• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Dynamic Multipoint VPN (DMVPN)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Dynamic Multipoint VPN (DMVPN)

    Dynamic Multipoint VPN (DMVPN) cho phép các doanh nghiệp kết nối các văn phòng chi nhánh với trụ sở chính và giữa các chi nhánh với nhau trong khi vẫn giữ chi phí thấp, giảm đến mức tối thiểu sự phức tạp trong cấu hình và tăng tính linh hoạt.
    Với DMVPN, một Router trung tâm thường đặt tại trụ sở chính, đóng vai trò là Hub trong khi tất cả các Router của văn phòng chi nhánh đóng vai trò là Spoke được kết nối tới Hub router vì thế các văn phòng chi nhánh có thể truy cập tới các tài nguyên của công ty.
    DMVPN bao gồm hai thiết kế triển khai chủ yếu:
    • DMVPN Hub & Spoke , được sử dụng để thực hiện kết nối từ trụ sở đến chi nhánh.
    • DMVPN Spoke-to-Spoke, được sử dụng để thực hiện kết nối từ chi nhánh đến chi nhánh.

    Trong cả hai trường hợp, Hub router thì được gán địa chỉ public ip tĩnh trong khi Spoke có thể được gán địa chỉ public ip tĩnh hay động.
    DMVPN là kết hợp giữa multiple GRE (mGRE) Tunnel, Next Hop Resolution Protocol (NHRP), mã hóa IPsec (tùy chọn) để thực hiện việc tạo nhiều crypto map tĩnh và tự động tìm kiếm các điểm cuối của đường hầm (tunnel).
    NHRP là giao thức hoạt động ở lớp 2, giống với Address Resolution Protocol (ARP) hay Reverse ARP (Frame Relay).
    Hub router đóng vai trò là Server trong khi Spoke router đóng vai trò là Client. Hub duy trì một cơ sở dữ liệu NHRP với địa chỉ public IP của tất cả những Spoke được cấu hình.
    Mỗi Spoke đăng ký chính địa chỉ public IP của nó với Hub và truy vấn cơ sở dữ liệu NHRP cho địa chỉ Public IP đến Spoke mà nó cần xây dựng một VPN tunnel.

    mGRE Tunnel Interface thì được sử dụng để cho phép một GRE interface đơn hỗ trợ nhiều Ipsec tunnel và giúp đơn giản sự phức tạp trong việc cấu hình.
    Sau đây là những khác biệt chính giữa GRE và mGRE:

GRE mGRE
Interface Tunnel 0
Ip add 10.0.0.1 255.0.0.0
Tunnel source f0/0
Tunnel destination 172.16.0.2
Interface Tunnel 0
Ip add 10.0.0.1 255.0.0.0
Tunnel source f0/0
Tunnel mode gre multipoint
Điều quan trọng cần lưu ý là mGRE interface không có địa chỉ Tunnel destination. Bởi nó không được sử dụng một mình mà NHRP sẽ chỉ cho mGRP đâu là đích cần gửi packet tới.
Những lợi ích của DMVPN.
  • Đơn giản sự cấu hình ở Hub Router: Không cần tạo nhiều tunnel interface cho mỗi chi nhánh (branch VPN). Một mGRE đơn, một Ipsec profile mà không cần bất kỳ crypto access list nào, đó là tất cả những gì cần phải có trên tất cả những Spoke router. Bất chấp là có bao nhiêu Spoke router kết nối tới Hub, cấu hình ở Hub vẫn không đổi.
  • Hỗ trợ đầy đủ cho những Spoke router với địa chỉ ip động: Spoke router có thể sử dụng địa chỉ public ip động. Nhờ có NHRP, Spoke router dựa vào Hub router để tìm địa chỉ Public IP của những Spoke router khác và xây dựng một VPN tunnel với họ.
  • Tự động tạo VPN tunnel giữa các Spoke: Những Spoke router thì có thể tự động tạo VPN tunnel giữa chúng để dữ liệu mạng cần đi chuyển từ một chi nhánh này tới chi nhánh kia.
  • Chi phi quản trị thấp: DMVPN đơn giản mô hinh mạng WAN, cho phép người quản trị dành thời gian cho những vấn đề khác. Một khi được thiết lập, DMVPN tiếp tục làm việc suốt ngày đêm để tạo những mạng riêng ảo (VPN) một cách tự động khi cần thiết và giúp cho mỗi Router được cập nhật về mô hình mạng riêng ảo (VPN topology).
  • Tùy chọn bảo mật mạnh mẽ với IPsec: IPsecurity là một tùy chọn có thể được cấu hình để cung cấp mã hóa dữ liệu (data encryption) và bảo mật (confidentiality). IPsec thì được sử dụng để bảo vệ những mGRE tunnel bằng cách mã hóa dữ liệu trên đường truyền.

