Dmvpn-đã-chuyển-đổi.docx

  • Uploaded by: Le Duc Anh
  • 0
  • 0
  • April 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Dmvpn-đã-chuyển-đổi.docx as PDF for free.

More details

  • Words: 8,512
  • Pages: 30
TRƯỜNG ĐH CÔNG NGHẸ THÔNG TIN - KHOA MẠNG MÁY TÍNH & TRUYÊN THÔNG Dynamic Multipoint VPN Đề tài môn: Công nghệ mạng viễn thông Tháng 12 năm 2011 Thực hiện Nguyễn Tấn Thành — 08520357 Nguyễn Đức Trung — 08520432 Mãn Văn Thắng — 08520370 Nguyễn Hinh - 08520123 Chắc hăn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ liệu này, phô biến nhất là IPSec. Trong bài viết này, tôi xin giới thiệu đến các bạn một kỹ thuật mới có liên quan đến VPN đó là Dynamic Multipoint VPN. Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nổi giữa chi nhánh (branch). và trung tâm (central). Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Để hiểu rỏ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ thống mạng DMVPN này. Phân 1: Tổng quan

Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-andspoke và spoke-and-spoke. Đề hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào hình 1.1 minh họa cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần Branches. HBranchas Central Site Xm XS NI F ." .. B _— (@f—¬ lnt=rnet É š S "———=. f # Corporaie Neiiuork lxs—— = / Branches 142162 ĐH 0 ME Huh-and-spoke tunnel ”.. mm Snoke-ta-spoke †unnel Hình I. 1: Mô hình triển khai DMVPN

Cũng trên hình 1.1, chúng ta thấy rõ đường màu xanh chính là kết nói giữa Spoke-andSpoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Stfe-to-Srte. Khải nệm mới chính là ở chỗ Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau. Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nói một Client đến một Site, hoặc một S1te đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nói giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Mu/tipoini. Có một vài tên gọi mà các bạn nên lưu tâm đến đề tránh nhằm lẫn. Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke năm ở Central và Branch. Các thành phần của DMVPN Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN đề kết nói các văn phòng chi nhánh. Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp đề chúng ta lựa chọn, nhưng phô biến nhất vẫn là Router của Cisco. Nhìn vào mô hình ở hình 1.1, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nói thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud này có thể là FrameReply, ATM, Leased Lmes. Kỹ thuật thiết kế Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận: e - Dual hub-dual DMVPN cloud e - Dual hub-single DMVPN cloud Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau. Bạn có thê dùng giao thức mGRE hoặc PPP hoặc là cả hai để cầu hình giao tiếp với các router này, chúng phải có cùng subnct. Như vậy hai kỹ thuật đề cập ở trên có thê hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud. Nó được minh họa như trong hình 1.2 và 1.3 Campus Hub 1 (Primary) (/Ý DMVPN1 ^ - VÀ (subnel 1) ¿ Branech 1 Braneh 2 Branch c Si PHI TH. Branch subnegt Branch subnel BĐranch subhnet Hình 1. 2: Dual DMVPN Cloud Topology Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1

gặp chút trục trặc. Giữa Hubl và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự có, luôn duy trì kết nối. Campus Huh †1 ( (Primary) ( jn DMVPN1 * “T7 Kế...KÐ... Braneh 1 Branch 2 Branch CD Do - =—__ Branch subnet Branch suhnet Branch subnet Hình 1.3: Single DMVPN Cloud Topology Mô hình thứ hai, dual hub singel DMVPN cloud, bạn chỉ có một đường mạng đề kết nói tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết nói về hai hub. Giải pháp này được biết đến với khả năng load balanced. DMVPN cloud hỗ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE mterfacce. Dual DMVPN Cloud Topology Với Dual Cloud chúng †a sẽ thảo luận cho hai model triên khai: e_ Hub-and-spoke e Spoke-to-spoke Hub-and-Spoke Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hubl và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch. Hình 1.4 minh họa cho chúng ta điều đó. Hub Site 1 Branch Offices Broarband, Frac-T1, T1 Broadband Primar DMVPN Tunnal Huụp gi. 2. — .<.<Ư.ư.... 5@ooöndary DMIVPN Tunnel 148761

