LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời em xin gửi lời cảm ơn chân thành tới thầy cô giáo trường Đại học Công nghệ thông tin Truyền thông Thái Nguyên nói chung thầy cô giáo khoa Công nghệ thông tin, môn Mạng Truyền Thông nói riêng, người dạy dỗ trang bị cho em kiến thức bổ ích năm năm học vừa qua Đặc biệt em xin gửi lời cảm ơn sâu sắc đến thầy giáo Th.S Vũ Huy Lượng, thầy tận tình hướng dẫn, trực tiếp bảo giúp đỡ em suốt trình làm đồ án tốt nghiệp Sau em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, cổ vũ đóng góp ý kiến trình học tập nghiên cứu hoàn thành đồ án tốt nghiệp Em xin chân thành cảm ơn! Thái Nguyên, ngày 08 tháng 06 năm 2012 Sinh Viên Tuấn Phùng Trung Tuấn LỜI CAM ĐOAN Em xin cam đoan đồ án em tự tính toán, thiết kế nghiên cứu hướng dẫn thầy giáo Th.S Vũ Huy Lượng Để hoàn thành đồ án này, em sử dụng tài liệu ghi mục tài liệu tham khảo, không sử dụng tài liệu khác Nếu sai, em xin chịu hình thức kỷ luật theo quy định nhà trường Sinh viên thực Tuấn Phùng Trung Tuấn MỤC LỤC DANH MỤC HÌNH VẼ Hình 1.1: Mô hình DMVPN Hình 1.2: Mô hình VPN Hình 1.3: Giao diện GNS3 Hình 1.4: Thiết lập Qemu Host Hình 1.5: Thiết lập IOS image file Hình 1.6: Mô hình mạng VPN truy cập từ xa Hình 1.7: Thiết lập Remote Access VPN Hình 1.8: Mô hình Site-to-Site Hình 1.9: Mô hình mạng Extranet Hình 1.10: Mô hình DMVPN Hình 1.11: Mô hình Hub to Spoke VPN Hình 1.12: Mô hình Hub to Spoke DMVPN Hình 1.13: Mô hình triển khai DMVPN Hình 1.14: Một số loại BGP Hình 2.1: Mô hình mạng sử dụng L2F Hình 2.2: Mô hình PPTP Hình 2.3: Mô hình L2TP Hình 2.4: Quá trình truyền gói tin L2TP Hình 2.5: Ví dụ GRE Hình 2.6: Cấu trúc gói tin GRE Hình 2.7: Cấu trúc gói tin GRE Tunnel mode Transport mode Hình 2.8: Mô hình IPSec Hình 2.9: Mô hình VPN site-to-site Hình 2.10: Mô hình Phase Hình 2.11: Trước sau Phase DMVPN Hình 2.12: Mô hình DMVPN site-to-site Hình 3.1: Kết demo DMVPN site-to-site đạt Hình 3.2: Kết demo VPN site-to-site đạt Hình 3.3: Một chi nhánh tham gia vào mạng Hình 3.4: Tạo Tunnel VPN Hình 3.5: Tạo Tunnel DMVPN Bảng 1: So sánh giao thức định tuyến DMVPN MỞ ĐẦU Ngày nay, mạng Internet ngày mở rộng khắp nơi giới, cần máy tính kết nối Internet việc sử dụng nguồn tài nguyên vô phong phú Kéo theo vấn đề trao đổi thông tin liên lạc quan trọng đặc biệt với tổ chức, doanh nghiệp có trụ sở chi nhánh nhiều nơi khác muốn truy cập tài nguyên mạng nội Ở Việt Nam, không nằm xu hướng phát triển Và giải pháp đặt lúc phải đáp ứng nhu cầu trao đổi thông tin mặt khác vấn đề bảo mật đặt lên hàng đầu Một số phương pháp sử dụng để giải vấn đề sử dụng công nghệ ATM Frame Relay từ nhà cung cấp dịch vụ, nhiên vấn đề bảo mật không cao chi phí đắt Một giải pháp truyền thống thuê đường truyền Lease-line, vừa bảo mật có băng thông rộng Nhưng không khả thi phải kết nối nơi có khoảng cách xa vấn đề tài khó khăn Vì câu hỏi đặt hướng giải tối ưu cho vấn đề nào? Hiện nay, giải pháp mà tổ chức sử dụng rộng rãi mạng riêng ảo (VPN) đa điểm động trọng mạng riêng ảo (DMVPN), hai công nghệ mạng có tính bảo mật cao, đường truyền nhanh giá thành đắt Tuy chúng có nhiều điểm khác Trong đồ án tốt nghiệp này, em xin nghiên cứu Cài đặt đánh giá VPN DMVPN hệ thống Router Cisco mô GNS3 Nghiên cứu vấn đề có ý nghĩa