misabear2803
New Member
Đề tài Dynamic Multipoint VPN
MỤC LỤC
Lời nói đầu 2
Mục lục 3
Danh mục hình vẽ 4
Ký hiệu viết tắt 5
I. Nguyên lý hoạt động VPN đa điểm động 6
I.1. Mô hình GRE (Quách Văn Phong) 6
I.2. Giao thức Next Hop Resolution Protocol – NHRP (Phạm Thanh Dung) 9
I.3. IPSec động (Bùi Thu Huyền) 10
I.4. Quy trình thiết lập VNP đa điểm động (Vũ Như Trình) 18
II. Ứng dụng của VNP đa điểm động (Phạm Thanh Dung) 25
II.1. Bài toán thực tế 25
II.2. Các giải pháp thực hiện 26
Tài liệu tham khảo 30
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Giao thức Next Hop Resolution Protocol – NHRP
Một số khái niệm
Tunnel address là địa chỉ IP định nghĩa cho một giao diện đường hầm (đường dẫn ảo)
NBMA(Non-Broadcast Multiple Access) address là địa chỉ IP sử dụng là điểm nguồn hay điểm đích của đường hầm, đây là địa chỉ vật lý của Hub hay Spoke
NHRP là giao thức mạng lớp 2, là chuẩn RFC2332. NHRP trong DMVPN thiết lập bản đồ một địa chỉ IP của đường hầm của Hub hay Spoke tương ứng với một địa chỉ NBMA gọi là cơ sở dữ liệu liền kề NHRP. Mỗi Spoke phải thiết lập trước tới Hub trong thời gian khởi động kết nối, nó phải kết nối, đăng kí và khai báo với Hub một khoảng địa chỉ qua NHRP
Nguyên lý hoạt động của giao thức NHRP
Khi dữ liệu được gửi đi tới một Spoke khác cùng mạng, nó được đóng gói bởi mGRE cùng với địa chỉ đường hầm của bước truyền tiếp theo.Spoke gửi yêu cầu tới Hub địa chỉ chỉ cuối NBMA của bước truyền tiếp theo khi truyền đi địa chỉ đường hầm. Hub sẽ tra trong cơ sở dữ liệu liền kề để trả lời địa chỉ NBMA của điểm đến của dữ liệu. Bây giờ Spoke nguồn có thể thiết lập một đường hầm tới Spoke đích
Như vậy :Đường hầm IPSec giữa Spoke –to- Hub là tĩnh và đường hầm giữa Spoke-to-Spoke là động, có tính chất tạm thời. Như vậy một giao diện mGRE có thể có nhiều đường hầm kết nối hoạt động đồng thời
Hai mô hình định tuyến tiêu biểu là thuật toán định tuyến trạng thái liên kết(OSPF và ISIS) và thuật toán định tuyến khoảng cách vecto( RIP và EIGRP)
Hình 2.1 Minh hoạ hoạt động của giao thức NHRP
Giả sử Spoke A cần chuyển một gói tin sang Spoke B, ban đầu Spoke A biết địa chỉ router Spoke B là 192.168.1.0 và địa chỉ mGRE hay Tunnel address là 10.0.0.12 và Spoke A không biết địa chỉ vật lý NBMA của SpokeB. Giao thức NHRP sẽ thiết lập một đường hầm Spoke- Hub có địa chỉ đường hầm là 10.0.0.1 và địa chỉ NBMA là 172.16.0.1 để trả về địa chỉ vật lý NBMA của Spoke B là 172.16.2.1 dựa trên cơ sở dữ liệu liền kề. Sau đó Spoke A sẽ thiết lập một đường hầm động giữa Spoke A và Spoke B
Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub
IPSec động
Tổng quan
IPSec bảo vệ của GRE tunnel bao gồm 2 thuộc tính cơ bản:
+ Chính sách IPSec được thiết lập tại mỗi GRE tunnel.