Hình I. 4: Dual DMYVPN Cloud Topology—Hub-and-Spoke Deployment Model Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua. Mỗi branch có chứa hai interface p2p GRE kết nối đến mỗi Hub riêng lề. Trong model triển khai này không có tunnel nào giữa các branch. Giao tiếp nội bộ giữa các branch được cung cấp thông qua hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là primary hub. Kiến trúc hệ thống của trung tâm (system headend) Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là: e© Single Tier e Dual Tier Simgle Tier Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Cryptfo cùng tồn tại trong một CPU của router. Hub Sile 1 Branch Offices Broadband, f1. Erao-T1, T1

F Home Offices .Ô.. 4 Broadband =.i | | | Frimarv DMVPN Tunnel Hub Site 2 “===“ Secondary DMVPN Tunnel ==== [Fsec Tunnel 148782 Hình I. 5: Single Tier Headend Architecture Hình I.5 là giải pháp dual cloud với model hud-and-spoke. Tắt cả các Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thê gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng tại branch như EIGRP, OSPF, bất kế đường nào được chọn trong cloud (cloud path — đường kết nối giữa các router trong cloud). Dual Tier Với kiến trúc dual tier, nGRE và Crypto không cùng tôn tại trong cùng CPU của router. Hub Site † Branch Offices WAM Edge DS3, e==œ Broadband. ZÓCa G12 — œ2 FedeiiTi Broadband

Primary DMIVPNI Tunnel Hub Site 2 "=.=*« Secondary DMVPM Tunnel << |sec Tunnnel 148763 Hình 1. 6: Dual Tier Headend Architecture Hình 1.6 là giải pháp dual DMVPN cloud với model hub-and-spoke. Ở đây mGRE và Crypto tại headend nằm riêng lẽ nhau nhau, chúng phục vụ cho nhau và cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho branch. Đầu cuối của VPN tumel, Crypto sẽ nhận dữ liệu gửi từ branch và sau đó chuyên tiếp cho mGRE, để mGRE quảng bá cho các giao thức định tuyến tại branch như EIGRP hoặc OSPFE. Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thức của tunnel. Đồng thời nó còn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt ngoài của roufer có thê là tĩnh hoặc động, và nó phải được “map” trong bản đồ của router. Hành động này có nghĩa là: Một Iinteface mặt ngoài của router có địa chỉ Ip public của riêng nó, và một tunnel cũng có ip (public hoặc privafe), nó phải ảnh xạ để biết tunnel này được chuyền ra interface tương ứng. Spoke-and-Spoke Cũng giống như Hub-and-spoke, trong model này cũng có hai Hub ở trung tâm, mỗi hub có một hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao tiếp giữa các Branch được thực hiện thông qua Hub, trừ khi nó có một đường kết nói được tạo ra giữa hai Spoke. Đó chính là sự khác biệt của trường hợp này. Tunnel giữa Spoke and Spoke được gọi là dynamnc, nó phải nằm trong một single DMVPN cloud hoặc cùng một subnet. Tunnel của spoke-andspoke thì không ở giữa hai DMVPN cloud. Hub Site 1 Branech Offices WAN Edge DS3. G23, OC12 Broadband Home Offices . Primary DMVPN Tunnel Hub Site 2 ==== Secondary DMVEN Tunnel =-=-= DMSpoke to Snoke Tunnel Hình 1. 7: Dual DMVPN Cloud Topology——Spoke-to-Spoke Deployment Model Kiến trúc hệ thống trung tâm Các Branch trong kiêu triển khai này kết nói với nhau thông qua tunnel riêng, và phải đi qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các tunnel này là IPSec. Để giao tiếp với hệ thống trung tâm, chúng ta có giao thức Single Tier, trong đó các chức năng của mGRE và Crypto được gói gọn trong một roufer. Single DMVPN Cloud Topology Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet. Các văn phòng chi nhánh sẽ kết nói với trung tâm thông qua giao diện mGRE. Và chúng cũng phải có cùng subnet để thực hiện giao tiếp nội bộ. Mô hình này không được khuyến cáo vì chúng không khả dụng và không chống lỗi được. Với kiểu triển khai Spoke-and-Spoke thì việc triên khai theo Single DMVPN này cần được cân nhắc kỹ.

Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một subnet. Khi đó chúng sẽ hỗ trợ cho chúng †a chức năng load balanced giữa hai trung tâm. Hub Site 1 Branch Cffieel Broadbandi Hnme DÖffices ; DMVPN Tunnel Hub Site 2 =:=*= DMVPN Spoke to Spoke Tunnel Hình I. 8 Single DMVPN Cloud Topology Tóm tắt Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, chúng †a có sự tóm tắt như sau: •

Mô hình triển khai dành cho:

Hub-and-Spoke: Giữa trung tâm và chi nhánh. Trong Hub-and-Spoke có hai kiến trúc đành cho cloud. o_ Dual Cloud: Có nhiều subnet 6 Smple Cloud: Có một subnet Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải pháp: ©_ Smgle Tier: hai giao thức mGRE và Cryptfo trên cùng một roufcr. ©_ Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau. Spoke-and-Spoke: giữa các chi nhánh với nhau CÓ n]={}_——__„ Phần 2: Các vẫn đề khi triển khai DMVPN Cơ chế tunnel và địa chí ip Bạn có thể đã nghe thấy ở đâu đó người ta nói rằng: '“*VPN tạo tunnel để kết nói giao tiếp lại”. Và bạn nhìn thấy một hình minh họa dưới đây: Site to Site VPN Văn phòng từ xa " Máy chủ truy cập rauter Tnufer Máy chủ truy cập IP " Văn phòng chỉnh ——;: Hình 2. 1: Mô hình VPN với cơ chế Tunnel

Như vậy tunnel là một cơ chế, mà người ta gọi là đường ống, nó có chức năng che dấu đi dữ liệu A nào đó bằng một lớp đữ liệu B khác. Mô hình là vậy để chúng ta dễ hiểu, thực chất công việc này trong truyền thông là gắn thêm vào đữ liệu một header riêng, đề biết rằng đó là gói dữ liệu theo định dạng của B. Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn để được đề cập đến chính là địa chỉ IP. Bản thân gói dữ liệu gửi từ A, đã có địa chỉ ip của riêng nó và của đích mà nó cần đến. Khi được tunnel hóa đi, nó mang thêm vào một địa chỉ ip nguồn và đích của tumnel. Người ta gọi đây là ïp tunnel, và giao tiếp giữa hai ïp tunnel này gọi là Tunnel Interface. Như vậy, giữa hai đầu của tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợ cáp mạng nối hai điểm cần giao tiếp với nhau. Tunnel Interiaoe Oultsirle Intarface Oultside Interface Tunnal Inisriare |0 140 Hình 2. 2: Địa chỉ ïp Mục đích của việc tạo tunnel là để che dấu địa chỉ ¡p private bằng địa chỉ ip public, từ đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại đầu gửi, địa chỉ ïp private nằm trong gói dữ liệu, được gói thành một gói dữ liệu mới (đúng hơn là gắn thêm header) mang địa chỉ ïp public, và thông qua tunnel nó được gửi đến đầu nhận có địa chỉ ip public. Tại đầu nhận gói dữ liệu được tháo ra đề lây đữ liệu bên trong và trả vào cho mạng privatc. Giao thức GRE Làm thế nào để có được tunnel? Như đã đề cập, tunnel thực chất là gắn thêm một header theo định dạng quy định vào trong gói tin cần gửi. Như vậy định dạng quy định này là gì?. Câu trả lời rằng nó là những giao thức đóng gói dữ liệu trong tunnel. Một vài giao thức có thể kế tên như PPTP (Pomr-to-Pomt Tunneclng Protocol), L2TP (Layer 2 Tumncling Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing Encapsulation). Tất cả giao thức này đều sẽ gắn vào gói tin cần gửi những dữ liệu của riêng nó, và phía đầu nhận phải hiểu để bóc gói (Discapsulation) cho đúng. Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề là không thể định tuyến. Khi cơ chế tunnel được tạo ra, hai site kết nói với nhau thì chúng có thể nằm trong cùng một mạng LAN, và phía sau chúng có thể là hàng loạt các mạng LAN khác. Hai router giữa vai trò đầu cuối của VPN (nơi tạo ra tunnel) phải chịu trách nhiệm gửi cập nhật định tuyến bên trong mạng cho nhau. Chúng ta đều biết rằng, cập nhật định tuyến này gửi theo broadcast, mà đa phần môi trường mạng public không cho phép gói tin broadcast đi qua. GRE sẽ giải quyết vấn đề này. GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng non-broadcast (mạng không cho phép broadcast). GRE cung cấp một cơ chế đóng gói tất cả các giao thức của tầng mạng, gửi đến cho những giao thức của tầng mạng khác. GRE sử dụng để truyền tải