quan trọng sinh viên đam mê quản trị mạng, họ triển khai thành công mạng riêng ảo đa điểm động mạng riêng ảo hệ thống mạng doanh nghiệp Đây hành trang thiết thực sau trường Nội dung thực bố cục đồ án trình bày ba chương: Chương trình bày sở lý thuyết hai công nghệ mạng VPN DMVPN: khái niệm, phân loại, mô hình hoạt động, mô GNS3 Chương phân tích cách triển khai, cài đặt VPN site-to-site DMVPN siteto-site, giao thức hệ thống hai mô hình mạng Chương trình bày đánh giá VPN DMVPN: tiêu chí đánh giá mạng riêng ảo nói chung so sánh với giao thức khác Tiếp theo phần kết luận, cuối tài liệu tham khảo CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Tổng quan đề tài Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN- Virtual Private Network), bắt nguồn từ yêu cầu khách hàng (client) mong muốn kết nối cách hiệu với tổng đài thuê bao (PBX- Private Branch Exchange) lại với thông qua mạng diện rộng (WAN) Hay hiểu VPN khái niệm chung mô tả việc thiết lập kênh nói chuyện riêng ảo dựa hạ tầng mạng chung – Wan VPN sử dụng phổ biến quan doanh nghiệp có nhiều chi nhánh, nhiên với nhược điểm chi phí cao, tốn công sức cho người quan trị mạng công ty … mà Cisco đưa giải pháp DMVPN – Dynamic Multipoint VPN, coi ứng dụng mạng VPN Dynamic – động, kết nối hoàn toàn tự động, Multipoint – đa điểm, có nhiều chi nhánh tham gia vào trình truyền thông, gần giống với VPN dạng site – to –site, kết nối chi nhánh (branch) trung tâm (central) Việc phân tích, đánh giá VPN giải pháp DMVPN trình bày cụ thể 1.2 Mục đích đề tài DMVPN ngày ứng dụng rộng rãi công ty, tổ chức tính hiệu quả, chi phí thấp bảo mật cao Tuy không thay hoàn toàn mạng riêng ảo VPN độ mở rộng cao, DMVPN sử dụng cho hệ thống mạng công ty lớn, thông thường ngân hàng công ty bảo hiểm, tài Trong quan này, DataCenter triển khai DMVPN thông qua mGRE tunnel (một công nghệ tạo kênh truyền ảo) thực kết nối trung tâm đến chi nhánh chi nhánh công ty với Việc kết nối có tính hiệu cao chi phí bỏ nhiều Do chi nhánh sử dụng địa IP động nhà cung cấp dịch vụ ISP cấp phát, tiết kiệm phần chi phí cho công ty hàng tháng Ngoài độ bảo mật DMVPN cao, sử dụng IPSec Cụ thể trình bày chương hai Với ý nghĩa thiết việc chọn lựa mạng người sử dụng phổ biến – VPN công nghệ – DMVPN quan trọng, cần đánh giá cụ thể để việc lựa chọn xác hơn, mô hình DMVPN VPN Các đường nét liền biễu diễn kết nối Serial Router mạng, đường nét đứt tương ứng với đường hầm công nghệ GRE triển khai công ty Hình 1.1: Mô hình DMVPN Hình 1.2: Mô hình VPN Một số mục đích dự kiến đạt đề tài: - Nắm bắt thành công mạng riêng ảo Nắm bắt thành công lý thuyết DMVPN Cài đặt VPN DMVPN site-to-site thiết bị Router Cisco Cài đặt phương pháp bảo mật cho DMVPN site-to-site Phân tích, đánh giá VPN DMVPN 1.3 Phương pháp nghiên cứu ý nghĩa đề tài Phương pháp nghiên cứu sử dụng để thực đề tài chủ yếu dựa vào nguồn thông tin tư liệu Việc phân tích tài liệu dựa kiến thức có để đánh giá, tổng hợp lấy thông tin phù hợp Bên cạnh phương pháp thống kê, so sánh thông tin quan trọng, điểm mạnh điểm yếu đem lại nhìn tổng quan vấn đề cụ thể Trong đề tài, phương pháp nghiên cứu xây dựng mô dựa mô hình tổ chức, thiết kế mạng công ty, tổ chức thường sử dụng hiểu biết số câu lệnh sử dụng Router Cisco Ý nghĩa đề