĩnh Yên, Thái Nguyên qua mô hình
Dynamic Multipoint VPN kết hợp bộ giao thức IPSec
Kiểm tra, giám sát hoạt động hệ thống mạng qua truyền và nhận thông tin.
5.2. Ngoài nước:
(Phân tích, đánh giá tình hình nghiên cứu trong nước thuộc lĩnh vực nghiên cứu
của đề tài)
Trong đó các nghiên cứu trong nước về vấn đề trên vẫn còn rất hạn chế. Đa phần
là các công bố của các tác giả của hãng Cisco trên các tạp chí quốc tế.
6. Kết quả đạt được
- Tìm hiểu và xây dựng mô phỏng hệ thống DMVPN trường Đại học Công nghệ
GTVT theo dạng Hub to Spoke trong đó Hub(HN), Spoke1(vy), Spoke2(TN)
- Bắt và phân tích gọi tin trên phần mềm Wireshark
- Lập bảng dự trù báo giá thiết bị Cisco

12
 CHƯƠNG 1: TỔNG QUAN VỀ VPN

1.1. Giới thiệu tổng quan

Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin,
dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy
Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối internet thông qua nhà cung
cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP.

Điều mà kỹ thuật tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn
thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa
hay tư vấn trực tuyến…đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và
không tổ chức hay chính phủ nào có thể quản lý, cho nên việc đảm bảo an toàn và bảo
mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết.

Từ đó, các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm
đáp ứng được nhu cầu trên mà vẫn tận dụng được cơ sở hạ tầng đang có của Internet,
đó là mô hình mạng riêng ảo (VPN – Virtual Private Network). Với mô hình trên,
chúng ta không phải đầu tư thêm quá nhiều trang thiết bị, cơ sở hạ tầng mà vẫn đảm
bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của
mạng trên. VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các
văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở
hạ tầng được cung cấp bởi mạng công cộng. Đảm bảo an toàn thông tin giữa các tổ
chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh
trong môi trường truyền thông rộng lớn.

Như vậy, đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công
cộng như Internet, mà vẫn đảm bảo tính bảo mật và tiết kiệm chi phí.

13
 Hình 1.1. Mô hình VPN thông thường
1.2. Lịch sử hình thành và phát triển
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn
từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả
với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).
Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng
các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin
với nhau.
Các mốc đánh dấu sự phát triển của VPN:
- 1975: Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây chuyền
dùng cho các khách hàng lớn. Colisee có thể cung cấp phương thức gọi số chuyên
dùng cho khách hàng. Dịch vụ trên căn cứ vào lượng dịch vụ mà đưa ra cước phí và
nhiều tính năng quản lý khác.
- 1985: AT&T đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng
phần mềm SDN.
- 1986: Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- 1988: Nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí nghiệp
vừa và nhỏ mở rộng sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích thích
sự phát triển nhanh chóng dịch vụ trên tại Mỹ.
- 1989: AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- 1990: Telstra của Australia đưa ra dich vụ VPN trong nước đầu tiên ở khu vục
châu Á – Thái Bình Dương.
- 1992: Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu tư
Unisource, cung cấp dịch vụ VPN
- 1993: AT&T, KDD và viễn thông Singapore tuyên bố thành lập Liên minh toàn
cầu Worldpartners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.

14
 - 1994: BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ
VPN, dịch vụ chuyển tiếp khung (Frame relay)…
- 1995: ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu (GVPNS).
- 1996: Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French
Telecom) kết thành liên minh Global One.
- 1997: Có thể coi là một năm rực rỡ đối với công nghệ VPN, công nghệ trên có
mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN xây
dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một
cái nhìn mới cho VPN.
Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều
văn phòng, chi nhánh lựa chọn. Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà
còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.

1.3. Lợi ích và hạn chế của việc sử dụng VPN

1.3.1. Lợi ích

Hình 1.2. Ưu điểm của VPN so với mạng truyền thống

Việc sử dụng mạng riêng ảo là một nhu cầu và là một xu thế của công nghệ
truyền thông bởi vì có một số ưu điểm như:

15
1.3.1.1. Giảm thiểu chi phí triển khai và duy trì hệ thống:
Với VPN, việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính
bảo mật an toàn dữ liệu nhưng chi phí thì khá rẻ vì VPN giảm thiểu tối đa phí thuê
đường truyền dài thay vào đó là sự tận dụng lại hệ thống mạng Internet có sẵn.
Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm. Với VPN, chi phí duy trì
rất rẻ, hơn thế nữa bằng việc thuê hạ tầng có sẵn của các công ty dịch vụ internet thì
chi phí duy trì sẽ không còn phải đáng lo ngại.
1.3.1.2. Cải thiện kết nối:
Vượt qua bộ lặp chặn truy cập Web: VPN là một lựa chọn tốt để có thể vượt qua
được bộ lọc Internet, đây là lý do tại sao VPN được sử dụng nhiều tại một số nước có
sự kiểm duyệt Internet khắt khe.
Việc thay đổi địa chỉ IP: Do có thể thay đổi được địa chỉ IP khác giúp người
dùng có thể che dấu được địa chỉ của mình, tránh được sự xâm hại hay ý đồ xấu của
những hacker bên ngoài mạng.
1.3.1.3. An toàn trong giao dịch:
Việc trao đổi thông tin trong công việc là nhiều và liên tục, nhưng vấn đề bảo
mật thông tin thì cực kì quan trọng, với VPN, chúng ta không phải lo lắng về việc đó.
VPN sử dụng cơ chế dấu đi, các dữ liệu sẽ được mã hóa và thông tin dữ liệu được bao
bọc bởi gói tin Header (phần đầu gói tin ghi địa chỉ đầu – cuối của gói tin) và truyền đi
nhanh chóng dựa vào Internet.
VPN đáp ứng tốt việc chia sẻ gói tin và dữ liệu trong một thời gian dài.
1.3.1.4. Khả năng điều khiển từ xa:
Thời đại hiện nay, mọi người làm việc muốn tiết kiệm thời gian và giảm chi phí,
vì vậy, việc một người làm việc tại nhà mà vẫn có thể giải quyết tốt những công việc.
Với VPN, người dùng có thể truy cập vào hệ thống mạng từ bất kì đâu, vì vậy rất có
lợi đối với việc thực hiện công việc từ xa.
1.3.1.5. Khả năng mở rộng hệ thống tốt:
Chi phí để xây dựng một hệ thống mạng lưới chuyên dụng (sử dụng cáp mạng)
cho một công ty lúc đầu có thể là hợp lý, tuy nhiên công ty ngày càng phát triển nhu
cầu mở rộng hệ thống mạng là cần thiết vì vậy VPN là một lựa chọn hợp lý bởi vì
VPN không phụ thuộc quá nhiều vào vấn đề “hệ thống”, i một cách đơn giản là khi

16
muốn mở rộng thì chỉ cần tạo thêm đường ống (tunnel) kết nối dựa trên hạ tầng
Internet có sẵn.
Một mạng VPN có những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng
IP công cộng. Các ưu điểm trên bao gồm tính bảo mật và sử dụng đa giao thức.

Hình 1.3. Các ưu điểm của VPN

Một mạng ảo được tạo ra nhờ các giao thức trên một kết nối IP bao gồm: GRE
(Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và IPSec.
Một mạng cục bộ là một mạng mà đảm bảo độ tin cậy, tính toàn vẹn và xác thực,
gọi tắt là CIA (Confidentiality Integrity Availability). Mã hoá dữ liệu và sử dụng giao
thức IPSec giúp giữ liệu có thể chung chuyển trên Web với các tính chất CIA tương
tự như là một mạng cục bộ.
1.3.2. Hạn chế
Mặc dù phổ biến nhưng mạng riêng ảo (VPN) không hẳn là hoàn hảo và hạn chế
thì luôn luôn tồn tại trong bất kì hệ thống mạng nào. Một số hạn chế cần lưu ý khi triển
khai hệ thống VPN:
VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt
phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng.
Độ tin cậy và hiệu suất của một VPN dựa trên Internet không phải là dưới sự
kiểm soát trực tiếp của đơn vị, vì vậy giải pháp thay thế là hãy sử dụng một nhà cung
cấp dịch vụ (ISP) tốt và chất lượng.
17
 Việc sử dụng các sản phẩm VPN và các giải pháp của các nhà cung cấp khác
nhau không phải lúc nào cũng tương thích do các vấn đề tiêu chuẩn công nghệ VPN.
Khi sử dụng pha trộn và kết hợp các thiết bị có thể sẽ gây ra những vấn đề về kĩ thuật,
hoặc nếu sử dụng không đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.
Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo mật cá
nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phòng
bằng máy tính xách tay, máy tính riêng, khi đó nếu các máy tính của họ thực hiện hàng
loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker có thể lợi
dụng điểm yếu từ máy tính cá nhân của họ tấn công vào hệ thống của Đơn vị.
Vì vậy việc bảo mật cá nhân luôn được các chuyên gia khuyến cáo phải đảm bảo
an toàn.

1.4. Chức năng của VPN

Một số chức năng của VPN:
- Độ tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi
truyền chúng ngang qua mạng. Bằng cách đó, không ai có thể truy nhập thông tin mà
không được cho phép, nếu lấy được thông tin thì cũng không đọc được vì thông tin đã
được mã hóa.
- Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu
nhận được sau khi truyền qua Internet có bị thay đổi hay không.
- Xác thực nguồn gốc (Origin Authentication): Khi nhận được dữ liệu, điều đầu
tiên phải làm là xác thực nguồn gốc của dữ liệu, VPN cho phép người dùng xác thực
thông tin, nguồn gốc dữ liệu.