các gói tin IP từ mạng private này đến mạng private khác, thông qua mfernet. GRE tunnel cũng cho phép các giao thực định tuyên hoạt động khi nó chuyền tiếp từ mạng private đến các router khác trên mạng internet. GRE cũng đóng gói dữ liệu multicast để chuyển qua 1nfernet. GRE không cung cấp cơ chế mã hoá, do đó nó cần IPSEC để mã hoá đữ liệu trên đường truyền. Một gói tin khi cần chuyên ra mạng public thông qua GRE, nó sẽ được đóng gói theo chuẩn của GRE, bằng cách thêm vào GRE header, có độ dài 32 đến 160 bits. Site Ä Site B eth 0/1 T1IPPEP eth 6/2 Z=[ 182.16B.1.1 172.18:32.16 182.1688.2.1 Ƒ” TẾ Nh N MỂ TẾ ý HH EER.S ạ, 1 Tunnel Interiace Tunnel |nterfaoe .— 10.0.0.Í 10.0.0.2 ai 2Ö T1/PPP “.. 192.188. 1.0 24 172.30.64.128 182.1688.2.0 /24 Hình 2. 3: Ví dụ về GRE Triển khai GRE có hai giải pháp, giải pháp Point-to-Point (ppp GRE) và giải pháp MultiPoint (mGRE). Đối với mô hinh DMVPN Hub-and-Spoke thì mGRE được lựa chọn trong cầu hình. Giao thức NHRP Hai router (đã tạo tunnel) kết nói với nhau xem nhau như trong mạng LAN. Điều đầu tiên để gửi được dữ liệu giữa hai routcr này là xác định địa chỉ IP. Đứng ở khía cạnh người gửi tại 2 router, nó chỉ biết địa chỉ ïp private. Công việc việc thứ hai là xác định với ip này thì MAC là bao nhiêu, bằng giao thức ARP. Tuy nhiên, giao thức ARP không thể hoạt động, vì ở đây đang dùng cơ chế tunnel, nó không cho phép gói tin của ARP chạy qua đề tìm MAC. Vì thế NHRP (Next Hop Resolution Protocol) ra đời. NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm những vấn đề mạng NBMA (Non-Broadcast Multiple Access). Với NHRP, các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động. Cho phép các mạng này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian. NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu trên hệ thống mạng NBMA. NHRP không phải là giao thức dò đường. Đó chỉ là một giải pháp kỹ thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá trình chuyển đữ liệu sang các địa chỉ kiều. Mạng NBMA trái ngược lại với mạng phát tán. Trên hệ thống mạng phát tán, nhiều máy tính cũng như các thiết bị cùng dùng chung một cáp mạng hay các thiết bị truyền thông khác. Khi một máy tính truyền đi các frame thông tin, tất cả các nút trên mạng cùng “lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên frame mới thật sự nhận được các frame này. Bởi vậy, các frame gọi là được phát tán. Mạng kiêu NBMA sử dụng các mạch hướng kết nối để phân phối các fame hay cell từ đầu nầy đến đầu kia của mạch. Không có trạm nào khác liên quan đến mạch này ngoại trừ 2 nút cuối của nó. Các dịch vụ