+ Một khoá nhận dạng IKE được thiết lập cho chính sách IPSec của từng tunnel.
Trong DMVPN việc gán địa chỉ cho mỗi spoke là động nên không thể cấu hình trước Ipsec hay khoá nhận dạng IKE cho kết nối spoke-to-spoke.
DMVNP thực hiện việc so khớp địa chỉ IP header GRE tunnel của nguồn và đích. Cisco đã phát triển tiến trình thiết lập Ipsec proxy tự động cho GRE tunnel. Với việc bảo vệ GRE tunnel có nghĩa là Ipsec phải bảo vệ gói tin địa chỉ GRE header (IP addresses encapsulating the GRE header). NHRP thực hiện quy trình khởi động spoke với địa IP tunnel có liên quan. Ipsec proxy được thiết lập động để bảo vệ gói tin gốc RGE từ khi được gắn địa chỉ nguồn và địa chỉ đích. Một lưu lượng truyền thông nào đó được định tuyến vào GRE tunnel từ lúc so khớp Ipsec proxy; do đó Ipsec được khởi động việc thiết lập điểm - điểm tunnel giữa các spoke.
Việc thiết lập 1 khoá nhận dạng trong mối quan hệ kết nối VPN này có mấy cách có thể lựa chọn sau:
+ Cài đặt sẵn cho các IKE tunnel, mỗi cái một khoá riêng.
+ Cài đặt một khoá chung cho tất cả các IKE tunnel.
+ Thực thi một cơ sở hạ tầng khoá công cộng - PKI.
Trong 2 phương pháp trên thì lựa chọn thứ 3 tối ưu hơn cả áp dụng cho mô hình DMVNP. Phương pháp PKI thiết lập giao thức IKE (Internet Key Exchange protocol). IKE thiết kế để cung cấp hệ thống xác thực lẫn nhau, cũng như là chứng minh một khoá bí mật ch tạo ra sự kết hợp bảo vệ Ipsec.
Chức năng chính của giao thức IKE là thiết lập và duy trì ISAKMP/IKE SAs và Ipsec SAs.
Hoạt động của IKE gồm 2 pha thiết lập IKE và IPSec SAs:
Pha 1: xác thực lẫn nhau giữa các điểm ngang hàng và thiết lập 1 khoá cho phiên làm việc. Mục đích của pha 1 là tạo ra 1 kênh làm việc an toàn để pha 2 trao đổi xuất hiện.
Pha 2: trao đổi và thiết lập IPSec SAs dùng ESP hay AH để bảo vệ IP data traffic.
Kết hợp an ninh SA và giao thức trao đổi khóa IKE
Kết hợp các SA
Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách chính xác bởi giao thức an ninh có thể là AH hay ESP nhưng không phải là cả hai. Đôi khi một chính sách an toàn có thể được gọi cho một sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần thiết để giao cho nhiều SA thực hiện chính sách an toàn được yêu cầu. Thuật ngữ cụm SA được sử dụng để một chuỗi các SA xuyên qua lưu lượng cần được xử lý để thỏa mãn một tập chính sách an toàn.
Đối với kiểu Tunnel, có 3 trường hợp cơ bản của kết hợp an ninh như sau:
Cả hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong hay bên ngoài là AH hay ESP, mặc dù host 1 có thể định rõ cả hai đường ngầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau
Một điểm cuối SA trùng nhau: đường hầm bên trong hay bên ngoài có thể là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau
Không có điểm cuối nào trùng nhau: Mỗi đường hầm bên trong và bên ngoài là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
SA 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau
Giao thức trao đổi khóa IKE
Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec.
Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:
Bước 1: Quan tâm đến lưu lượng được nhận hay sinh ra từ các bên IPSec IP-VPN tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó.
Bước 2: Thương lượng chế độ chính (Main Mode) hay chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec.
Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec.
Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH (hay cả hai).
Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hay hết hạn hay bị xóa.
Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ...