1.5. Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thỏa mãn ba yêu cầu cơ bản sau:
Tại mọi thời điểm, các nhân viên của công ty có thể truy cập từ xa hoặc di động
vào mạng nội bộ của công ty.
Nối liền các chi nhánh, văn phòng di động.
Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp
dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

18
 Mạng VPN truy nhập từ xa (Remote Access VPN).
Mạng VPN cục bộ (Intranet VPN).
Mạng VPN mở rộng (Extranet VPN).
1.6. Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua
một đường hầm.
- Đường hầm (Tunnel): Cung cấp các kết nối logic, điểm tới điểm qua mạng IP
không hướng kết nối. Điều trên giúp cho việc sử dụng các ưu điểm các tính năng bảo
mật. Các giải pháp đường hầm cho VPN là sử dụng sự mã hoá để bảo vệ dữ liệu không
bị xem trộm bởi bất cứ những ai không được phép và để thực hiện đóng gói đa giao
thức nếu cần thiết. Mã hoá được sử dụng để tạo kết nối đường hầm để dữ liệu chỉ có
thể được đọc bởi người nhận và người gửi.
- Mã hoá (Encryption): Bản tin không bị đọc bởi bất kỳ ai nhưng có thể đọc được
bởi người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự cần thiết
đối với việc mã hoá thông tin càng trở nên quan trọng. Mã hoá sẽ biến đổi nội dung
thông tin thành trong một
văn bản mật mã mà là vô
nghĩa trong dạng mật mã
của . Chức năng giải mã để
khôi phục văn bản mật mã
thành nội dung thông tin có
thể dùng được cho người
Hình 1.4. Đường hầm VPN
nhận.

19
 CHƯƠNG 2: CÔNG NGHỆ DYNAMIC MULTIPOINT VPN

2.1. Công nghệ Dynamic Multipoint VPN (DMVPN)

Để nâng cấp hệ thống VPN các nhà mạng đã cải tiến thành hệ thống DYNAMIC
MULTIPOINT VPN của hãng Cisco.

Để bắt đầu, chúng ta xét một mô hình VPN sử dụng IPSec (Internet Protocol
Security) và GRE (Generic Routing Encapsulation).

Mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối đến các site
chi nhánh (SpokeA và SpokeB) qua internet. Với sử dụng VPN thông thường (IPSec +
GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.

Hình 2.1. Mô hình Hub - and - spoke

2.1.1. Hub - and - spoke phát sinh một số hạn chế như sau

Khi tạo tunnel point – to – point, điều bắt buộc là phải biết địa chỉ IP của nguồn
và đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ tĩnh, dẫn đến
chi phí cao.

Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB.
Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy
nhiêu tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên
router phải lưu trữ một cơ sở dữ liệu khá lớn. Cho nên router HUB phải là một router
được trang bị bộ nhớ và CPU mạnh, tốn kém.

Khi spokeA muốn giao tiếp với spokeB, phải thông qua HUB. Điều trên không
linh động.

20
 Những hạn chế trên được giải quyết trong DMVPN. Với DMVPN, trên mỗi
router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint).
2.1.2. Sử dụng mGRE sẽ giải quyết được hai hạn chế:

Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử
dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn,
còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt
buộc phải là một địa chỉ tĩnh.

Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một
spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều trên làm giảm
tải ở router HUB.

Hình 2.2. Mô hình DMVPN

Tuy nhiên, như đã i, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào
một giao thức khác, đó là NHRP (Next Hop Resolution Protocol).

Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông
thường.

2.2. Các thành phần của DMVPN

Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ
thống mạng doanh nghiệp, sử dụng DMVPN để kết nối các văn phòng chi nhánh
(Branches).

21
 Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải
có những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp để
chúng ta lựa chọn, nhưng phổ
biến nhất vẫn là Router của
Cisco.

Nhìn vào mô hình ở hình 2.3,

chúng ta nhận thấy rằng, để kết nối
được giữa Hub và Spoke thì
phải kết nối thông qua Cloud.
Cloud ở đây ám chỉ nhà cung Hình 2.3. Mô hình triển khai DMVPN cấp
dịch vụ internet (ISP). Có nhiều giải
pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud trên có thể là Frame-Reply,
ATM, Leased Lines.

2.3. Khái niệm DMVPN

Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm
của hệ điều hành Cisco, là sự kết hợp giữa các công nghệ IPSec, mGRE và NHRP.
Các công nghệ trên kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo
một cách dễ dàng.

2.4. Kỹ thuật thiết kế

Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:

- Dual hub-dual DMVPN cloud

- Dual hub-single DMVPN cloud

Trước tiên bạn cần hiểu DMVPN cloud là gì, là tập hợp các router được cầu
hình định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc PPP
hoặc là cả hai để cấu hình giao tiếp với các router trên, chúng phải có cùng subnet.

Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa
hub một DMVPN cloud, minh họa như trong hình 2-4 và 2-5.

22
 Hình 2.4. Dual DMVPN Cloud Topology
Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, kết nối
với các Branch qua DMVPN cloud 1, và có cùng subnet. Hệ thống duy trì kết nối
thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường
hợp Hub 1 gặp chút trục trặc. Giữa Hub 1 và Hub 2 được khuyến cáo kết nối với nhau
trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng
con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ
thống mạng bên trong. Giải pháp trên được biết đến với khả năng Failover, tức là hạn
chế sự cố, luôn duy trì kết nối.

Hình 2.5. Single DMVPN Cloud Topology

Mô hình thứ hai, dual hub singel DMVPN cloud, chỉ có một đường mạng để kết
nối tất cả các hub và branch. Từ DMVPN Cloud có hai kết nối về hai hub. Giải pháp
trên được biết đến với khả năng load balanced.

DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-
and-spoke. Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi
branch có chứ cả P2P hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai
đầu headend và branch đều có mGRE interface.

23
2.4.1. Dual DMVPN Cloud Topology

Với Dual Cloud chúng ta sẽ thảo luận cho hai model triển khai:

1) Hub-and-spoke
2) Spoke-to-spoke
2.4.1.1. Hub-and-spoke

Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hub1
và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch.

Hình 2.6. Dual DMVPN Cloud Topology - Hub-and-Spoke Deployment Model

Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN
cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của
Branch đi qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi Hub riêng
lẽ. Trong model triển khai trên không có tunnel nào giữa các branch. Giao tiếp nội bộ
giữa các branch được cung cấp thông qua hub. Thông số metric của giao thức định
tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là primary hub.

Kiến trúc hệ thống của trung tâm (system headend): Có hai kiến trúc dành cho
hệ thống trung tâm được đưa ra triển khai là: Single Tier và Dual Tier

- Single Tier: Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto
cùng tồn tại trong một CPU của router.

24
 Hình 2.7. Single Tier Headend Architecture

Giải pháp dual cloud với model hud-and-spoke. Tất cả các Headend đều có
tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục
vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm,
headend có thể gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng
tại branch như EIGRP, OSPF, bất kể đường nào được chọn trong cloud (cloud path –
đường kết nối giữa các router trong cloud).

Dual Tier: Với kiến trúc dual tier, mGRE và Crypto không cùng tồn tại trong
cùng CPU của router. Hình 2.7 là giải pháp dual DMVPN cloud với model hub-and-
spoke. Ở đây mGRE và Crypto tại headend nằm riêng lẽ nhau nhau, chúng phục vụ
cho nhau và cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho branch.
Đầu cuối của VPN tunnel, Crypto sẽ nhận dữ liệu gửi từ branch và sau đó chuyển tiếp
cho mGRE, để mGRE quảng bá cho các giao thức định tuyến tại branch như EIGRP
hoặc OSPF.

Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thúc của
tunnel. Đồng thời còn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt
ngoài của router có thể là tĩnh hoặc động, và phải được “map” trong bản đồ của
router. Hành động trên có nghĩa là: Một inteface mặt ngoài của router có địa chỉ ip

25
public của riêng biệt, và một tunnel cũng có ip (public hoặc private), phải ảnh xạ để
biết tunnel được chuyển ra interface tương ứng.

Hình 2.8. Dual Tier Headend Architecture

2.4.1.2. Spoke-and-Spoke

Các Branch trong kiểu

triển khai trên kết nối với nhau
thông qua tunnel riêng, và
phải đi qua DMVPN
Cloud. Giao thức thường
xuyên thấy giữa các
tunnel là IPSec. Để giao tiếp
với hệ thống trung tâm,
chúng ta có giao thức
Single Tier, trong đó các chức
năng của mGRE và Crypto được gói gọn trong một router.
Hình 2.9. Dual DMVPN Cloud Topology - Spoke-to-Spoke
2.4.2. Single DMVPN Cloud Topology
Deployment Model
Trong mô hình 2.10, có hai headend được sử dụng, nhưng chúng có cùng một
subnet. Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE.
Và cũng phải có cùng subnet để thực hiện giao tiếp nội bộ.

26
 Mô hình 2.10 không được khuyến cáo vì không khả dụng và không chống lỗi
được. Với kiểu triển khai Spoke-and-Spoke thì việc triển khai theo Single DMVPN
cần được cân nhắc kỹ.

Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một
subnet. Khi đó chúng sẽ hổ trợ cho chức năng load balanced giữa hai trung tâm.

Hình 2.10. Single DMVPN Cloud Topology

Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, được tóm
tắt như sau:
2.4.2.1. Mô hình Hub-and-Spoke:

Giữa trung tâm và chi nhánh. Trong Hub-and-Spoke có hai kiến trúc dành cho
cloud.

- Dual Cloud: Có nhiều subnet

- Single Cloud: Có một subnet

Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải
pháp:

- Single Tier: hai giao thức mGRE và Crypto trên cùng một router.

- Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau.

27
2.4.2.1. Mô hình Spoke-and-Spoke:

Là mô hình mà được kế thừa mô hình Hub-and-Spoke nhưng khả năng thiết lập
tự động và trực tiếp giữa các kênh Spoke-to-spoke IPSec giữa các site mà không cần
thông qua hub (nhờ mGRE và NHRP), giúp giảm tải cho Router Hub

2.5. Ưu điểm và hạn chế

2.5.1. Ưu điểm

Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hóa việc
thêm, xóa các site spoke.

Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xóa bỏ
sau một thời gian không hoạt động đã cấu hình sẵn.

Chi phí thấp, độ bảo mật cao, giảm thiểu độ phức tạp cấu hình, dễ dàng mở rộng
và tăng tính linh hoạt của hệ thống mạng.
2.5.2. Hạn chế

Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke được
thiết lập.

Mã hóa đường hầm IPSec phải được thực hiện từ router spoke.

Thiết bị sử dụng cần có đồng bộ hóa của hãng Cisco: Router (HUB), Router
(Spoke), Switch L2, L3, ….