DMVPN hoạt động như thế nào ?
  • Mỗi Spoke có một IPsec tunnel vĩnh viễn tới Hub nhưng không có tunnel tới những Spoke khác bên trong một mạng.
  • Mỗi Spoke đăng ký như là 1 client của NHRP server. Hub router đóng vai trò là NHRP server.
  • Khi 1 Spoke cần gửi 1 packet tới một đích đến của một subnet (private) trên Spoke khác, nó sẽ truy vấn NHRP server cho địa chỉ thực sự (outside) của đích đến (target) Spoke.
  • Sau khi Spoke khởi nguồn (originating spoke) học địa chỉ của Spoke đích (target spoke), nó có thể khởi tạo một đường hầm IPsec tự động tới Spoke đích (target spoke).
  • Đường hầm Spoke-to-Spoke thì được xây dựng trên mGRE interface.
  • Những kết nối Spoke-to-Spoke thì được thiết lập theo yêu cầu bất cứ lúc nào có dữ liệu được truyền đi giữa các Spoke. Sau đó, những packet không cần di chuyển thông qua Hub và chỉ sử dụng đường hầm Spoke-to-Spoke với nhau.
  • Tất cả dữ liệu đi qua đường hầm GRE đều được mã hóa. (Đây là 1 tính năng tùy chọn).

Mô hình DMVPN
Mục tiêu của chúng ta là để kết nối hai mạng (Remote 1 & 2) từ xa với trụ sở chính.
R1 là Hub router, sẽ chứa cở sở dữ liệu NHRP của tất cả các Spoke router và địa chỉ public IP và những mạng LAN.

4 bước để cấu hình Cisco DMVPN. Mỗi bước thì nên được hoàn thành theo thứ tự:
  1. Cấu hình DMVPN Hub
  2. Cấu hình DMVPN Spoke
  3. Bảo vệ đường hầm mGRE với IPsec (tùy chọn).
  4. Cấu hình định tuyến giữa DMVPN mGRE tunnel (dùng static hay dymamic routing protocol).

Bước 1: Cấu hình DMVPN Hub – R1 router
R1#interface FastEthernet0/0
description LAN-Network
ip address 192.168.0.1 255.255.255.0
!
interface FastEthernet0/1
description WAN-Network
ip address 1.1.1.10 255.255.255.0
!
interface Tunnel0
description mGRE - DMVPN Tunnel
ip address 172.16.0.1 255.255.255.0
no ip redirects
ip nhrp authentication firewall
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source 1.1.1.10
tunnel mode gre multipoint

Giả thích câu lệnh:
ip nhrp authentication
được sử dụng để cho phép xác thực những cập nhật và truy vấn tơi cơ sở dữ liệu NHRP, đảm bảo những truy vấn không mong muốn thì không được cung cấp bất kỳ thông tin nào về DMVPN network.
ip nhrp map multicast dynamic
được sử dụng để cho phép chuyển tiếp multicast traffic đi qua đường hầm tới những Spoke động khác. Multicast traffic thường đòi hỏi bởi routing protocol (OSPF, EIGRP). Trong hầu hết trường hợp, DMVPN thì được đi kèm bởi một routing protocol để gửi và nhận những cập nhật tự động về private network.
ip nhrp network-id 1
được sử dụng để xát định DMVPN cloud. Tất cả những router tham gia trong DMVPN cloud phải có cùng network-id để các đường hầm được tạo thành giữa chúng.

Bước 2: Cấu hình DMVPN Spokes - R2 & R3 ROUTERS
R2# interface FastEthernet0/0
description LAN-Network
ip address 192.168.2.1 255.255.255.0
!
interface FastEthernet0/1
description WAN-Network
ip address 2.2.2.10 255.255.255.0
!
interface Tunnel0
description R2 mGRE - DMVPN Tunnel
ip address 172.16.0.2 255.255.255.0
no ip redirects
ip nhrp authentication firewall
ip nhrp map multicast dynamic
ip nhrp map 172.16.0.1 1.1.1.10
ip nhrp map multicast 1.1.1.10
ip nhrp network-id 1
ip nhrp nhs 172.16.0.1
tunnel source FastEthernet0/1
tunnel mode gre multipoint

Sau khi đánh lệnh xong, chúng ta sẽ nhận được xác minh là tunnel interface đã up:
*Sep 9 21:27:29.774: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Giải thích câu lệnh:
ip nhrp nhs 172.16.0.1 chỉ ra Hub router đồng thời cũng là (NHS) Next Hop Server
ip nhrp map 172.16.0.1 1.1.1.10 chỉ ra địa chỉ của NHS thì được maps tới địa chỉ public IP của Hub router (1.1.1.10).
ip nhrp map multicast 1.1.1.10 đảm bảo multicast traffic được gửi duy nhất từ những Spoke tới Hub và không phải gửi từ Spoke tới Spoke. Tất cả mutlicast traffic nên được nhận bởi Hub, được xử lý và sau đó những cập nhật được gửi tới các Spoke.
Cuối cùng, chú ý lệnh tunnel source FastEthernet0/1. Tất cả Spoke với địa chỉ WAN được cấp phát tự động phải được cấu hình ràng buộc với cổng WAN vật lý như là tunnel source. Cách này, khi địa chỉ IP trên WAN của Spoke thay đổi thì nó sẽ có thể cập nhật NHS server với một đia chỉ WAN mới.
Cấu hình trên R3, giống như R2:
R3# interface FastEthernet0/0
description LAN-Network
ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/1
description WAN-Network
ip address 3.3.3.10 255.255.255.0
!
interface Tunnel0
description R3 mGRE - DMVPN Tunnel
ip address 172.16.0.3 255.255.255.0
no ip redirects
ip nhrp authentication firewall
ip nhrp map multicast dynamic
ip nhrp map 172.16.0.1 1.1.1.10
ip nhrp map multicast 1.1.1.10
ip nhrp network-id 1
ip nhrp nhs 172.16.0.1
tunnel source FastEthernet0/1
tunnel mode gre multipoint

Chú ý: Cấu hình trên R2/R3, chúng ta cấu hình địa chỉ IP tĩnh (IP static) trên cổng WAN f0/1, nhưng mục đích của ví dụ này, chúng ta sẽ cho rằng nó đã được cấp địa chỉ động từ ISP.
Kiểm tra:
R1# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding
UpDn Time --> Up or Down Time for a Tunnel
================================================== ========================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- ---------------------- --------------- ----- -------- -----
1 2.2.2.10 172.16.0.2 UP 00:04:58 D
1 3.3.3.10 172.16.0.3 UP 00:04:12 D
Giải thích:
# Ent : chỉ ra có bao nhiêu entry hiện có trong cơ sở dữ liệu NHRP của cùng một Spoke.
Peer NBMA Addr: chỉ ra địa chỉ public IP của Spoke.
Peer Tunnel Add: chỉ ra địa chỉ local Tunnel của Spoke.
Attrib: chỉ ra loại tunnel được thiết lập bởi Spoke. D (Dynamic), S (Static), I (Incomplete).
Thường thì Dynamic Spoke sẽ tạo là D tunnel. Những tunnel được thiết lập từ Spoke tới Hub sẽ là loại S tunnel, bởi vì Spoke router đã map tĩnh tới Hub.
R2# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding
UpDn Time --> Up or Down Time for a Tunnel
================================================== ========================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- ---------------------- --------------- ----- -------- -----
1 1.1.1.10 172.16.0.1 UP 00:06:35 S
R3# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding
UpDn Time --> Up or Down Time for a Tunnel
================================================== ========================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr eer Tunnel Add State UpDn Tm Attrb
----- ---------------------- --------------- ----- -------- -----
1 1.1.1.10 172.16.0.1 UP 00:06:55 S

Bước 3: Bảo vệ đường hầm mGRE với IPsec (tùy chọn)
R1 Hub router
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
!
crypto isakmp key firewall.cx address 0.0.0.0
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto ipsec profile protect-gre
set security-association lifetime seconds 86400
set transform-set TS
!
interface Tunnel 0
tunnel protection ipsec profile protect-gre

R2 & R3 spoke router:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
!
crypto isakmp key firewall.cx address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto ipsec profile protect-gre
set security-association lifetime seconds 86400
set transform-set TS
!
interface Tunnel 0
tunnel protection ipsec profile protect-gre

Kiểm tra:
R1# show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 2.2.2.10 port 500
IKE SA: local 1.1.1.10/500 remote 2.2.2.10/500 Active
IPSEC FLOW: permit 47 host 1.1.1.10 host 2.2.2.10
Active SAs: 2, origin: crypto map
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 3.3.3.10 port 500
IKE SA: local 1.1.1.10/500 remote 3.3.3.10/500 Active
IPSEC FLOW: permit 47 host 1.1.1.10 host 3.3.3.10
Active SAs: 2, origin: crypto map

Bước 4: Cấu hình định tuyến giữa DMVPN mGRE tunnel.
Có 2 cách cấu hình (static routing) or (dynamic routing). Trong bài lab này chúng ta dung Static.
R1 hub router:
ip route 192.168.2.0 255.255.255.0 172.16.0.2
ip route 192.168.3.0 255.255.255.0 172.16.0.3
R2 spoke router:
ip route 192.168.0.0 255.255.255.0 172.16.0.1
ip route 192.168.3.0 255.255.255.0 172.16.0.3
R3 spoke router:
ip route 192.168.0.0 255.255.255.0 172.16.0.1
ip route 192.168.2.0 255.255.255.0 172.16.0.2

Kiểm tra kết nối:
R2# ping 192.168.3.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
R2# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding
UpDn Time --> Up or Down Time for a Tunnel
================================================== ========================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- ---------------------- --------------- ----- -------- -----
1 1.1.1.10 172.16.0.1 UP 00:39:05 S
1 3.3.3.10 172.16.0.3 UP 00:00:08 D

Người biên dịch: Nguyễn Đình Hiển

Liên kết tham khảo: http://www.firewall.cx/cisco-technic...iguration.html
Cuộc sống có bao lâu mà hững hờ
Tags:

Working...
X