Download miễn phí Đề tài Dynamic Multipoint VPN
MỤC LỤC
Lời nói đầu 2
Mục lục 3
Danh mục hình vẽ 4
Ký hiệu viết tắt 5
I. Nguyên lý hoạt động VPN đa điểm động 6
I.1. Mô hình GRE (Quách Văn Phong) 6
I.2. Giao thức Next Hop Resolution Protocol – NHRP (Phạm Thanh Dung) 9
I.3. IPSec động (Bùi Thu Huyền) 10
I.4. Quy trình thiết lập VNP đa điểm động (Vũ Như Trình) 18
II. Ứng dụng của VNP đa điểm động (Phạm Thanh Dung) 25
II.1. Bài toán thực tế 25
II.2. Các giải pháp thực hiện 26
Tài liệu tham khảo 30
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
e Tunnel để truyền đi trên mạng.Giao thức Next Hop Resolution Protocol – NHRP
Một số khái niệm
Tunnel address là địa chỉ IP định nghĩa cho một giao diện đường hầm (đường dẫn ảo)
NBMA(Non-Broadcast Multiple Access) address là địa chỉ IP sử dụng là điểm nguồn hay điểm đích của đường hầm, đây là địa chỉ vật lý của Hub hay Spoke
NHRP là giao thức mạng lớp 2, là chuẩn RFC2332. NHRP trong DMVPN thiết lập bản đồ một địa chỉ IP của đường hầm của Hub hay Spoke tương ứng với một địa chỉ NBMA gọi là cơ sở dữ liệu liền kề NHRP. Mỗi Spoke phải thiết lập trước tới Hub trong thời gian khởi động kết nối, nó phải kết nối, đăng kí và khai báo với Hub một khoảng địa chỉ qua NHRP
Nguyên lý hoạt động của giao thức NHRP
Khi dữ liệu được gửi đi tới một Spoke khác cùng mạng, nó được đóng gói bởi mGRE cùng với địa chỉ đường hầm của bước truyền tiếp theo.Spoke gửi yêu cầu tới Hub địa chỉ chỉ cuối NBMA của bước truyền tiếp theo khi truyền đi địa chỉ đường hầm. Hub sẽ tra trong cơ sở dữ liệu liền kề để trả lời địa chỉ NBMA của điểm đến của dữ liệu. Bây giờ Spoke nguồn có thể thiết lập một đường hầm tới Spoke đích
Như vậy :Đường hầm IPSec giữa Spoke –to- Hub là tĩnh và đường hầm giữa Spoke-to-Spoke là động, có tính chất tạm thời. Như vậy một giao diện mGRE có thể có nhiều đường hầm kết nối hoạt động đồng thời
Hai mô hình định tuyến tiêu biểu là thuật toán định tuyến trạng thái liên kết(OSPF và ISIS) và thuật toán định tuyến khoảng cách vecto( RIP và EIGRP)
Hình 2.1 Minh hoạ hoạt động của giao thức NHRP
Giả sử Spoke A cần chuyển một gói tin sang Spoke B, ban đầu Spoke A biết địa chỉ router Spoke B là 192.168.1.0 và địa chỉ mGRE hay Tunnel address là 10.0.0.12 và Spoke A không biết địa chỉ vật lý NBMA của SpokeB. Giao thức NHRP sẽ thiết lập một đường hầm Spoke- Hub có địa chỉ đường hầm là 10.0.0.1 và địa chỉ NBMA là 172.16.0.1 để trả về địa chỉ vật lý NBMA của Spoke B là 172.16.2.1 dựa trên cơ sở dữ liệu liền kề. Sau đó Spoke A sẽ thiết lập một đường hầm động giữa Spoke A và Spoke B
Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub
IPSec động
Tổng quan
IPSec bảo vệ của GRE tunnel bao gồm 2 thuộc tính cơ bản:
+ Chính sách IPSec được thiết lập tại mỗi GRE tunnel.