2.6. Các vấn đề triển khai DMVPN

2.6.1. Cơ chế tunnel và địa chỉ IP

VPN tạo tunnel để kết nối giao tiếp lại. Sau đây là một hình minh họa:

28
 Hình 2.11. Mô hình VPN với cơ chế Tunnel

Như vậy tunnel là một cơ chế, mà người ta gọi là đường ống, có chức năng che
dấu đi dữ liệu A nào đó bằng một lớp dữ liệu B khác.

Mô hình là vậy để chúng ta dễ hiễu, thực chất công việc trên trong truyền thông
là gắn thêm vào dữ liệu một header riêng, để biết rằng đó là gói dữ liệu theo định dạng
của B. Nhìn vào mô hình minh họa trên, chúng ta cũng thấy có một vấn để được đề
cập đến chính là địa chỉ IP. Bản thân gói dữ liệu gửi
từ A, đã có địa chỉ ip riêng và đích cần đến. Khi
được tunnel mã hóa đi, mang thêm vào một địa chỉ ip
nguồn và đích của tunnel. Người ta gọi đây là ip
tunnel, và giao tiếp giữa hai ip tunnel trên gọi là
Tunnel Interface. Như vậy, giữa hai đầu của
tunnel, về mặt luận lý, bạn có thể hiểu là một sợi cáp
mạng nối hai điểm cần giao tiếp với nhau.

Mục đích của việc tạo tunnel là để che dấu địaHình

chỉ ip private
2.12. bằng
Địa chỉ IP địa chỉ ip
public, từ đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại đầu
gửi, địa chỉ ip private nằm trong gói dữ liệu, được gói thành một gói dữ liệu mới (đúng
hơn là gắn thêm header) mang địa chỉ ip public, và thông qua tunnel được gửi đến đầu
nhận có địa chỉ ip public. Tại đầu nhận gói dữ liệu được tháo ra để lấy dữ liệu bên
trong và trả vào cho mạng private.

29
2.6.2. Giao thức GRE

Tunnel thực chất là gắn thêm một header theo định dạng quy định vào trong gói
tin cần gửi. Định dạng là những giao thức đóng gói dữ liệu trong tunnel. Một vài giao
thức có thể kể tên như PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2
Tunneling Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing
Encapsulation). Tất cả giao thức đều sẽ gắn vào gói tin cần gửi những dữ liệu riêng, và
phía đầu nhận phải hiểu để bóc gói (Discapsulation) cho đúng.

Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề là
không thể định tuyến. Khi cơ chế tunnel được tạo ra, hai site kết nối với nhau thì có
thể nằm trong cùng một mạng LAN, và phía sau chúng có thể là hàng loạt các mạng
LAN khác. Hai router giữa vai trò đầu cuối của VPN (nơi tạo ra tunnel) phải chịu trách
nhiệm gửi cập nhật định tuyến bên trong mạng cho nhau. Vẫn biết rằng, cập nhật định
tuyến gửi theo broadcast, mà đa phần môi trường mạng public không cho phép gói tin
broadcast đi qua. GRE sẽ giải quyết vấn đề trên.

GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng non-
broadcast (mạng không cho phép broadcast). GRE cung cấp một cơ chế đóng gói tất cả
các giao thức của tầng mạng, gửi đến cho những giao thức của tầng mạng khác. GRE
sử dụng để truyền tải các gói tin IP từ mạng private trên đến mạng private khác, thông
qua internet. GRE tunnel cũng cho phép các giao thực định tuyến hoạt động khi
chuyển tiếp từ mạng private đến các router khác trên mạng internet. GRE cũng đóng
gói dữ liệu multicast để chuyển qua internet.

GRE không cung cấp cơ chế mã hoá, do đó cần IPSEC để mã hoá dữ liệu trên
đường truyền. Một gói tin khi cần chuyển ra mạng public thông qua GRE, sẽ được
đóng gói theo chuẩn của GRE, bằng cách thêm vào GRE header, có độ dài 32 đến 160
bits.

30
 Hình 2.13. Giao thức GRE

Triển khai GRE có hai giải pháp, giải pháp Point-to-Point (ppp GRE) và giải
pháp Multi-Point (mGRE). Đối với mô hinh DMVPN Hub-and-Spoke thì mGRE được
lựa chọn trong cấu hình.
2.6.3. Giao thức NHRP

NHRP viết tắt của Next Hop Resolution Protocol, là 1 giao thức tương tự như
giao thức Address Resolution Protocol (ARP), được định nghĩa trong IETF RFC 2332
và được mô tả thêm trong RFC 2333. Tự động ánh xạ các mạng Non-Broadcast Multi-
Access (NBMA). Với NHRP, các mạng được kết nối trực tiếp vào mạng NBMA có
thể biết được địa chỉ NBMA (vật lý) của các mạng khác là một phần của mạng đó, cho
phép các hệ thống trên giao tiếp trực tiếp.

Hai router (đã tạo tunnel) kết nối với nhau xem nhau như trong mạng LAN. Điều
đầu tiên để gửi được dữ liệu giữa hai router trên là xác định địa chỉ IP. Đứng ở khía
cạnh người gửi tại 2 router, chỉ biết địa chỉ ip private. Công việc việc thứ hai là xác
định với ip trên thì MAC là bao nhiêu, bằng giao thức ARP. Tuy nhiên, giao thức ARP
không thể hoạt động, vì ở đây đang dùng cơ chế tunnel, không cho phép gói tin của
ARP chạy qua để tìm MAC. Vì thế NHRP (Next Hop Resolution Protocol) ra đời.

NHRP là giao thức Client-Server thường được sử dụng trong mô hình Hub &
Spoke, trong đó Hub là Next Hop Server (NHS) và Spoke là Next Hop Clients
(NHCs). Hub duy trì một bảng cơ sở dữ liệu NHRP về các địa chỉ IP công cộng của
mỗi Spoke. Mỗi Spoke đăng ký địa chỉ IP thực của khi khởi động và truy vấn cơ sở
dữ liệu NHRP để biết địa chỉ thực của các Spoke khác để xây dựng các Tunnel trực
tiếp.

31
 NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm
những vấn đề mạng NBMA (Non-Broadcast Multiple Access). Với NHRP, các hệ
thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh
động. Cho phép các mạng trên thông trực tiếp với nhau mà traffic được dùng không
cần qua hop trung gian.

SNHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu
trên hệ thống mạng NBMA. NHRP không phải là giao thức dò đường. Đó chỉ là một
giải pháp kỹ thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá trình chuyển
dữ liệu sang các địa chỉ kiểu. Mạng NBMA trái ngược lại với mạng phát tán. Trên hệ
thống mạng phát tán, nhiều máy tính cũng như các thiết bị cùng dùng chung một cáp
mạng hay các thiết bị truyền thông khác. Khi một máy tính truyền đi các frame thông
tin, tất cả các nút trên mạng cùng “lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ
của được chỉ định trên frame mới thật sự nhận được các frame nầy. Bởi vậy, các
frame gọi là được phát tán. Mạng kiểu NBMA sử dụng các mạch hướng kết nối để
phân phối các frame hay cell từ đầu nầy đến đầu kia của mạch. Không có trạm nào
khác liên quan đến mạch nầy ngoại trừ 2 nút cuối của . Các dịch vụ chuyển dữ liệu
trong IP phi kết nối (connectionless) không phải luôn luôn phù hợp với các liên kết
hướng kết nối của ATM.

Ứng dụng NHRP trong DMVPN: NHRP thường được sử dụng trong DMVPN
kết hợp với multiple GRE (mGRE) Tunnels, IPSec encryption. Chúng ta cùng xem xét
mô hình bên dưới.

Hình 2.14. HeadQuarters (HQ) , Branch1 (BR1) và Branch2 (BR2).

32
 BR1, BR2 Connect HQ qua giao thức DMVPN kết hợp với mGRE Tunnel và IPSec.

Bảng 2.1 Bảng phân phối địa chỉ IP

HeadQuarters IP Public: 100.0.0.1

(HQ) Interface Tunnel 1: 192.168.1.1
IP Public: Dynamic
Branch1 (BR1)
Interface Tunnel 1: 192.168.1.2
IP Public: Dynamic
Branch2 (BR2)
Interface Tunnel 1: 192.168.1.3
Vì BR1 và BR2 sử dụng IP Public động nên các IP trên thay đổi liên tục. Trường
hợp trên, NHRP sẽ liên tục cập nhật IP Public của của BR1 và BR2 lên Next Hop
Server (NHS) là HQ. Khi BR1 muốn tạo Tunnel động để giao tiếp với BR2, Br1 gửi
gói tin NHRP Request lên HQ để hỏi xem IP Public tương ứng với IP 192.168.1.3, HQ
gửi lại gói tin NHRP Reply là IP Public hiện tại của BR2. Lúc trên BR1 sẽ sử dụng IP
Public trên để tạo Tunnel với BR2.

2.7. Định tuyến với DMVPN

Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến động
để định tuyến từ headen đến branch. Việc sử dụng các giao thức định tuyến động có
nhiều lợi thế hơn đóng góp trực tuyến bằng IPSec (IPSec Direct Encapsulation). Trong
VPN, giao thức định tuyến phải đảm bảo cùng một lợi ích so với mạng truyền thống,
bao gồm:

- Thông tin về topology của mạng

- Thông báo thay đổi trong cấu trúc của topology

- Trạng thái điều khiển từ xa của mỗi đối tượng

Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN bao
gồm EIGRP, OSPF, RIPv2, và ODR (chỉ dùng trong hub-and-spoke). Giao thức
EIGRP được khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến động trên
duy trì định tuyến theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ
nhanh chóng của . EIGRP cung cấp một loạt các tùy chọn để tổng hợp địa chỉ
(summarization) và quảng bá định tuyến mặc định (default route).

33
 Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng, nhưng
không được thảo luận rất chi tiết. ODR có thể không được sử dụng trong mô hình triển
khai spoke-to-spoke vì ODR không hỗ trợ chia tách tunnel (split tunneling).

Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó
tác động trên phải được xem xét khi tăng kích thước mạng.