tài: Triển khai VPN DMVPN doanh nghiệp lớn quan trọng, làm để việc triển khai thành công mong đợi? Câu hỏi dễ có lời giải đáp phân tích, đánh giá VPN DMVPN xác Điều không chi tiết kiệm chi phí cho doanh nghiệp, xã hội mà giúp quản trị mạng dễ dàng cấu hình quản trị Server công ty 1.4 Lý thuyết GNS3 GNS3 – Graphical Network Simulator mô đồ họa mạng cho phép mô mạng phức tạp Để cung cấp mô đầy đủ xác, GNS3 liên kết chặt chẽ với: -Dynamips, giả lập Cisco IOS -Dynagen, văn dựa Dynamips -Qemu, mã nguồn mở tổng quát giả lập máy tính -Virtual Box, phần mềm ảo hóa miễn phí mạnh mẽ 10 CHƯƠNG ĐÁNH GIÁ VPN VÀ DMVPN 3.1 Kiểm tra kết Sau cài đặt demo chương trình, tiến hành kiểm tra kết đạt Kiểm tra kết nối Hub-Hà Nội đến chi nhánh Đà Nẵng Hồ Chí Mình, thực kiểm tra telnet từ chi nhánh Đà Nẵng, Hồ Chí Minh Hải Dương tới HubHà Nội hình vẽ 3.1, dấu tích màu xanh tương ứng với chi nhánh phép telnet, dấu nhân màu đỏ tương ứng với chi nhánh không phép telnet Hình 3.1: Kết demo DMVPN site-to-site đạt a) Demo DMVPN site-to-site Kiểm tra kết nối từ HaNoi đến chi nhánh qua tunnel: HaNoi#ping 10.0.0.2 source 10.0.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is seconds: Packet sent with a source address of 10.0.0.1 57 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 118/120/136 ms HaNoi#ping 10.0.0.3 source 10.0.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is seconds: Packet sent with a source address of 10.0.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 116/128/140 ms Kiểm tra thông tin DMVPN cài đặt HaNoi HaNoi#show dmvpn ============================================================= Interface: Tunnel1, IPv4 NHRP Details Type:Hub, NHRP Peers:2, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb - - - - 172.16.2.1 10.0.0.2 UP 00:32:24 D 172.16.3.1 10.0.0.3 UP 00:09:38 D Kiểm tra bảng ánh xạ NHRP HaNoi HaNoi#show ip nhrp 10.0.0.2/32 via 10.0.0.2 Tunnel1 created 00:33:02, expire 00:09:55 Type: dynamic, Flags: unique registered used NBMA address: 172.16.2.1 10.0.0.3/32 via 10.0.0.3 Tunnel1 created 00:10:17, expire 00:09:53 Type: dynamic, Flags: unique registered used NBMA address: 172.16.3.1 Kiểm tra IPSec, isakmp HaNoi HaNoi#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state 58 conn-id status 172.16.1.1 172.16.2.1 QM_IDLE 1001 ACTIVE 172.16.1.1 172.16.3.1 QM_IDLE 1002 ACTIVE Kiểm tra kết nối từ DaNang đến HaNoi DaNang#ping 10.0.0.1 source 10.0.0.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is seconds: Packet sent with a source address of 10.0.0.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 80/116/136 ms DaNang tới HCM DaNang#ping 10.0.0.3 source 10.0.0.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is seconds: Packet sent with a source address of 10.0.0.