chuyên đữ liệu trong IP phi kết nối (connectionless) không phải luôn luôn phù hợp với các liên kết hướng kết nối của ATM. Tunnel Protection Mode Tiêu biểu vẫn là IPSec, chúng ta có thể cấu hình crypto theo kiểu dynamic hoặc static ở cả hai đầu router header và branch.Trong các phiên bản IOS 13 (hoặc lớn hơn) hồ trợ hầu hết các cầu hình của IPSec. Cũng từ phiên bản 13 này, khái niệm IPSec profile được giới thiệu. IPSec Profile được áp dụng cho hầu hết các kết nối, chúng ta không cần phải sử dụng nhiều ACL cho mỗi interface. Tuy nhiên, chỉ có những subnet nào được cấu hình giao tiếp và được phép giao tiếp với IPSec thì mới sử dụng được profile này. Sứ dụng giao thức định tuyến Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến động đề định tuyến từ headen đến branch. Việc sử dụng các giao thức định tuyến động có nhiều lợi thế hơn đóng góp trực tuyến bằng IPSec (IPSec Direct Encapsulation). Trong VPN, giao thức định tuyến phải đảm bảo cùng một lợi ích so với mạng truyền thống, nó bao gồm: e _ Thông tin về topology của mạng e Thông báo thay đổi trong cấu trúc của topology e_ Trạng thái điều khiến từ xa của mỗi đối tượng Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN bao gồm EIGRP, OSPEF, RIPv2, và ODR (chỉ dùng trong hub-and-spoke). G1ao thức EIGRP được khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến động này duy trì định tuyến theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ nhanh chóng của nó. EIGRP cung cấp một loạt các tùy chọn đề tổng hợp địa chỉ (summarization) và quảng bá định tuyến mặc đmh (default route). Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng, nhưng không được thảo luận rất chỉ tiết. ODR có thê không được sử dụng trong mô hình triển khai spoketo-spoke vì ODR không hỗ trợ chia tách tumnel (split tunneling). Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó tác động này phải được xem xét khi tăng kích thước mạng. Cân nhắc sứ dụng Crypto IPSec hồ trợ hai cơ chế mã hóa là transport và tunnel. Với cơ chế transport thì chỉ mã hóa phần dữ liệu (payload), còn phần header có chứa địa nguồn và đích thì không được mã hóa. Với cơ chế tunnel thì cả phần dữ liệu và header đều được mã hóa, giúp bảo vệ thông tin trong phân header. Cơ chế transport còn thêm vào 20 byte đệm trong tổng kích thước gói tin. Cả hai cơ chế này đều được sử dụng đề triển khai trong DMVPN. Nếu crypto tunnel được sử dụng cho NAT hoặc PAT thì bắt buộc phải dùng cơ chế tunnel. Mặc khác, trong triển khai DMVPN, nếu triển khai dual tier với cả GRE tunnel và crypto tunnel thì cũng bắt buộc phải dùng cơ chế tunnel trong IPSec. IKE Call Admission Control Trước đây phiên bản IOS 12.3 không có một chương trình nào điều khiển và giới hạn số lượng và tốc độ khởi tạo các yêu cầu chứng thực của ISAKMP (giao thức dùng đề quản lý