2.8. Các giao thức trong DMVPN

Giao thức bảo mật IPSec (Internet Protocol Security): IPSec chạy ở lớp 3 và sử
dụng IKE để thiết lập SA giữa các đối tượng ngang hàng. Dưới đây là các đối tượng
cần được thiết lập như là một phần của sự thiết lập SA.

- Thuật toán mã hoá.

- Thuật toán băm (Hash).

- Phương thức xác thực.

- Nhóm Diffie-Hellman.

Hình 2.15. Khung giao thức được sử dụng trong IPSec

Chức năng của IPSec là để thiết lập sự bảo mật tương ứng giữa hai đối tượng
ngang hàng. Sự bảo mật trên xác định khoá, các giao thức, và các thuật toán được sử
dụng giữa các đối tượng ngang hàng. Các SA IPSec có thể chỉ được thiết lập như là vô

34
hướng. Sau khi gói tin được chuyển tới tầng mạng thì gói tin IP không gắn liền với bảo
mật. Bởi vậy, không cam đoan rằng IP datagram nhận được là:

- Từ người gửi yêu cầu.

- Dữ liệu gốc từ người gửi.

- Không bị kiểm tra bên thứ 3 khi gói tin đang được gửi từ nguồn tới đích.

IPSec là một phương pháp để bảo vệ IP datagram. IPSec bảo vệ IP datagram

bằng cách định nghĩa một phương pháp định rõ lưu lượng để bảo vệ, cách lưu lượng
đó được bảo vệ và lưu lượng đó được gửi tới ai. IPSec có thể bảo vệ gói tin giữa các
host, giữa cổng an ninh mạng, hoặc giữa các host và cổng an ninh. IPSec cũng thực
hiện đóng gói dữ liệu và xử lý các thông tin để thiết lập, duy trì, và hủy bỏ đường hầm
khi không dùng đến nữa. Các gói tin truyền trong đường hầm có khuôn dạng giống
như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng
như các ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí
để triển khai và quản lý.

Tập hợp các giao thức được phát triển bởi IETF để hỗ trợ sự thay đổi bảo mật
của gói tin ở tầng IP qua mạng vật lý. IPSec được phát triển rộng rãi để thực hiện
VPN. IPSec hỗ trợ hai chế độ mã hóa : transport và tunnel
2.8.1. Chế độ transport

Chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ đi phần header không sờ
đến. Ở bên nhận, thiết bị IPSec_compliant sẽ giải mã từng gói tin. Mode transport bảo
vệ phần tải tin của gói dữ liệu, các giao thức ở lớp cao hơn, nhưng vận chuyển địa chỉ
IP nguồn ở dạng “clear”. Địa chỉ IP nguồn được sử dụng để định tuyến các gói dữ liệu
qua mạng Internet. Mode transport ESP được sử dụng giữa hai máy, khi địa chỉ đích
cuối cùng là địa chỉ máy của chính bản thân. Mode transport cung cấp tính bảo mật chỉ
cho các giao thức lớp cao hơn.

35
 Hình 2.16. Chế độ Transport

Nhược điểm của chế độ trên là cho phép các thiết bị trong mạng nhìn thấy địa
chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (như phân tích lưu
lượng) dựa trên các thông tin của tiêu đề IP. Tuy nhiên, nếu dữ liệu được mã hóa bởi
ESP thì sẽ không biết được thông tin cụ thể bên trong gói tin IP là gì. Theo IETF thì
chế độ truyền tải chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực
hiện IPSec.
2.8.2. Chế độ tunnel

Mã hóa cả phần header và payload để cung cấp sự thay đổi bảo mật nhiều hơn
của gói tin. Ở bên nhận, thiết bị
IPSec_compliant sẽ giải mã từng
gói tin. Một trong nhiều giao thức
phổ biến được sử dụng để xây dựng
VPN là chế độ đường hầm IPSec.

Hình 2.17. Chế độ tunnel

Chế độ trên cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec
thay cho các trạm cuối (host). Trong ví dụ trên hình 2.18, bộ định tuyến A xử lý các
gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý các gói nhận được
trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B. Như vậy, các

36
trạm cuối không cần thay đổi mà vẫn có được tính an ninh dữ liệu của IPSec. Ngoài ra,
nếu sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng sẽ chỉ nhìn thấy
được các địa chỉ hai điểm cuối của đường hầm (ở đây là các bộ định tuyến A và B).
Khi sử dụng chế độ đường hầm, các đầu cuối của IPSec-VPN không cần phải thay đổi
ứng dụng hay hệ điều hành.

Hình 2.18. Thiết bị mạng thực hiện trong IPSec trong chế độ đường hầm

37
 AH trong mode Transport
IP HDR DATA

Authenticated Header and Data

IP HDR AH HDR DATA

AH trong mode Tunnel

Tunnel HDR IP HDR DATA

Everything is Authenticated

New IP HDR AH HDR IP HDR DATA

Hình 2.19. AH trong mode tunnel và transport

ESP trong mode Transport

IP HDR DATA

Encrypted Data
IP HDR ESP HDR Encrypted Data ESP

ESP trong mode Tunnel

Tunnel HDR IP HDR DATA

Everything is Optionally Authenticated

New IP HDR ESP HDR Encrypted Original IP Header and Data ESP

Hình 2.20. ESP trong mode tunnel và transport

IPSec được phát triển cho lí do bảo mật bao gồm tính toàn vẹn không kết nối, xác
thực dữ liệu gốc, anti_replay, và mã hóa. IETF định nghĩa theo chức năng của IPSec.

Tính xác thực: Mọi người đều biết là dữ liệu nhận được giống với dữ liệu được
gửi và người gửi yêu cầu là người gửi hiện tại.

38
 Tính toàn vẹn: Đảm bảo rằng dữ liệu được truyền từ nguồn tới đích mà không
bị thay đổi hay có bất kỳ sự xáo trộn nào.

Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không
một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu lấy được cũng
không đọc được.

Mã hóa: Một cơ cấu cơ bản được sử dụng để cung cấp tính bảo mật.

Phân tích lưu lượng: Phân tích luồng lưu lượng mạng cho mục đích khấu trừ
thông tin hữu ích cho kẻ thù. Ví dụ như thông tin thường xuyên được truyền, định
danh của các bên đối thoại, kích cỡ gói tin, định danh luồng sử dụng, vv..

SPI: Viết tắt của chỉ số tham số an toàn (security parameter index), là chỉ số
không có kết cấu rõ ràng, được sử dụng trong liên kết với địa chỉ đích để định danh
liên kết an toàn tham gia.

Phương pháp bảo vệ IP datagram bằng cách sử dụng một trong các giao thức
IPSec, Encapsulate Security Payload (ESP) hoặc Authentication Header (AH). AH
cung cấp chứng cứ gốc của gói tin nhận, toàn vẹn dữ liệu, và bảo vệ anti_replay. ESP
cung cấp cái mà AH cung cấp cộng với tính bảo mật dữ liệu tùy ý. Nền tảng bảo mật
được cung cấp bởi AH hoặc ESP phụ thuộc vào thuật toán mã hóa áp dụng trên chúng.

Dịch vụ bảo mật mà IPSec cung cấp yêu cầu khóa chia sẻ để thực hiện tính xác
thực và bảo mật. Giao thức khóa chia sẻ là Internet Key Exchange (IKE), là một
phương pháp chuẩn của xác thực IPSec, dịch vụ thương lượng bảo mật, và phát sinh
khóa chia sẻ.
2.8.2.1. Liên kết an toàn

Một liên kết an toàn SA là một liên kết đơn hình, mà các dịch vụ bảo mật cho
phép truyền tải . Một SA chính là một sự thỏa thuận giữa hai đầu kết nối cùng cấp
chẳng hạn như giao thức IPSec. Hai giao thức AH và ESP đều sử dụng SA, và là chức
năng chính của giao thức trao đổi khóa IKE. Vì SA là liên kết đơn hình (có nghĩa là

39
chúng chỉ liên kết theo một hướng duy nhất) cho nên các SA tách biệt được yêu cầu
cho các lưu lượng gửi và nhận. Các gói SA được sử dụng để mô tả một tập hợp các SA
mà được áp dụng cho các gói dữ liệu gốc được đưa ra bởi các host. Các SA được thỏa
thuận giữa các kết nối cùng cấp thông qua giao thức quản lý khóa chẳng hạn như IKE.
Khi thỏa thuận của một SA hoàn thành, cả hai mạng cùng cấp đó lưu các tham số SA
trong cơ sở dữ liệu liên kết an toàn (SAD) của chúng. Một trong các tham số của SA là
khoảng thời gian sống (life time) của . Khi khoảng thời gian tồn tại của một SA hết
hạn, thì SA trên sẽ được thay thế bởi một SA mới hoặc bị hủy bỏ. Khi một SA bị hủy
bỏ, chỉ mục của sẽ được xóa bỏ khỏi SAD. Các SA được nhận dạng duy nhất bởi một
bộ ba chứa chỉ số của tham số liên kết an toàn SPI, một địa chỉ IP đích, và một giao
thức cụ thể (AH hoặc ESP). SPI được sử dụng kết hợp với địa chỉ IP đích và số giao
thức để tra cứu trong cơ sở dữ liệu để biết được thuật toán và các thông số liên quan.

2.8.2.2. Chính sách

Chính sách IPSec được duy trì trong SPD. Mỗi cổng vào của SPD định nghĩa lưu
lượng được bảo vệ, cách để bảo vệ và sự bảo vệ được chia sẻ với ai. Với mỗi gói tin
đi vào và rời khỏi hàng đợi IP, SPD phải được tra cứu.

Một cổng vào SPD phải định nghĩa một trong ba hoạt động:

- Discard: Không để gói tin trên vào hoặc ra.

- Bypass: Không áp dụng dịch vụ bảo mật cho gói tin đi ra và không đòi hỏi bảo
mật trên gói tin đi vào.

- Protect: Áp dụng dịch vụ bảo mật trên gói tin đi ra và yêu cầu gói tin đi vào có
áp dụng dịch vụ bảo mật.

Lưu lượng IP được tạo ra thành chính sách IPSec bởi người chọn lựa. Người lựa
chọn IPSec là: địa chỉ IP đích, địa chỉ IP nguồn, tên hệ thống, giao thức tầng trên, cổng
nguồn và cổng đích và độ nhạy của dữ liệu.