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 112/121/140 ms Show dmvpn DaNang DaNang#show dmvpn ============================================================= Interface: Tunnel1, IPv4 NHRP Details Type:Spoke, NHRP Peers:2, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb - - - - 172.16.1.1 10.0.0.1 UP 00:36:08 S 172.16.3.1 10.0.0.3 UP 00:00:14 D Trạng thái tunnel DaNang Hub S(static), DaNang tới HCM D(dynamic) Do trình tạo tunnel DaNang HCM thiết lập cách tự động thông qua Hub Hiển thị bảng ánh xạ NHRP DaNang DaNang#show ip nhrp 59 10.0.0.1/32 via 10.0.0.1 Tunnel1 created 00:50:30, never expire Type: static, Flags: used NBMA address: 172.16.1.1 10.0.0.3/32 via 10.0.0.3 Tunnel1 created 00:00:29, expire 00:09:31 Type: dynamic, Flags: router NBMA address: 172.16.3.1 Thực telnet tới HaNoi thành công DaNang#telnet 172.16.1.1 Password: HaNoi>en HaNoi> HaNoi#conf t HaNoi(config)# Cài đặt DMVPN site-to-site HCM tương tự DaNang nên việc kiểm tra kết cho kết tương tự Kiểm tra kết nối từ HaiDuong đến HaNoi HaiDuong#ping 172.16.1.1 source 172.16.4.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/78/136 ms HaiDuong#telnet 172.16.1.1 Trying 172.16.1.1 % Connection refused by remote host Như trình cài đặt DMVPN site-to-site thực bảo mật Hub thành công b) Demo VPN site-to-site Kiểm tra việc tạo tunnel site, từ HN1 đến DN HCM1 60 HN1#ping 11.0.0.2 source 11.0.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is seconds: Packet sent with a source address of 11.0.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 80/68/90 ms HN1#ping 12.0.0.2 source 12.0.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 12.0.0.2, timeout is seconds: Packet sent with a source address of 12.0.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 86/72/86 ms Kiểm tra kết nối từ DN tới HCM1 ngược lại DN#ping 12.0.0.2 source 11.0.0.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 12.0.0.2, timeout is seconds: Packet sent with a source address of 11.0.0.2 … Success rate is percent (0/5) HCM1#ping 11.0.0.2 source 12.0.0.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is seconds: Packet sent with a source address of 12.0.0.2 … Success rate is percent (0/5) 61 Hình 3.2: Kết demo VPN site-to-site đạt Từ DaNang kết nối tunnel tới HCM1 chưa cấu hình tunnel hai chi nhánh Vậy trình cài đặt VPN site-to-site hệ thống Router Cisco thành công 3.2 Các tiêu chí để đánh giá hiệu mạng riêng ảo nói chung Tiêu chí để đánh giá hiệu sử dụng mạng riêng ảo nói chung (VPN DMVPN) bảo mật Do liệu quan trọng công ty truyền qua mạng công cộng thiếu an toàn Internet, bảo mật yếu tố quan trọng tổ chức doanh nghiệp việc quản trị mạng Để đảm bảo liệu bị chặn, truy xuất trái phép có khả mát truyền tải cần phải có chế mã hóa liệu phù hợp, có đủ khả đảm bảo an toàn liệu Một yêu cầu quan trọng khác lựa chọn giải pháp mạng riêng ảo nói chung cho mạng doanh nghiệp giải pháp lựa chọn phải phù hợp hay tương thích 62 với sở hạ tầng mạng có giải pháp bảo mật, ví dụ tường lửa, proxy, phần mềm chống virus, spyware hay hệ thống bảo mật khác Tiêu chí thứ ba thích nghi thiết bị từ nhiều nhà cung cấp Nếu thích nghi thiết bị vận hành mạng riêng ảo nói chung đảm bảo chất lượng dịch vụ (QoS) khó đạt Do đó, xây dựng mạng riêng ảo cần phải lựa chọn thiết bị hãng có khả thích nghi với trước lắp đặt vào hệ thống Về vấn đề tốt thiết bị nên mua từ nhà cung cấp (như Cisco, Juniper), điều đảm bảo thích nghi hoàn toàn thiết bị đảm bảo chất lượng dịch vụ tốt Một vấn đề khác khả quản lý tập trung mạng riêng ảo nói chung Điều giúp cho người quản trị mạng dễ cấu hình, dể quản lý khắc phục cố vấn đề liên quan từ vùng cục hay ứng dụng Một điều quan trọng với nhà quản trị mạng ghi lại cố, cách giải chúng có phần mềm quản lý ghi chép lại hoạt động hệ thống (những file logs) để khoanh vùng giải cố nhanh trước gây ảnh hưởng tới hệ thống mạng toàn doanh nghiệp Tính tiện dụng tiêu chí quan trọng Các phần mềm mạng riêng ảo nói chung VPN client SDM cisco (VPN client, SDM cisco hai phần mềm dành cho khách hàng để họ thực quyền truy cập từ xa Remote Access mạng VPN DMVPN) phải đơn giản không gây phức tạp cho khách hàng, cho họ sử dụng cách dễ dàng Tiêu chí thứ sáu đề cập khả nâng cấp mạng riêng ảo nói chung quan tâm quy mô công ty tăng lên Vấn đề thêm thành phần vào mà không thay đổi nhiều sở hạ tầng nhà quản trị mạng quan tâm Đơn cử công ty A, có 100 nhân viên, tới công ty có nhu cầu tuyển thêm 200 nhân viên để mở rộng quy mô sản xuất, lúc việc thêm Router, Switch hay PC vào hạ tầng mạng công ty điều nhà quản trị mạng phải làm, trước công ty có hạ tầng 63 mạng ổn định có khả nâng cấp việc điều khó khăn với họ Tiêu chí cuối việc quản lý băng thông, có quan tâm đặc biệt đê đảm bảo trình truyền liệu trạng thái sẵn sàng ổn định với chất lượng dịch vụ (QoS) đảm bảo Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng có khả ưu tiên cho người sử dụng 3.3 Đánh giá VPN DMVPN Trước đưa ưu nhược điểm cụ thể hai công nghệ mạng trên, so sánh hai công nghệ VPN DMVPN qua demo sau Nếu dùng VPN, chi nhánh HaiDuong tham gia vào công ty, lúc phải cấu hình site Hub-HaNoi để tạo đường hầm tới chi nhánh Hình 3.3: Một chi nhánh tham gia vào mạng 64 Khi chi nhánh tham gia vào mạng, cấu hình mạng VPN site HaNoi thêm câu lệnh để tạo Tunnel với chi nhánh đó, đồng thời HaiDuong cấu hình tunnel tương ứng để tạo kết nối HaNoi(config)#interface tunnel HaNoi(config-if)#ip add 14.0.0.1 255.255.255.0 HaNoi(config-if)#tunnel source 192.168.1.1 HaNoi(config-if)#tunnel destination 192.168.5.1 HaiDuong(config)#interface tunnel HaiDuong(config-if)#ip add 14.0.0.2 255.255.255.0 HaiDuong(config-if)#tunnel source 192.168.5.1 HaiDuong(config-if)#tunnel destination 192.168.1.1 Nhưng với DMVPN ngược lại, Hub-HaNoi cấu hình thêm Nó tự nhận tạo kết nối tunnel với chi nhánh có yêu cầu tới Lúc cần cấu hình chi nhánh HaiDuong DaNang HCM Thêm vào đó, việc cấu hình VPN Hub-HaNoi phức tạp hơn, đơn cử mô hình dưới: Hình 3.4: Tạo Tunnel VPN Với việc sử dụng VPN thông thường (IPSec+GRE), Router Hub cần cấu hình hai Tunnel Tunnel Tunnel Tunnel tạo từ Hub-toSpokeA, Hub-to-SpokeB tương ứng với Tunnel Câu lệnh để tạo tunnel Hub sau: Hub(config)#int tunnel Hub(config-if)#ip add 11.0.0.1 255.255.255.0 Hub(config-if)#ip source 192.168.1.1 65 Hub(config-if)#ip destination 192.168.2.1 Hub(config)#int tunnel Hub(config-if)#ip add 12.0.0.1 255.255.255.0 Hub(config-if)#ip source 192.168.1.1 Hub(config-if)#ip destination 192.168.3.1 Còn với DMVPN việc cấu hình đơn giản Hub cần tạo Tunnel, hình 3.5: Hub(config)#interface Tunnel1 Hub(config-if)#ip address 10.0.0.1 255.255.255.0 Hub(config-if)#ip nhrp authentication mangk6 Hub(config-if)#ip nhrp map multicast dynamic Hub(config-if)#tunnel source Serial0/0 Hub(config-if)#tunnel mode gre multipoint Hub(config-if)#tunnel key 123 Hình 3.5: Tạo Tunnel DMVPN Qua thấy giải pháp DMVPN tối ưu VPN: cấu hình đơn giản khả mở rộng hệ thống mạng Còn chưa kể tới chi phí giá thành DMVPN đánh giá thấp