• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Dynamic Multipoint Virtual Private Networks

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Dynamic Multipoint Virtual Private Networks

    Tìm hiểu: LÂM VĂN TÚ
    Click image for larger version

Name:	Capture.jpg
Views:	1
Size:	11.4 KB
ID:	207421
    1) DMVPN là gì ?

    Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. Giải pháp để xây dựng IPSec+GRE trong mạng riêng ảo một cách dễ dàng, linh hoạt và có khả năng mở rộng.

    2) Ưu điểm của DMVPN

    Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels

    3) Các công nghệ sử dụng

    · IPSec (Internet Protocol SECurity)

    Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP.DMVPN sử dụng IPsec và ISA KMP để chứng thực,bảo mật, toàn vẹn dữ liệu.

    · mGRE (Generic Routing Encapsulation)

    Giao thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các Router ở xa trong cấu trúc mạng IP.
    · NHRP (Next Hop Resolution Protocol)

    Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác.


    4) Hoạt động DMVPN:

    A. DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm :

    1.Next Hop Resolution Protocol:


    Khi 2 địa chỉ private IP nằm bên trong 2 spoke IPsec VPN Gateway muốn giao tiếp với nhau, IPsec VPN Gateway tiến hành sử dụng NHRP để nhận dạng peer mà nó muốn thương lương SA phase 1 & 2. IPsec VPN Gateway thực hiện điều này bằng cách sử dụng NHRP để truy vấn Next-hop-Server(NHS) được cấu hình trên HUB để tìm đích là địa chỉ IP vật lý của Spoke muốn tạo tunnel.

    --> Giảm sự phức tạp của việc cấu hình VPN, NHRP Server lưu trữ một cơ sở dữ liệu cho mọi spoke.
    o HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke
    - mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động.
    - Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp.

    Multipoint GRE (mGRE):


    +Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels

    +Kích thước đơn giản và cấu hình phức tạp
    +Cho phép nhiều đường hầm cấu hình trên IPsec VPN gateway và các sopke của nó
    mGRE dùng để trao đổi giao thức định tuyến giữa private IP network tại các điểm đầu cuối của Tunnel. Thông điệp NHRP được trao đổi trên mGRE tunnel giữa HUB và spoke của nó khi spoke IPsec VPN gateway cố gắng tạo ra "direct dynamic spoke-to-spoke IPsec VPn tunnel.

    B.Hoạt động:


    - DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.

    - Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có tunnel đến các spoke. Các spoke được xem như là client của NHRP server.
    - Khi 1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó truy vấn tới NHRP Server yêu cầu cấp các địa chỉ thực (outside) của spoke đích.
    - Bây giờ spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích.(Vì nó đã biết địa chỉ của peer)

    - Spoke-to-spoke tunnel được xây dựng qua mGRE interface.


    6) Định tuyến với DMVPN:

    - Định tuyến động được yêu cầu qua tunnel Hub-to-spoke.

    - Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub.
    - IP next-hop cho 1 mạng spoke là interface tunnel cho spoke.

    - Các giao thức định tuyến được dùng:

    + Enhanced Interior Gateway Routing Protocol (EIGRP)
    + Open Shortest Path First (OSPF)
    + Border Gateway Protocol (BGP)
    + Routing Information Protocol (RIP)



    Last edited by R&D Group; 12-03-2011, 07:02 AM.

  • #2
    Mình đang có vấn đề là khi nối 3 router với nhau, con ở giữa dùng cả tunnel tĩnh và động lần lượt với 2 con còn lại. Có gắn ipsec trên tunnel. Mình làm trên lab thì chạy rất oke, tuy nhiên, khi triển khai thực tế, thì sau khi chạy 1 thời gian, tunnel tĩnh bị down, không biết ai có kinh nghiệm vấn đề này xin chỉ giúp.

    Comment


    • #3
      Cho hỏi có vấn đề này, khi tạo tunnel dynamic, mặc dù đường WAN down nhưng tunnel dynamic vẫn up, vậy làm cách nào để khi wan down thì tunnel dynamic cũng down theo ? mọi người giúp mình với

      Comment

      Working...
      X