SPD ghi vào định nghĩa hoạt động “bảo vệ” sẽ được chỉ rõ trên SA mà định danh
trạng thái sử dụng để bảo vệ gói tin. Nếu một cổng vào SPD không được chỉ định rõ
trong bất kỳ SA nào trong cơ sở dữ liệu SA (SAD), SA trên sẽ phải được tạo trước khi

40
bất kỳ lưu lượng nào có thể đi qua. Nếu luật được áp dụng tới lưu lượng đi vào và SA
không tồn tại trong SAD, gói tin sẽ bị bỏ đi. Nếu được áp dụng cho lưu lượng đi ra,
SA có thể được tạo khi sử dụng IKE.

Kiến trúc IPSec định nghĩa sự tương tác của SAD và SPD với chức năng xử lý
IPSec như đóng gói và dỡ gói, mã hóa và giải mã, bảo vệ tính toàn vẹn và xác minh
tính toàn vẹn. cũng định nghĩa cách thực thi IPSec khác nhau có thể tồn tại.

Khi nhận được gói tin vào máy tính thì đầu tiên máy tính đó tham khảo cơ sở dữ
liệu về chính sách. Trong trường hợp cần xử lý thì xử lý header, tham khảo cơ sở dữ
liệu, tìm đến SA tương ứng.

Hình 2.22. Chính sách IPSec: xử lý gói tin đầu vào

Khi gói tin ra từ một máy thì cũng phải tham khảo cơ sở dữ liệu chính sách. Có
thể xảy ra 3 trường hợp:

- Cấm hoàn toàn, gói tin không được phép truyền qua.

- Được truyền qua nhưng không có mã hóa và xác thực.

- Có SA tương ứng.

2.8.2.3. Giao thức đóng gói tải tin an toàn ESP

41
 ESP cungHình
cấp 2.23. Chính
sự bảo mật,sách
toànIPSec: xửliệu,
vẹn dữ lý góichứng
tin đầu ra nguồn gốc dữ liệu và
thực
dịch vụ chống tấn công Anti-reply.

Hình
2.24.
Mô tả

Encapsulating Security Header

Hình 2.25. Gói dữ liệu được bảo vệ bởi ESP

ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header
và trước Header của giao thức lớp trên. IP Header có thể là một IP Header mới trong
chế độ Tunnel hoặc là IP Header nguồn nếu trong chế độ Transport.

42
 Hình 2.26. Gói IP được bảo vệ bởi ESP trong chế độ Transport

Hình 2.27. Gói IP được bảo vệ trong chế độ Tunnel

Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá
trị 32bit được tích hợp với địa chỉ đích và giao thức trong IP Header.

SPI là một số được lựa

chọn bởi Host đích trong suốt quá
trình diễn ra thương lượng
Public Key giữa các Peer-to-
Peer. Số trên tăng một cách
tuần tự và nằm trong Header của
người gửi. SPI kết hợp với cơ chế
Silde Window tạo thành cơ chế
chống tấn công Anti-Replay.

Hình 2.28. Hai mode truyền của ESP

2.8.2.4. Giao thức xác thực tiêu đề AH

Authentication Header (AH) là một giao thức khóa trong kiến trúc IPSec. cung
cấp tính xác thực và tính toàn vẹn cho IP datagram.

43
 có thể hoàn thành việc trên bằng cách áp dụng “Hàm băm khóa một chiều” cho
datagram để tạo tin nhắn giản lược. Khi người nhận thực hiện giống chức năng băm
một chiều trên datagram và thực hiện so sánh với giá trị của bản tin giản lược mà
người gửi đã cung cấp, anh ấy sẽ phát hiện ra một phần của datagram bị thay đổi trong
suốt quá trình quá độ nếu bất kỳ trường gốc nào bị thay đổi. Theo cách trên, tính xác
thực và toàn vẹn của tin nhắn có thể
được đảm bảo khi sử dụng một mã bí
mật giữa hai hệ thống bởi hàm băm một
chiều.

AH cũng có thể ép buộc bảo vệ

anti_replay (chống phát lại) bằng cách
yêu cầu host nhận đặt bit replay trong
header để chỉ ra rằng gói tin đã được
nhìn thấy. Mặc dù không có bảo vệ trên,
kẻ tấn công có thể gửi lại gói tin tương
tự nhiều hơn một lần.

Chức năng AH được áp dụng cho

toàn bộ datagram trừ bất kỳ trường IP
header nào thay đổi từ trạng thái trên
sang trạng thái khác. AH không cung cấp
mã hóa và bởi vậy không cung cấp tính
bảo mật và tính riêng tư.
2.8.2.5. Các bước hoạt động của AH:
Hình 2.29. Xác thực tiêu đề
Bảng 2.1: Các bước hoạt động của AH:

Bướ Hoạt động

c

Toàn bộ gói tin IP (bao gồm header và data payload) được thực hiện qua một
1
hàm băm một chiều.

Mã băm (tin nhắn giản lược) được sử dụng để xây dựng AH header mới, tiêu
2
đề trên được gắn thêm vào gói tin gốc.

44
 3 Gói tin mới được truyền tới IPSec router ở đích.

Router khác ở đích thực hiện băm IP header và dât payload, kết quả thu được
một mã băm. Sau đó, so sánh với mã băm được truyền từ AH header. Hai
4
hàm băm phải giống nhau. Nếu chúng khác nhau, bên thu lập tức phát hiện
tính không toàn vẹn của dữ liệu.

Việc xử lý AH phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng
của giao thức IP. Khuôn dạng của gói tin IPv4 trước và sau khi xử lý AH trong hai chế
độ truyền tải và đường hầm được thể hiện trên hình:

Hình 2.30. Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 2.31. Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

45
2.8.2.6. Giao thức trao đổi chìa khóa IKE

AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùng chung trong
việc phân phối khóa, do đó các chìa khóa có thể mất cắp khi trao đổi qua lại. Do đó
một cơ chế trao đổi chìa khóa an toàn cho IPSec phải thỏa mãn yêu cầu sau.

- Không phụ thuộc vào các thuật toán đặc biệt.

- Không phụ thuộc vào một nghi thức trao đổi khóa đặc biệt.

- Sự chứng thực của những thực thể quản lý khóa.

- Thiết lập các SA trên các tuyến giao thông không an toàn.

- Sử dụng hiệu quả các nguồn tài nguyên.

Giao thức IKE dựa trên khung của Hiệp hội quản lý cha khóa trên Internet và
giao thức phân phối khóa Oakley.
Giao thức IKE có các đặc tính như sau:
- Các chìa khóa phát sinh và những thủ tục nhận biết.

- Tự động làm mới lại chìa khóa.

- Giải quyết vấn đề một khóa.

- Mỗi một giao thức an toàn (AH, ESP) có một không gian chỉ số an toàn của
chính mình.
- Gắn sẵn sự bảo vệ.

- Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công từ
chối dịch vụ DoS (Denial-of-Service).
- Tiếp cận hai giai đoạn:
 Thiết lập những SA cho khóa trao đổi.
 Thiết lập SA cho dữ liệu truyền.
- Sử dụng chữ ký số.

- Dùng chung khóa.

Giao thức IKE thiết kế ra để cung cấp 5 khả năng:
- Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức,
thuật toán và những chìa khóa để sử dụng.

46
 - Đảm bảo trao đổi khóa đến đúng người dùng.

- Quản lý những chìa khóa sau khi được chấp nhận.

- Đảm bảo rằng sự điều khiển và trao đổi khóa an toàn.

- Cho phép sự chứng thực động giữa các đối tượng ngang hàng.

2.9. Ưu điểm và nhược điểm khi sử dụng IPSec

2.9.1. Ưu điểm

Lợi ích của IPSec là mã hóa trong suốt hoàn toàn đối với tất cả giao thức lớp 3
của mô hình OSI và cao hơn. IPSec cung cấp các dịch vụ sau:

- Xác thực lẫn nhau trước và trong quá trình trao đổi.

- Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của gói.
IPSec có hai chế độ: ESP – mã hóa dựa trên một vài thuật toán nào đó và AH – xác
thực lưu lượng nhưng không mã hóa .
- Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Các ESP
và AH đều được dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã
được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.
- Ngăn chặn tấn công: Cả ESP và AH đều dùng số tuần tự để bất cứ gói nào được
capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được sắp xếp
theo thứ tự để chắc chắn rằng kẻ tấn công không thể dùng lại hay gửi lại dữ liệu đã
được capture thiết lập phiên làm việc hoặc thu thập thông tin bất hợp pháp. Dùng số
tuần tự cũng để bảo vệ tấn công bằng cách chặn message và sau đó dùng message y
hệt để truy cập bất hợp pháp vào tài nguyên, có thể là vài tháng sau đó.
2.9.2. Nhược điểm

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập kết
nối VPN an toàn thông qua mạng Internet, vẫn còn ở trong giai đoạn phát triển để
hướng tới hoàn thiện.

Sau đây là một số vấn đề đặt ra mà IPSec cần phải giải quyết để hỗ trợ tốt hơn
cho việc thực hiện VPN:

47
 - Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các
tiêu đề khác nhau, điều trên làm cho thông lượng hiệu dụng của mạng giảm xuống.
Vấn đề trên có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song
những kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các
dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó
đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với
chính phủ và một số quốc gia.

48
 CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP DM VPN TRƯỜNG ĐẠI HỌC CN
GTVT

3.1. Khảo sát, phân tích thiết kế hệ thống mạng trường Đại học CN GTVT
3.1.1. Đơn vị khảo sát: Trường Đại học Công nghệ GTVT
Sau khi tìm hiểu và khảo sát cơ sở hạ tầng hệ thống mạng của đơn vị. Đơn vị
gồm 1 trụ sở chính và 2 chi nhánh.