thuê địa IP tĩnh mạng riêng ảo VPN, nhiên bên cạnh ưu điểm DMVPN giống hệ thống khác tránh khỏi nhược điểm, cụ thể trình bày 3.3.1 Ưu nhược điểm VPN a) Ưu điểm Giảm chi phí thiết lập: VPN có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM hay ISDN Hơn nữa, sử dụng 66 kết nối đến ISP cho phép vừa sử dụng VPN vừa truy nhập Internet, mà điều thực DMVPN khó khăn Giảm chi phí vận hành quản lý: cách giảm chi phí viễn thông khoảng cách xa Không tốn chi phí kéo mạng lưới dây dẫn, thiết bị mạng WAN sử dụng VPN quản lý nhà cung cấp dịch vụ ISP Ưu điểm DMVPN thể tương tự Nâng cao kết nối: VPN sử dụng mạng Internet cho kết nối nội chi nhánh xa mạng intranet Ngoài khả cung cấp dịch vụ nhanh chóng, VPN cung cấp mạng IP tích hợp số ưu điểm mạng khả liên kết lớn, mạng lưới sẵn có giảm thiểu thời gian cung cấp dịch vụ so với giải pháp công nghệ mạng trước Hiệu suất băng thông: Trong kỹ thuật VPN đường hầm hình thành có yêu cầu truyền tải thông tin Băng thông mạng sử dụng có kích hoạt kết nối Internet Do hạn chế nhiều lãng phí băng thông Khả nâng cấp: dễ dàng so với công nghệ mạng trước đó, VPN dựa sở Internet nên cho phép mạng nội doanh nghiệp mở rộng mà hoạt động kinh doanh phát triển mà không yêu cầu đầu tư lại nhiều cho sở hạ tầng Và khả nâng cấp khó khăn so với DMVPN b) Nhược điểm VPN đưa thông tin có tính riêng tư quan trọng qua mạng chung có độ bảo mật (thường Internet) Một vài lý khiến VPN bị công như: tranh đua công ty, tham lam muốn chiếm nguồn thông tin … Chính môi trường truyền cộng với lý khiến vấn đề bảo mật VPN nhà cung cấp dịch vụ đặt lên hàng đầu Việc phụ thuộc nhiều vào chất lượng mạng Internet gây ảnh hưởng không nhỏ đến tải hay tắc nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPN Bên cạnh VPN thiếu giao thức kế thừa hỗ trợ, VPN dựa hoàn toàn sở kĩ thuật IP Tuy nhiên nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị, giao thức kế thừa 67 cho việc truyền tin ngày Kết VPN không phù hợp với thiết bị giao thức Ngoài so sánh với DMVPN việc cấu hình, cài đặt Router Hub VPN gây nhiều phiền phức cho người quản trị mạng mở rộng hạ tầng mạng công ty 3.3.2 Ưu nhược điểm DMVPN a) Ưu điểm DMVPN giải pháp đời sau công nghệ VPN để khắc phục phần yếu điểm VPN nên DMVPN kế thừa đầy đủ ưu điểm VPN có tiết kiệm chi phí thiết lập VPN (chỉ cần IP tĩnh Hub, Spoke IP động), kỹ thuật DMVPN hỗ trợ định tuyến động nhờ giao thức mGRE mà VPN không có, so với VPN giải pháp DMVPN site-to-site bảo mật nhiều nhờ chế mã hóa phương thức hoạt động đa điểm động Ngoài DMVPN số ưu điểm riêng mình: DMVPN cho phép mở rộng mạng IPSec VPN cách dễ dàng Giảm độ phức tạp cấu hình Router Hub mà cung cấp khả thêm nhiều kênh cách tự động không đụng đến cấu hình Hub Hỗ trợ cho Router Spoke sử dụng địa IP động: Khi sử dụng point-to-point GRE IPSec hub-and-spoke mạng VPN, địa IP cổng vật lý spoke phải biết cấu cấu hình hub địa IP cấu địa đích GRE tunnel Tính cho phép router spoke có địa IP động cổng vật lý Khả tạo đường hầm cách tự động Spoke-to-Spoke: Ở VPN điều không thể, muốn tạo đường hầm phải tạo tay hai spoke Tuy nhiên với DMVPN hai spoke tự động tạo đường hầm riêng với mà không cần qua Hub Khi spoke muốn truyền gói tin đến spoke khác, sử dụng giao thức NHRP để xác định tự động địa