khóa và khởi tạo kết nói), đều đó dẫn đến sự quá tải của roufer và làm tràn ngậm băng thông mạng. IKE Call Admission Control (CAC) được giới thiệu trong phiên bản 12.3 đã giới hạn được số lượng chứng thực của ISAKMP cho phép đến và đi từ một router. Bằng cách giới hạn số lượng crypto động được tạo ra, chúng †a có thể ngăn chặn không cho router bị tràn ngậm các yêu cầu ISAKMP được tạo ra. Việc giới hạn này còn phụ thuộc vào nên tản công nghệ, mô hình mạng, ứng dụng và luồng dữ liệu truyền †ải qua mạng. Nếu bạn chỉ định một giới hạn IKE CAC ít hơn số lượng hiện tại của hoạt động IKE SA, một lời cảnh báo được hiển thị, nhưng ISAKMP SA không chấm dứt. Một yêu cầu ISAKMP SA mới bị từ chối cho đến khi bộ đếm ISAKMP SA hoạt động là dưới mức giới hạn cấu hình. CAC cung cấp hai phương pháp tiếp cận đề hạn chế IKE SA có thê dùng đề triển khai trong mạng DMVPN. Đầu tiên, CAC bình thường là một giám sát tài nguyên toàn cục, thăm dò phản hồi để đảm bảo răng tất cả các quá trình bao gồm IKE không làm quá tải CPU của router hoặc bộ nhớ đệm. Người dùng có thể cấu hình một giới hạn tài nguyên, đại diện bởi một tỷ lệ phần trăm tài nguyên hệ thống từ 0 đến 100. Nếu người dùng xác định một giới hạn tài nguyên là 90%, sau đó IKE CAC loại bỏ các yêu cầu ISAKMP SA hệ thống tiêu thụ đến 90% hiệu suất. Tính năng này rất có giá trị trên các bộ định tuyến headend, có thể phân loại và mã hóa các gói dữ liệu trong các công cụ mã hoá phần cứng với tốc độ dòng. Điều này hữu ích trên các bộ định tuyến khi triển khai theo mô hình hub-and-spoke, bởi vì các bộ định tuyến chi nhánh thường đạt ngưỡng trước khi được nạp đầy đủ với ISAKMP SA. Cách tiếp cận thứ hai cho phép người sử dụng cấu hình một giới hạn xác thực IKE ISAKMP SA (IKE CAC). Khi giới hạn này được đạt tới, IKE CAC loại bỏ tất cả các yêu cầu ISAKMP SA mới. Các Yêu cầu then chốt của IPsec SA lại luôn được cho phép vì để bảo tồn tính toàn vẹn của phiên hiện tại. Chức năng này chủ yếu nhắm vào các bộ định tuyến ở chỉ nhánh trong một mô hình triển khai spoke-to-spoke. Bằng cách cấu hình một giới hạn số lượng các dynamrc tunnel có thể được tạo ra, người sử dụng có thể ngăn chặn một bộ định tuyến không bị tràn ngập nếu nó đột nhiên tràn ngập các yêu cầu SA. Ý tưởng CAC IKE phụ thuộc rất nhiều vào các nền tảng cụ thể và công nghệ crypto, cầu trúc liên kết mạng, và những thiết lập được triển khai. Tham khảo thêm về IKE CAC tại: hftp:/WwwwW.cIsco.com/en/UJS/docs/1os/sec_secure_connecfivity/configuration/guide /sec_call_ addmsn_1ke.html Phần 3: Demo cấu hình Lab 1: IPsec + GRE Hub and Spoke Trong bài lab này chúng ta sử dụng mô hình mạng như sau: Đây là kiến trúc Hub and Spoke, đơn hub nhiều DMVPN Cloud. Từ Hub kết nối đến các Spoke bằng những subnet khác nhau. Cấu hình

Hub ! Khởi tạo cryto với khóa là cisco47 cryptc isakmb policy 1

authentication pre-share cryptc isakmb key 6 cisco47 address 0.0.0.0 0.0.0.0 ! ! Lựa chọn phương thức mã hóa là DES và MD5, tiếp cận theo kiểu transport CrVPto ipsec transform-set trans esp-des esp-md5-hmac mode transport lTạo cryto map có tên là vpnmapl CryPpto map vpnmapl local-address FastEthernet1/0 CrVypto map vpnmapl 10 ipsec-isakmp set peer 1/72.17.0.2 set transfcorm-set trans match address 101 cCryptc map wpnmapi 20 ipsec-isakmp set peer 172.17.0.3 set transfcorm-set trans match address 102 ITạo các tunnel để spoke giao tiếp interface Tunnell bandwidth 1000 1ib address 10.0.0.1 255.255.255.252 1ib mtu 1400 delay 1000 tunnel source PastEthernet1l/0 tunnel destination 172.17.0.2 Ị interface Tunnel2 bandwidth 1000 ib address 10.0.0.5 255.255.255.252 1ib mtu 1400

delay 1000 tunnel source PastEthernetl/0 tunnel destination 172.17.0.3 tCâu hình cho interface vật lý interface Loopback1l 1ib address 192.168.0.1 255.255.255.0 I interface FastEthernet1l/0 ib address 172.17.0.1 255.255.255.0 duplex auto 5spbeed auto CryEpto map vVbpnmapl tCâu hình định tuyến

rtouter eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 no auto-summarÿV !tCầu hình accesslist access-list 101 permit gre host 172.17.0.1 host 172.17.0.2 access-list 102 Epermit gre host 172.17.0.1 host 172.17.0.3 Spoke I CrVyPpto isakmbp policy 1 authenticaticn pre-share crypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0 I cryptc ipsec transform-set trans esp-des esb-md5-hmac mode transport Ị crypto map vpnmapl local-address FastEthernet1/0 CrVyPpto mabÐ vpnmapl 10 ipsecisakmb set peer 1/72.17.0.1 set transform-set trans match address 101 I interface Loopback1