3.1.1.1. Trụ sở chính Vĩnh Phúc

Gồm 3 điểm chính:

- Tòa nhà điều hành (khối văn phòng dành cho các phòng ban): gồm 20 PC, và
các thiết bị khác

- Tòa nhà thư viện (khối thư viện điện tử): 20 PC, và các thiết bị khác

- IT và Phòng thực hành tòa nhà A3: 1 Server, 120 PC, và các thiết bị khác
3.1.1.2. Chi nhánh Hà Nội

Gồm 3 điểm chính:

- Tòa nhà điều hành H1, H2, H3 (khối văn phòng dành cho các phòng ban): gồm
200 PC, và các thiết bị khác

- Tòa nhà thư viện (khối thư viện điện tử_CNTT): 100 PC, 1 Server và các thiết
bị khác

- IT và Phòng thực hành tòa nhà A5, A6: 1 Server, 500 PC, và các thiết bị khác
3.1.1.3. Chi nhánh Thái Nguyên

Gồm 2 điểm chính:

- Tòa nhà điều hành (khối văn phòng dành cho các phòng ban): gồm 30 PC, và
các thiết bị khác

- IT và Phòng thực hành tòa nhà: 100 PC, và các thiết bị khác

49
3.1.2. Ưu nhược điểm của hệ thống cũ
3.1.2.1. Ưu điểm

Hệ thống mạng hoạt động tốt, tốc độ cao, có rất nhiều nhà cung cấp các gói dịch
vụ khác nhau
3.1.2.2. Nhược điểm
Hệ thống mạng hoạt động tốt nhưng chưa hiệu quả và chưa được đồng bộ hóa vì
các thiết bị mạng khác nhau, rất nhiều gói mạng nhỏ lẻ riêng biệt.

3.1.3. Phân tích hệ thống DM VPN:

3.1.3.1. Mô hình DM VPN

Hình 3.1. Mô hình DMVPN Phase 3 Hub to spoke for tunnel ipsec

- DMVPN là một giải pháp giúp kết nối các mạng của văn phòng chi nhánh với
trụ sở chính, cũng như giữa các chi nhánh với nhau thông qua kết nối Internet
hoặc Leased Line. DMVPN là sự kết hợp của nhiều kỹ thuật: IPSec, mGRE và
NHRP. Để đảm bảo tính HA, tại Hub nên trang bị thêm 1 lớp Router và 2 hoặc
3 đường truyền Internet của các nhà mạng khác nhau.

- Cung cấp tốc độ Internet và độ tin cậy vượt trội.

- Giảm chi phí truyền thông an toàn và kết nối giữa các chi nhánh bằng cách tích
hợp VPN với các phương thức truyền thông.

- Cho phép liên lạc và kết nối giữa các chi nhánh và chi nhánh dễ dàng hơn thông
qua một hệ thống tập trung.
50
 - Giảm khả năng xảy ra thời gian chết bằng cách định tuyến an toàn với công
nghệ IPsec.

DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra còn có một số thuận lợi
như sau:

- Giảm độ phức tạp khi cấu hình trên router hub mà cung cấp khả năng thêm
nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.

- Bảo đảm các packet được mã hóa khi truyền đi

- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels

- Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa
các site mà không cần thông qua hub (nhờ mGRE và NHRP)

- Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)
3.1.3.2. Giải pháp trong quá trình triển khai:

- Lắp đặt hệ thống trung tâm Hub: Tại chi nhánh Hà Nội do số lượng giảng viên
và sinh viên đông hơn và có nhu cầu sử dụng cao hơn.

- Lắp đặt hệ thống Spoke1: Tại trụ sở chính Vĩnh Phúc do số lượng giảng viên và
sinh viên ít hơn Hà Nội.

- Lắp đặt hệ thống Spoke2: Tại chi nhánh Thái Nguyên do số lượng giảng viên
và sinh viên ít hơn Hà Nội và Vĩnh Phúc.
3.1.3.3. Mỗi cơ sở cần 2 gói của 2 nhà mạng khác nhau:
- Gói tốc độ cao là gói cung cấp chính
- Gói tốc độ thấp là gói dự phòng

3.1.3.4. Mô hình triển khai Hub – Spoke:

Router tại trụ sở chính đóng vai trò là Hub, Router tại các chi nhánh là Spoke.

Router sử dụng tại Hub là dòng ISR 4331 hoặc sử dụng dòng Router cao hơn tùy
theo nhu cầu thực tế, Spoke là dòng ISR 4221. Cần phải mua thêm Sec License để
nâng cấp cho các dòng Router trên nhằm hỗ trợ các tính năng DMVPN, IPSec. Cần
IP Public tĩnh tại Hub, các Spoke không cần sử dụng IP Public tĩnh.

51
3.1.3.3. Công cụ mô phỏng

EVE-NG ( Emulated Virtual Environment – Next Generation) là một trong các

công cụ giả lập (emulator) mạnh nhất hiện nay. Thừa hưởng các tính năng của
UnetLab.

3.1.4. Thiết kế hệ thống DM VPN:

3.1.4.1. Thiết kế hệ thống DM VPN tại cơ sở Hà Nội:
- Bao gồm Tòa nhà thư viện: Phòng DMZ(IT), Phòng đọc online, Điểm cấp phát
Wife Public. Thiết bị bao gồm: Hub (ISR 4331), Switch Layer 2, Switch Layer 3,
Hub, Wife Public, SERVER, PC
- Tòa nhà H1, H2, H3: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP
khoa, và các phòng ban).
Thiết bị: Switch Layer 2,
Switch Layer 3, Hub, Wife
Public, PC
- Phòng thực hành: Điểm thi
Online cung cấp đường
truyền tốc độ cao giúp sinh
viên thi trắc nghiệm và học.
Thiết bị: Switch Layer 2,
Switch Layer 3, Hub, Hub,
PC
Hình 3.2. Sơ đồ vị trí hệ thống DM VPN Hà Nội

3.1.4.2. Thiết kế hệ thống DM VPN tại cơ sở Vĩnh Yên:

- Tòa nhà thư viện: Phòng DMZ(IT), Phòng đọc online, Điểm cấp phát Wife
Public. Thiết bị bao gồm: Spoke1(ISR 4321), Switch Layer 2, Switch Layer 3,
Hub, Wife Public, SERVER, PC.
- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và
các phòng ban). Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.

52

Hình 3.2. Sơ đồ vị trí hệ thống DM VPN Hà

Nội
 - Phòng thực hành:
Điểm thi Online cung
cấp đường truyền tốc
độ cao giúp sinh viên
thi trắc nghiệm và học
thực hành. Thiết bị:
Switch Layer 2,
Switch Layer 3, Hub,
PC

Hình 3.3. Sơ đồ vị trí hệ thống DM VPN Vĩnh Yên

3.1.4.3. Thiết kế hệ thống DM VPN tại cơ sở Thái Nguyên:
- Tòa nhà thư viện: Phòng đọc online, Điểm cấp phát Wife Public. Thiết bị bao
gồm: Spoke2(ISR 4321), Switch Layer 2, Switch Layer 3, Hub, Wife Public, PC.
- Tòa nhà B1: Cung cấp đường truyền tốc độ cao cho khối văn phòng (VP khoa, và
các phòng ban). Thiết bị: Switch Layer 2, Switch Layer 3, Hub, PC.
- Phòng thực hành: Điểm
thi Online cung cấp
đường truyền tốc độ cao
giúp sinh viên thi trắc
nghiệm và học. Thiết bị:
Switch Layer 2, Switch
Layer 3, Hub, PC

Hình 3.4. Sơ đồ vị trí hệ thống DM VPN Thái Nguyên

53
 3.1.4.4. Hệ thống DM VPN tổng hợp bao gồm 3 cơ sở ( Hà Nội, Vĩnh Phúc,
Thái Nguyên)

Hình 3.5. Sơ đồ vị trí hệ thống DM VPN đơn vị trường ĐH CN GTVT

54
3.2. Xây dựng mô hình DM VPN kết hợp giao thức IPSEC trên EVE-ng

Hình 3.6. Sơ đồ vật lý DM VPN trên EVE_ng

3.3. Cấu

hình
Hình 3.7. Sơ đồ thiết bị DM VPN trên EVE_ng
cơ bản
(DM VPN)

55
3.3.1. Cấu hình DMVPN trên Router Cisco

Mô
hình
bao
gồm:
1 Trụ
sở
chính
(Cơ
sở Hà
nội)
đóng
vai
trò
Hình 3.8. Mô hình DM VPN trường ĐH CN GTVT là
Hub
và là Next Hop Server (NHS) chứa cơ sở dữ liệu NHRP và 2 nhánh (Spoke). Mục tiêu
của là kết nối các chi nhánh tới trụ sở chính và tạo các Tunnel khi các chi nhánh cần
giao tiếp với nhau. Các Tunnel trên được mã hóa bằng IPSec để bảo mật dữ liệu. Các
bước cấu hình bao gồm:

Bước 1: Cấu hình DMVPN Hub và Next Hop Server (NHS) trên Router tại trụ sở
chính

Bước 2: Cấu hình DMVPN Spoke trên các Router chi nhánh

Bước 3: Cấu hình IPSec VPN và gán vào mGRE để bảo mật dữ liệu

Bước 4: Cấu hình định tuyến giữa các DMVPN with mGRE and NHRP
3.3.2. Cấu hình cơ bản:

On R1:

R1(config)# interface loopback0

R1(config-if)# ip address 1.1.1.1 255.255.255.0
R1(config)# interface FastEthernet 0/0

56
R1(config-if)# ip
address 200.1.1.1
255.255.255.0
R1(config-if)# no
shutdown

R1(config)# ip route
200.1.2.0
255.255.255.0
200.1.1.10
R1(config)# ip route
200.1.3.0
255.255.255.0
200.1.1.10

Hình 3.9. Cấu hình cơ bản Hub_UTT

On R2:

R2(config)# interface loopback0

R2(config-if)# ip address 2.2.2.2 255.255.255.0
R2(config)#
interface
FastEthernet 0/0
R2(config-if)# ip
address 200.1.2.2
255.255.255.0
R2(config-if)# no
shutdown
R2(config)# ip
route 200.1.1.0
255.255.255.0
200.1.2.10
R2(config)# ip
route 200.1.3.0
255.255.255.0
200.1.2.10 Hình 3.10. Cấu hình cơ bản Spoke1_VY

On R3:

R3(config)# interface loopback 0

R3(config-if)# ip address 3.3.3.3 255.255.255.0
R3(config)# interface
FastEthernet 0/0
R3(config-if)# ip
address 200.1.3.3
255.255.255.0
R3(config-if)# no
shutdown

57
 R3(config)# ip route 200.1.1.0 255.255.255.0 200.1.3.10
R3(config)# ip route 200.1.2.0 255.255.255.0 200.1.3.10

3.3.3. Cấu hình DMVPN

Hình 3.11. Cấu hình cơ bản Spoke2_TN
DMVPN trên Router
Hub cần tạo 1 Interface Tunnel để
kết nối tới tất cả các chi nhánh. Chi
tiết cấu hình:
HUB-UTT On R1:

R1(config)# interface
tunnel123
R1(config-if)# ip
address 10.1.1.1
255.255.255.0
R1(config-if)# tunnel
source FastEthernet 0/0
R1(config-if)# tunnel
mode gre multipoint
R1(config-if)# ip nhrp
network-id 111
R1(config-if)# ip nhrp map multicast dynamic

Hình 3.12. Cấu hình DMVPN Hub_UTT

DMVPN không có Tunnel Destination, được thay thế bằng lệnh tunnel mode gre
multipoint để sử dụng mGRE thay cho GRE.

Lệnh ip nhrp map multicast dynamic cho phép chuyển tiếp lưu lượng multicast
qua các tunnel. Việc trên giúp cho DMVPN hỗ trợ các giao thức định tuyến động như
EIGRP, OSPF để cập nhật thông tin về các mạng nội bộ của các chi nhánh khi có sự
thay đổi.

Lệnh ip nhrp network-id

111 dùng để xác định DMVPN. Các

Router khi tham gia vào DMVPN
phải có chung network-id.

SPOKE1-VY On R2

58
 R2(config)# interface tunnel123
R2(config-if)# ip address 10.1.1.2 255.255.255.0
R2(config-if)# tunnel source FastEthernet 0/0
R2(config-if)# tunnel mode gre multipoint
R2(config-if)# ip nhrp network-id 222
R2(config-if)# ip nhrp nhs 10.1.1.1
R2(config-if)# ip nhrp map 10.1.1.1 200.1.1.1

Hình 3.13. Cấu hình DMVPN SPOKE1-VY

SPOKE1-TN On R2

R3(config)# interface
tunnel123
R3(config-if)# ip
address 10.1.1.3
255.255.255.0
R3(config-if)# tunnel
source FastEthernet 0/0
R3(config-if)# tunnel
mode gre multipoint
R3(config-if)# ip nhrp
network-id 333
R3(config-if)# ip nhrp
nhs 10.1.1.1
R3(config-if)# ip nhrp
map 10.1.1.1 200.1.1.1 Hình 3.14. Cấu hình DMVPN SPOKE2-TN

ip nhrp nhs 10.1.1.1: cho router Spoke biết địa chỉ IP của Next Hop
Server (NHS) để truy vấn cơ sở dữ liệu NHRP khi cần.

ip nhrp map 10.1.1.1 200.1.1.1: map địa chỉ NHS với địa chỉ IP
Public của Router Hub.

ip nhrp map multicast 1.1.1.1: chỉ định các Spoke chỉ được gửi gói tin
Multicast tới Hub chứ không được gửi giữa các Spoke. Tất cả gói tin Multicast phải
được gửi đến Hub xử lý sau đó mới cập nhật xuống Spoke.

tunnel source F0/0: lệnh trên được cấu hình với các Spoke sử dụng địa chỉ
IP động. Khi IP muốn thay đổi, spoke sẽ cập nhật ip trên lên Next Hop Server (NHS)
thông qua cổng F0/0. Với IP tĩnh chúng ta có thể chỉ định luôn địa chỉ IP wan trong
lệnh trên.

59
3.3.4. Kiểm tra cấu hình

Sử dụng lệnh show dmvpn để kiểm tra xem các router Spoke đã tạo Tunnel kết
nối đến Hub hay chưa:

60
On R1:
R1#show ip nhrp

R1# show dmvpn

R1# show dmvpn detail

Hình 3.15. Kiểm tra DMVPN R1, R2, R3

61
 R1# ping 10.1.1.2

R1# ping 10.1.1.3

Hình 3.16. Kiểm tra DMVPN R1, R2, R3

Kiểm tra trên Router Spoke: Spoke1, Spoke2

Hiện tại khi mới cấu hình xong, trên các Router Spoke chỉ hiển thị Tunnel với
Hub do các Tunnel trên là tunnel tĩnh và có Attrb là S. Khi cần kết nối giữa các chi
nhánh, các Spoke sẽ tạo các Tunnel động để giao tiếp, lúc trên chúng ta show
dmvpn sẽ hiển thị thêm thông tin của chi nhánh mà chúng ta kết nối đến và
có Attrb là D.
3.3.5. Định tuyến giữa các DMVPN Tunnel

Chúng ta cần cấu hình định tuyến để các Router biết khi nào đẩy gói tin qua
DMVPN Tunnel. Cấu hình định tuyến tĩnh hoặc động như EIGRP, OSPF (do đã cho
phép gói tin multicast đi qua tunnel bằng lệnh ip nhrp map multicast dynamic ở trên).

Định tuyến giao thức EIGRP

On R1:
R1(config)# router eigrp 100
R1(config-router)# network 1.1.1.1 0.0.0.0
R1(config-router)# network 10.1.1.1 0.0.0.0
R1(config)# interface tunnel123
R1(config-if)# no ip split-horizon eigrp 100
R1(config-if)# no ip next-hop-self eigrp 100

62
 On R2:
R2(config)# router eigrp 100
R2(config-router)# network 2.2.2.2 0.0.0.0
R2(config-router)# network 10.1.1.2 0.0.0.0
R2(config)# interface tunne123
R2(config-if)# ip nhrp map multicast 200.1.1.1

On R3:
R3(config)# router eigrp 100
R3(config-router)# network 3.3.3.3 0.0.0.0
R3(config-router)# network 10.1.1.3 0.0.0.0
R3(config)# interface tunnel123
R3(config-if)# ip nhrp map multicast 200.1.1.1

Hình 3.17. Cấu hình giao thức Eigrp trên R1, R2, R3

Như vậy là chúng ta đã cấu hình xong DMVPN kết hợp với mGRE, NHRP và
IPSec để kết nối các chi nhánh. Kiểm tra thiết bị

63
 R2# show ip route eigrp | begin Gate

R2# ping 1.1.1.1

R2# ping 3.3.3.3

Hình 3.18. Kiểm tra giao thức Eigrp trên Hub_UTT

3.4. Xây dựng mã hóa DMVPN mGRE TUNNEL với Ipsec

3.4.1. Bảng so sánh ISAKMP Policy và IPSec Policy
Bảng 3.1. Bảng so sánh ISAKMP Policy và IPSec Policy

Protect the traffic between 1.1.1.0/24, 2.2.2.0/24, and

3.3.3.0/24 using an IPSec VPN based on the policy shown
Policy Guidelines for Configuring
ISAKMP Policy IPSec Policy
Authentication: Pre-shared Encryption: ESP-3DES
Hash: MD5 Hash: ESP-MD5-HMAC
DH Group: 2 Proxy-ID/Crypto ACL: 1.1.1.1 .... 2.2.2.2
Encryption: 3DES Encryption: ?
PSK: cisco PSK: ?
ISAKMP Policy IPSec Policy

64
3.4.2. Bảo mật DMVPN:
Cấu hình IPSec và isakmp tương tự nhau trên 3 Router, chi tiết cấu hình:
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# encryption 3des
R1(config)# crypto isakmp key cisco address 0.0.0.0
R1(config)# crypto ipsec transform-set TSET esp-des esp-md5-
hmac
R1(cfg-crypto-trans)# mode transport
R1(config)#
crypto ipsec
profile TST
R1(ipsec-
profile)# set
transform-set
TSET
R1(config)#
interface
tunnel123
R1(config-if)#
tunnel
protection ipsec
profile TST
Hình 3.19. Cấu hình IPSec và isakmp trên Hub_UTT
Tương tự cấu hình
Configuration: R2,R3

Hình 3.20. Cấu hình IPSec và isakmp trên Spoke1, Spoke2

Lệnh crypto
isakmp key cisco address 0.0.0.0 có địa chỉ ip là 0.0.0.0 do các chi
nhánh trong mô hình sử dụng IP động nên phải để 0.0.0.0 để match tất cả IP.
Kiểm tra crypto ipsec sa trên R1, R2, R3
R1# show crypto ipsec sa

65
Hình 3.21. Kiểm tra IPSec trên Hub, Spoke1, Spoke2

66
Kiểm tra crypto isakmp sa trên R1, R2, R3
R2# show crypto isakmp sa

Hình 3.22. Kiểm tra isakmp trên Hub, Spoke1, Spoke2

R2# ping 3.3.3.3 source loopback0

Hình 3.20. Kiểm tra gói tin Spoke1 đến Spoke2

R2# show crypto ipsec sa | include local|remote|#pkts

Hình 3.23. Kiểm tra crypto ipsec sa Spoke1_UTT

R1# show
crypto ipsec sa | include local|remote|#pkts

67
 Hình 3.24. Kiểm tra crypto ipsec sa Hub_UTT

R1# show crypto ipsec sa | include local|remote|#pkts

Hình 3.25. Kiểm tra crypto ipsec sa Spoke2_UTT

68
Kiểm tra loopback0: R1, R2, R3
R1# Ping 1.1.1.1

Hình 3.26. Kiểm tra loopback0 (Hub, Spoke1, Spoke2)

69
3.5. Kiểm tra, phân tích bắt gói tin bằng Wireshark:
3.5.1. Kiểm tra gói tin
Thực hiện kiểm tra gói tin từ HUB_UTT (HN) => SPOKE1_UTT (VY)

R1#ping 2.2.2.2 repeat 5000

Hình 3.27. Kiểm tra gói tin HUB_UTT (Hà Nội) =>
SPOKE1_UTT ( Vĩnh Yên)
3.5.2. Chọn cổng f0/0 và chạy phần mềm Wireshark:

Hình 3.28. Chọn cổng f0/0 trên HUB_UTT

70
3.5.4. Thực hiện bắt gói tin trên VMware Network Adapter VMnet8

Hình 3.29. VMware Network Adapter VMnet8

3.5.5. Thực hiện bắt gói tin trên màu xanh xám TCP, UDP

Hình 3.30. Bắt gói tin trên màu xanh xám TCP, UDP

71
3.5.6. Phân tích gói tin

Hình 3.31. Phân tích gói tin

72
3.6. Bảng giá dự trù kinh phí thiết bị:
3.6.1. Price list giá Router Cisco từ hãng mới nhất

Bảng 3.2. Bảng danh sách báo giá thiết bị Cisco

List
Product mã Description mô tả Our Price
Price (USD)

Cisco ISR 4331 (3GE,2NIM,1SM,4G

ISR4331/K9 $3,837.00 (68% OFF)
FLASH,4G DRAM,IPB)

Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G

ISR4321/K9 $2,370.00 (68% OFF)
DRAM,IPB)

Cisco Catalyst 3650 24 Port Data 4x1G

Cisco 3650-24ps $1,300.00 $.00(55% OFF)
Uplink IP Base

Wireless LAN Cisco Catalyst 9800

Wireless 9800 $1,300.00 $.00(55% OFF)
Controller

Cisco WS-C2960X-48TS-L, Catalyst 2960-X

Cisco 2960 48 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

Cisco WS-C2960X-24TS-L, Catalyst 2960-X

Cisco 2960 24 GigE, 4 x 1G SFP, LAN Base $100.00 $.00(50% OFF)

3.6.2. Bảng báo giá thiết bị

Bảng 3.3. Bảng dự trù kinh phí lắp đặt thiết bị Cisco
STT Tên sản phầm Đơn giá Số Thành tiền Ghi chú
lượng
1 ISR4331/K9 $3,837.00 1 $3,837.00 Hà nội
2 ISR4321/K9 $2,370.00 2 $4,740.00 VY, TN
3 Cisco 3650-24ps $1,300.00 10 $13,000.00 Tòa nhà
4 Cisco 2960 48 port $1000.00 10 $10,000.00 Phòng ban
5 Cisco 2960 24 port $800.00 20 $16,000.00 Phòng ban
6 Wireless 9800 $1,300.00 10 $13,000.00 Tòa nhà
Tổng cộng $60,577.00
1,378,726,711 VNĐ
Chú ý: Chưa tính công lắp đặt, ống gen, và chi phí khác

73
 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI
 Tóm tắt kết quả đạt được:
- Hoàn thành tìm hiểu lý thuyết về hê thống DM VPN trong hệ thống mạng
doanh nghiệp.
- Xây dựng và cấu hình thành công hệ thống DM VPN trường Đại học Công
nghệ GTVT theo dạng Hub to Spoke trong đó Hub(HN), Spoke1(vy),
Spoke2(TN)
- Cấu hình được crypto Ipsec và isakmp
- Bắt và phân tích gọi tin trên phần mềm Wireshark
- Lập bảng dự trù báo giá thiết bị Cisco
 Hạn chế:
- Chưa khai thác được nhiều tiềm năng từ DM VPN
- Chưa xây dựng được hệ thống Spoke to Spoke mà không cần thông qua Hub
 Kết luận:
- Hệ thống DM VPN đang được dùng rất nhiều ở Việt Nam đặc là các Ngân
hàng sử dụng hệ thống thẻ ATM, hệ thống cân bằng tải và đặc biệt là cơn lốc
thay đổi thế giới của cuộc cách mạng công nghiệp 4.0 trí tuệ nhân tạo AI.
- Giúp đường truyền ổn định hơn, tốc độ cao hơn trong hệ thống trường học
- Giải pháp có ưu thế là chi phí thấp, độ bảo mật cao, giảm thiểu độ phức tạp cấu
hình, dễ dàng mở rộng và tăng tính linh hoạt của hệ thống mạng.
- Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN Tunnel như RIP,
EIGRP, OSPF, BGP.
- Khả năng thiết lập tự động và trực tiếp giữa các kênh Spoke-to-spoke IPSec
giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP), giúp giảm
tải cho Router Hub.

74
 TÀI LIỆU THAM KHẢO
1. Tài liệu trong nước
[1] Mạng Máy Tính - Đh Bách Khoa Hn - Pgs.Ts Ngô Hồng Sơn
[2] Mạng Máy Tính Nâng Cao (Advanced Computer Networks) Đh Bách Khoa
Hcm - Ts Nguyễn Đức Thái
2. Tài liệu nước ngoài
[1] Jon C Snader. (2018), VPNs Illustrated: Tunnels, VPNs, and IPsec: Tunnels,
VPNs,…
[2] Mike Erwin, (2018), Virtual Private Networks: Turning the Internet Into Your
Private Network
[3] Jon C Snader. (2018), TCP/IP and VPN expert whose background includes
work in communications, networking, compiler development, operating systems, and
radio network controllers.
[4] J. Michael Stewart | Jul 25, 2013 Network Security, Firewalls And Vpns
(Jones & Bartlett Learning Information Systems Security & Ass) (Standalone book)
[5] Graham Bartlett and Amjad Inamdar | Sep 12, 2016 IKEv2 IPsec Virtual
Private Networks: Understanding and Deploying IKEv2, IPsec VPNs, and FlexVPN in
Cisco IOS (Networking Technology: Security)
[6] Christian Jacquenet , Gilles Bourdon, et al. | Apr 14, 2008
Service Automation and Dynamic Provisioning Techniques in IP / MPLS
Environments
[7] Jon C Snader. (2018), Cisco Systems, Inc. All rights reservedSecurity for
VPNs with IPsec
[8] Jazib Frahim , Omar Santos , et al. | Apr 30, 2014 Cisco ASA: All-in-one
Next-Generation Firewall, IPS, and VPN Services

75
 PHỤ LỤC

- Cấu hình mô hình trên EVE_NG

- Thực hiện lệnh: show running-configure để xem cấu hình các router
- Router trụ sở chính tại Hà Nội HUB_UTT
- Thực hiện cấu hình:
 Các địa chỉ IP cho các cổng và EIGRP 100 để quảng bá mạng.
 Cấu hình DMVPN kết nối tới hai chi nhánh Spke1_VY và Spke2_TN
 Cấu hình được crypto Ipsec và isakmp
 Bắt và phân tích gọi tin trên phần mềm Wireshark
username utt password utt@123
R1#show running-config
Building configuration...
Current configuration : 2027 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TSET esp-des esp-md5-hmac
76
 mode transport
!
crypto ipsec profile TST
set transform-set TSET
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Tunnel123
ip address 10.1.1.1 255.255.255.0
no ip redirects
no ip next-hop-self eigrp 100
ip nhrp map multicast dynamic
ip nhrp network-id 111
no ip split-horizon eigrp 100
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile TST
!
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
router eigrp 100
network 1.1.1.1 0.0.0.0
network 10.1.1.1 0.0.0.0
auto-summary
!
ip forward-protocol nd
ip route 200.1.2.0 255.255.255.0 200.1.1.10
ip route 200.1.3.0 255.255.255.0 200.1.1.10

77
 !
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
End
=====================================================
- Cấu hình mô hình trên EVE_NG
- Thực hiện lệnh: show running-configure để xem cấu hình các router
- Router trụ chi nhánh tại Vĩnh Yên Spke1_VY
- Thực hiện cấu hình:
 Các địa chỉ IP cho các cổng và EIGRP 100 để quảng bá mạng.
 Cấu hình DMVPN Hub_UTT kết nối tới hai chi nhánh Spke1_VY và
Spke2_TN
 Cấu hình được crypto Ipsec và isakmp
 Bắt và phân tích gọi tin trên phần mềm Wireshark
username utt password utt@123
R2#show running-config
Building configuration...
Current configuration : 2021 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
78
no aaa new-model
memory-size iomem 5
ip cef
!
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TSET esp-des esp-md5-hmac
mode transport
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Tunnel123
ip address 10.1.1.2 255.255.255.0
no ip redirects
ip nhrp map 10.1.1.1 200.1.1.1
ip nhrp map multicast 200.1.1.1
ip nhrp network-id 222
ip nhrp nhs 10.1.1.1
tunnel source FastEthernet0/0
79
tunnel mode gre multipoint
tunnel protection ipsec profile TST
!
interface FastEthernet0/0
ip address 200.1.2.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 100
network 2.2.2.2 0.0.0.0
network 10.1.1.2 0.0.0.0
auto-summary
!
ip forward-protocol nd
ip route 200.1.1.0 255.255.255.0 200.1.2.10
ip route 200.1.3.0 255.255.255.0 200.1.2.10
!
!
control-plane
!
!
login
80
 !
!
end
=====================================================
- Cấu hình mô hình trên EVE_NG
- Thực hiện lệnh: show running-configure để xem cấu hình các router
- Router trụ chi nhánh tại Thái Nguyên Spke2_TN
- Thực hiện cấu hình:
 Các địa chỉ IP cho các cổng và EIGRP 100 để quảng bá mạng.
 Cấu hình DMVPN Hub_UTT kết nối tới hai chi nhánh Spke1_VY và
Spke2_TN
 Cấu hình được crypto Ipsec và isakmp
 Bắt và phân tích gọi tin trên phần mềm Wireshark
username utt password utt@123
R3#show running-config
Building configuration...
Current configuration : 2021 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
ip cef
!
multilink bundle-name authenticated
!

81
!
archive
log config
hidekeys
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile TST
set transform-set TSET
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface Tunnel123
ip address 10.1.1.3 255.255.255.0
no ip redirects
ip nhrp map 10.1.1.1 200.1.1.1
ip nhrp map multicast 200.1.1.1
ip nhrp network-id 333
ip nhrp nhs 10.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile TST
!
82
interface FastEthernet0/0
ip address 200.1.3.3 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
!
interface Vlan1
no ip address
!
router eigrp 100
network 3.3.3.3 0.0.0.0
network 10.1.1.3 0.0.0.0
auto-summary
!
ip forward-protocol nd
ip route 200.1.1.0 255.255.255.0 200.1.3.10
ip route 200.1.2.0 255.255.255.0 200.1.3.10
!
!
ip http server
no ip http secure-server
!
83
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
End

84