đích yêu cầu spoke mục tiêu (có thể hiểu Router Hub có hành động NHRP server, xử lý yêu 68 cầu cho spoke nguồn Lúc hai spoke tự động tạo IPSec tunnel chúng liệu truyền trực tiếp mà qua Hub b) Hạn chế Nếu muốn tạo đường hầm tự động Spoke-to-Spoke sử dụng lợi ích tính này, bắt buộc phải sử dụng chứng IKE key pre-shared cho xác thực Internet Security Association Key Management Protocol (ISAKMP) Điểm thứ hai câu lệnh keepalive không hỗ trợ point-to-point multipoint GRE tunnel mạng DMVPN, điều hạn chế so với VPN Để chức DMVPN hoạt động cách tốt nhất, khuyến cáo nên sử dụng phiên phát hành IOS mềm Cisco từ 12.4 trở sau, 12.4T or 12.2(18)SXF Nhược điểm cuối DMVPN triển khai chế NAT- phải dùng chế độ IPSec transport thiết lập transform Trong việc triển khai NAT cho VPN (cài đặt VPN site-to-site đồng thời kết nối Internet) dễ dàng (Dynamic Multipoint VPN, Cisco IOS software release 12.2T) 69 KẾT LUẬN Việc mô VPN DMVPN phương pháp tốt để xây dựng hệ thống mạng mạng riêng lại với cách bảo mật nhanh Đề tài “Cài đặt đánh giá VPN DMVPN hệ thống Router Cisco mô GNS3” đạt thành công định: - Về sở lý thuyết, đồ án trình bày nội dung mạng riêng ảo, đa điểm động, ngôn ngữ GNS3 sử dụng đồ án giao thức mã hóa, định tuyến VPN DMVPN - Về ứng dụng, đồ án giới thiệu, xây dựng mô thành công demo chương trình hệ thống Router Cisco GNS3 Tuy nhiên, với trình độ nhiều hạn chế, nên đồ án tránh khỏi thiếu sót, số vấn đề chưa kịp giải quyết: chưa cấu hình NAT DMVPN site-to-site, việc lần đầu làm quen với cách cấu hình GNS3 trở ngại lớn Trong khuôn khổ đề tài việc cài đặt mô giả lập GNS3 mạnh nhiều hạn chế so với việc thực thiết bị thật Trong tương lai em tiếp tục tìm hiểu đề tài sâu xây dựng thêm hướng cài đặt NAT VPN, DMVPN, xây dựng DHCP Server Hub-HaNoi để cấp phát địa IP cho chi nhánh, nghiên cứu Remote Access VPN DMVPN để hoàn thiện chương trình 70 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt TS Nguyễn Tiến Ban, Th.S Hoàng Trọng Minh “Giáo trình mạng riêng ảo” Viện công nghệ bưu viễn thông, 2007 Đặng Quang Minh CCIE#11897 “Khái quát Dynamic Multipoint VPN” Vi Thị Mưu “Tìm hiểu triển khai IPSec VPN” 2008 Bùi Nguyễn Hoàng Long “Tập sách CCSP LabPro SNRS” Trung tâm tin học VNPRO, 2009 Tài liệu tiếng Anh Petr Lapukhov, 4xCCIE/CCDE “DMVPN Explained” 2008 “Migrating from dynamic multipoint VPN Phase to Phase 3” Cisco, 2009 “Introduction to dynamic multipoint VPN” Security Technology, November 2004 Mike Fuszner “GNS3 Graphical Network Simulator” Version 1.0 Các tài liệu khác Khái niệm VPN http://planet.com.vn/ 10 Tìm hiểu VPN http://vnpro.vn/forum/ 11 http://cisco.com/go/dmvpn/ 12 http://gns3.net/ 71 ... Nắm bắt thành công lý thuyết DMVPN Cài đặt VPN DMVPN site-to-site thiết bị Router Cisco Cài đặt phương pháp bảo mật cho DMVPN site-to-site Phân tích, đánh giá VPN DMVPN 1.3 Phương pháp nghiên cứu... loại, mô hình hoạt động, mô GNS3 Chương phân tích cách triển khai, cài đặt VPN site-to-site DMVPN siteto-site, giao thức hệ thống hai mô hình mạng Chương trình bày đánh giá VPN DMVPN: tiêu chí đánh. .. chúng có nhiều điểm khác Trong đồ án tốt nghiệp này, em xin nghiên cứu Cài đặt đánh giá VPN DMVPN hệ thống Router Cisco mô GNS3 Nghiên cứu vấn đề có ý nghĩa quan trọng sinh viên đam mê quản trị