+ Một khoá nhận dạng IKE được thiết lập cho chính sách IPSec của từng tunnel.
Trong DMVPN việc gán địa chỉ cho mỗi spoke là động nên không thể cấu hình trước Ipsec hay khoá nhận dạng IKE cho kết nối spoke-to-spoke.
DMVNP thực hiện việc so khớp địa chỉ IP header GRE tunnel của nguồn và đích. Cisco đã phát triển tiến trình thiết lập Ipsec proxy tự động cho GRE tunnel. Với việc bảo vệ GRE tunnel có nghĩa là Ipsec phải bảo vệ gói tin địa chỉ GRE header (IP addresses encapsulating the GRE header). NHRP thực hiện quy trình khởi động spoke với địa IP tunnel có liên quan. Ipsec proxy được thiết lập động để bảo vệ gói tin gốc RGE từ khi được gắn địa chỉ nguồn và địa chỉ đích. Một lưu lượng truyền thông nào đó được định tuyến vào GRE tunnel từ lúc so khớp Ipsec proxy; do đó Ipsec được khởi động việc thiết lập điểm - điểm tunnel giữa các spoke.
Việc thiết lập 1 khoá nhận dạng trong mối quan hệ kết nối VPN này có mấy cách có thể lựa chọn sau:
+ Cài đặt sẵn cho các IKE tunnel, mỗi cái một khoá riêng.
+ Cài đặt một khoá chung cho tất cả các IKE tunnel.
+ Thực thi một cơ sở hạ tầng khoá công cộng - PKI.
Trong 2 phương pháp trên thì lựa chọn thứ 3 tối ưu hơn cả áp dụng cho mô hình DMVNP. Phương pháp PKI thiết lập giao thức IKE (Internet Key Exchange protocol). IKE thiết kế để cung cấp hệ thống xác thực lẫn nhau, cũng như là chứng minh một khoá bí mật ch tạo ra sự kết hợp bảo vệ Ipsec.
Chức năng chính của giao thức IKE là thiết lập và duy trì ISAKMP/IKE SAs và Ipsec SAs.
Hoạt động của IKE gồm 2 pha thiết lập IKE và IPSec SAs:
Pha 1: xác thực lẫn nhau giữa các điểm ngang hàng và thiết lập 1 khoá cho phiên làm việc. Mục đích của pha 1 là tạo ra 1 kênh làm việc an toàn để pha 2 trao đổi xuất hiện.
Pha 2: trao đổi và thiết lập IPSec SAs dùng ESP hay AH để bảo vệ IP data traffic.
Kết hợp an ninh SA và giao thức trao đổi khóa IKE
Kết hợp các SA
Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách chính xác bởi giao thức an ninh có thể là AH hay ESP nhưng không phải là cả hai. Đôi khi một chính sách an toàn có thể được gọi cho một sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần thiết để giao cho nhiều SA thực hiện chính sách an toàn được yêu cầu. Thuật ngữ cụm SA được sử dụng để một chuỗi các SA xuyên qua lưu lượng cần được xử lý để thỏa mãn một tập chính sách an toàn.
Đối với kiểu Tunnel, có 3 trường hợp cơ bản của kết hợp an ninh như sau:
Cả hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong hay bên ngoài là AH hay ESP, mặc dù host 1 có thể định rõ cả hai đường ngầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau
Một điểm cuối SA trùng nhau: đường hầm bên trong hay bên ngoài có thể là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau
Không có điểm cuối nào trùng nhau: Mỗi đường hầm bên trong và bên ngoài là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
SA 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau
Giao thức trao đổi khóa IKE
Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec.
Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:
Bước 1: Quan tâm đến lưu lượng được nhận hay sinh ra từ các bên IPSec IP-VPN tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó.
Bước 2: Thương lượng chế độ chính (Main Mode) hay chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec.
Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec.
Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH (hay cả hai).
Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hay hết hạn hay bị xóa.
Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ...