Đang tải... (xem toàn văn)
BÁO CÁO ĐỀ TÀI Dynamic Multipoint VPN Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau.
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM KHOA ĐIỆN TỬ VIỄN THÔNG BÁO CÁO ĐỀ TÀI Dynamic Multipoint VPN Giáo viên hướng dẫn : Trần Thị Thảo Nguyên Sinh Viên Thực Hiện : Ngô Đức Quyết 0920102 Lưu Bảo Chiêu 0920154 Nguyễn Huy Hoàng 0920176 Trương Nguyễn Hạnh Nguyên 0920208 Nguyễn Thị Thu Thủy 0920232 TP Hồ Chí Minh, 3 tháng 12 năm 2012. Page 1 I. Giới thiệu công nghệ DMVPN (Dynamic Multipoint VPN) 1. Đặt vấn đề: Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau. Có rất nhiều giải pháp được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp ứng nhu cầu bảo mật thông tin khi nó được truyền ngang qua mạng internet – môi trường không bảo mật. Những giải pháp này có thể là thuê những đường truyền leased line. Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy nhiên nó không khả thi khi phải kết nối những nơi cách xa nhau. Giải pháp khác là sử dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí cho giải pháp này cũng khá cao. VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển. Mặc dù vậy, VPN thông thường có những nhược điểm của nó. Đó là các điểm kết nối phải thuê những địa tĩnh; đồng thời trên router đóng vai trò trung tâm phải thực hiện việc cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các điểm muốn kết nối với nhau phải thông qua router trung tâm này mà không thể kết nối trực tiếp được. Từ những hạn chế trên nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển của VPN nhằm cải thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông thường. Để hiểu DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu, chúng ta xét một mô hình VPN sử dụng IPSec( Internet Protocol Security) và GRE (Generic Routing Encapsulation). Page 2 Mô hình Hub-and-Spoke Mô hình mạng của công ty gồm một site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB. Nhưng mô hình trên phát sinh một số hạn chế: Khi tạo tunnel point-to-point, điều bắt buộc là chúng ta phải biết địa chỉ IP của nguồn và đích. Do đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao. Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiều tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router HUB là khá lớn. Cho nên router HUB phải là một router được trang bị bộ nhớ và CPU mạnh, tốn kém. Khi spoke A muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không linh động. Những hạn chế trên được giải quyết trong DMVPN. Với DMVPN, trên mỗi router, ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint). Với việc sử dụng mGRE sẽ giải quyết được hai hạn chế: Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn Page 3 địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một địa chỉ tĩnh. Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router HUB. Tuy nhiên, như đã nói, nếu sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP (Next Hop Resolution Protocol). Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường. Mô hình DMVPN 2. Khái niệm DMVPN: Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hệ điều hành Cisco, là sự kết hợp của các công nghệ IPsec, mGRE và NHRP. Các công nghệ này kết hợp lại cho phép được triển khai IPsec trong mạng riêng ảo một cách dễ. Page 4 3. Ưu điểm: Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hoá việc thêm, xoá các site spoke. Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và xoá bỏ sau một thời gian không hoạt động đã cấu hình sẵn. Hỗ trợ việc chia đường hầm (Split tunneling) tại site spoke. Tạo ra một kích thước cấu hình cố định trên router hub kể cả khi thêm một router spoke vào mạng VPN. 4. Hạn chế: Phần lớn các gói tin ban đầu sẽ đi qua site hub cho đến khi spoke to spoke được thiết lập. Mã hoá đường hầm IPsec phải được thực hiện từ router spoke. 5. Các công nghệ được sử dụng: IPsec (Internet Protocol Security): Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên chế độ tunnel mode, nội dung và mào đầu của gói tin được mã hoá, cả hai đều được bảo vệ. mGRE (Generic Routing Encapsulation): Giao thức truyền trên đường hầm, đóng gói các loại gói tin thành một loại lớn trong đường hầm IP, sau đó kết nối point to point ảo với các router ở xa trong cấu trúc mạng IP. Cho phép một giao diện GRE hỗ trợ nhiều đường hầm IPsec. NHRP (Next Hop Resolution Protocol): Giao thúc được sử dụng bởi các router để phát hiện địa chỉ MAC của các router và các host khác. Hub duy trì cơ sở dữ liệu của địa chỉ thực của tất cả các spoke, mỗi spoke đăng kí địa chỉ thực của nó khi khởi động. Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích để xây dựng đường hầm trực tiếp. 6. Hoạt động của DMVPN: DMVPN không làm thay đổi các chuẩn của đường hầm IPsec VPN nhưng nó thay đổi cấu hình của chúng. Các spoke có một đường hầm IPsec cố định đến hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server. Khi một spoke cần gửi gói tin đến mạng con phía trong spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích. Đến đây spoke nguồn có thể khởi tạo một đường hầm IPsec động đến spoke đích. Đường hầm từ spoke to spoke được xây dựng qua đường hầm mGRE. Page 5 7. Định tuyến với DMVPN: Định tuyến động được yêu cầu qua đường hầm hub to spoke. Spoke học tất cả các mạng riêng trên các spoke khác và hub thông qua cập nhật từ bảng định tuyến được gửi từ hub. Các giao thức định tuyến được dùng: Enhanced Interior Gateway Routing Protocol (EIGRP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) Routing Information Protocol (RIP) 8. Các giao thức trong DVPN: 8.1. Giao thức bảo mật IPSEC ( Internet Protocol Security): - IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực. Hình 1: framework của IPsec Page 6 Ipsec cung cấp các dịch vụ bảo mật: Tính bảo mật dữ liệu – Data confidentiality Tính toàn vẹn dữ liệu – Data Integrity Tính chứng thực nguồn dữ liệu – Data origin authentication - Encapsulating Security Header (ESP) Hình 2: Mô tả Encapsulating Security Header ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch vụ chống tấn công Anti-reply Page 7 Gói dữ liệu IP được bảo vệ bởi ESP ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header và trước Header của giao thức lớp trên. IP Header có thể là một IP Header mới trong chế độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport. Gói IP được bảo vệ bởi ESP trong chế độ Transport Gói IP được bảo vệ bởi ESP trong chế độ Tunnel Page 8 Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị 32 bit được tích hợp với địa chỉ đích và giao thức trong IP Header. SPI là một số được lựa chọn bởi Host đích trong suốt quá trình diễn ra thương lượng Public Key giữa các Peer-to-Peer. Số này tăng một cách tuần tự và nằm trong Header của người gửi. SPI kết hợp với cơ chế Slide Window tạo thành cơ chế chống tấn công Anti-Replay. Hình 3: Hai mode truyền của ESP - Authentication Header (AH) Page 9 AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công. Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu. Phần Header của AH đơn giản hơn nhiều so với EPS AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header. Trong chế độ Transport, gá trị giao thức lớp trên được bảo vệ như UPD, TCP , trong chế độ Tunnle, giá trị này là 4. Vị trí của AH trong chế độ Transport và Tunnle như trong hình sau: Gói IP được bảo vệ bởi AH Gói IP được bảo vệ bởi AH trong chế độ Transport [...]... frame relay, ATM, hoặc DMVPN mà Ipsec mã hóa ngang hàng phải được thiết lập 8.3.4 NHRP sử dụng với DMVPN (NHRP Used with a DMVPN) - NHRP thường thuận tiện cho việc xây dựng VPN VPN bao gồm : mạng ảo layer 3 được xây dựng trên nền layer 3 mạng thực tế cấu trúc mà ta sử dụng qua VPN là độc lập đối với mạng lớp trên và các giao thức mà ta chạy qua hoàn toàn độc lập với nó mạng VPN (DMVPN) dựa trên GRE logical... truyền dữ liệu Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được Để làm được việc này thì phải cần đến mGRE 8.2.3 Point-to -Multipoint GRE (mGRE): Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS Tuy nhiên, trong... đổi địa chỉ IP vật lý Trong các trường hợp này nó không thể cấu hình lại được logical Virtual Private Network (VPN IP) đến physical (NBMA IP) mapping cho NHC trên NHS Chức năng này được gọi là sự đăng ký NHRP - NHRP là một giao thức phân giải cho phép một NHC client (Spoke) để định vị logical VPN IP đến NBMA IP mapping cho NHC client khác (spoke) trong cùng mạng NBMA Nếu không có sự định vị này, các... mà ta chạy qua hoàn toàn độc lập với nó mạng VPN (DMVPN) dựa trên GRE logical tunnel mà có thể được bảo vệ bằng cách thêm vào IPSec để mã hoá GRE IP tunnels II Mô phỏng mạng DMVPN: Đây là kiến trúc Hub and Spoke, đơn Hub nhiều DMVPN Cloud Từ Hub kết nối tới các Spoke bằng những subnet khác nhau Page 19 - Cấu hình: + Cấu hình tại Hub: Page 20 + Cấu hình tại Spoke 1: Page 21 Page 22 + Cấu hình tại Spoke... đã được định tuyến GRE truyền thống là point-to-point, còn mGRE là sự mở rộng khái niệm này bằng việc cho phép một tunnel có thể đến được nhiều điểm đích, mGRE tunnel là thành phần cơ bản nhất trong DMVPN 8.2.2 Point-to-Point GRE: Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai tunnel,... coi là NonBroadcast vì nó không hỗ trợ Broadcasting (vd: một mạng IP mGRE tunnel) hoặc Broadcasting quá tốn kém (vd: SMDS Broadcast group quá lớn) - NRP cung cấp giống như giao thức ARP để giảm các vấn đề mạng NBMA Với NHRP, các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động, cho phép các hệ thống này thông trực tiếp với nhau mà traffic được dùng không cần qua... Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header Qua đó AH trong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật Tuy nhiên phần nội dung của gói tin là không được bảo mật Hình 4: Biểu diễn Authentication Header Page 10 Bảng so sánh tính chất của AH và ESP 8.2 Giao thức mã hóa định tuyến GRE... bản thân nó không bảo mật Nhưng ngược lại, GRE cung cấp khả năng định tuyến và hỗ trợ multicast còn IPSec thì không Do đó, sự kết hợp giữa IPSec và GRE tạo nên một giải pháp tối ưu khi triển khai mạng DMVPN, mang lại các tính năng sau: Sự bảo mật, toàn vẹn dữ liệu và chứng thực đầu cuối Tăng khả năng mở rộng cho việc thiết kế mạng Đáp ứng các ứng dụng multicast Page 14 8.2.4.2 Hoạt động: GRE over . Information Protocol (RIP) 8. Các giao thức trong DVPN: 8.1. Giao thức bảo mật IPSEC ( Internet Protocol Security): - IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình. tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung. nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí cho giải pháp này cũng khá cao. VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ ra chi phí