1Ð ä@đ7Zess 192„16e8.l.1 255.2535.298 „0 I interface Tunnel0 bandwidth 1000 ib address 10.0.0.2 255.255.255.252 ib mtu 1400 delay 1000 tunnel source PastEthernetl/0 tunnel destination 172.17.0.1 I interface FastEthernet1/0 ibÐb address 172.17.0.2 255.255.255.0 duplex auto 5sbeed auto CrVybto map vpnmapl ! router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 no auto-summary

access-list 101 permit gre host 172.17.0.2 host 172.17.0.1 Spoke 2 CrVPto isakmb policy authenticaticn pre-share CrVyPpto isakmbp key 6 cisco47 address 0.0.0.0 0.0.0.0 I CrVyPto ipsec transform-set trans esp-des esp-md5-hmac mode transport I CryPpto map vpnmapl local-address FastEthernet1/0 CryEptoc map Vvpnmapl 10 ipsecisakmbp set peer 172.17.0.1 set transfcrm-set trans match address 101 L interface Loopback1l ibÐb address 192.168.2.1 255.255.255.0 I interface Tunnel0

bandwidth 100 ib address 10.0.0.6 255.255.255.252 1ib mtu 1400 delay 1000 tunnel source FPastEthernet1l/0 tunnel destination 172.17.0.1 ! interface FastEthernetl/0 1ib address 1/2.17.0.3 255.255.255.0 duplex autoc 5sbeed auto CryPto map Vbnmapl I router eligrp 1 network 10.0.0.0 0.0.0.255 network 192.168.2.0 nöo auto©-summary ! access-list 101 permit gre host 172.17.0.3 host 172.17.0.1 Kiếm tra Dùng lệnh show ip route trên Hub, chúng thấy rằng đã định tuyến cho mạng 192.168.1.0/24 và 192.168.2.0/24 qua interface là Tunnel1 10.0.0.2 và Tunnel2 10.0.0.6 HUB#show ip route [OoutEput cut] Gateway of last resort is not set 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, PastEthernet1/0 10.0.0.0/30 ¡is subnetted, 2 subnets C 10.0.0.0 is directly connected, Tunnel1l C 10.0.0.4 is directly connected, Tunnel2 8 192.168.0.0/24 is directly connected, Loopbackl D 192.168.1.0/24 [90/2944000] via 10.0.0.2, 00:17:21, Tunnel1 D 192.168.2.0/24 [90/2944000] via 10.0.0.6, 00:17:19, Tunnel2 Tương tự như vậy các định tuyến trên Spoke2 và Spoke1 cũng qua hai địa chỉ ip của tunnel. SPOKE1#show ib route [ouEtEput cCuE] Gateway of last resort is not set 172.17.0.0/24 is subnetted, 1 subnets

C 172.17.0.0 is directly connected, FastEthernet1/0 10.0.0.0/30 1s subnetted, 2 subnets C 10.0.0.0 is directly cconnected, Tụnnel0 D 10.0.0.4 [90/3072000] via 10.0.0.1, 00:19:52, Tunnel0 D 192.168.0.0/24 [90/2944000] via 10.0.0.1, 00:19:52, Tunnel0 C 192.168.1.0/24 is directly connected, Loopbackl D 192.168.2.0/24 [90/3200000] via 10.0.0.1, 00:19:48, Tunnel0 Trên Hub dùng lệnh show crypto engine connections active để xem các crypto connection HUEfahowW CrVvÐtg engine connecriong acLie TD Tnrerfaœe TE-Aaddresaz Stare Algorirhm FEnCTVPĐt DEecrVvPE 15 FasrErhernerl/q 1772:17:0:1 BEE HMAC SHA+1IES5 5B EB a 8 168 FastEEtrhernerl/i 1728.17:0.1 =EE HMAC 5HAÄ+†DE5 5h PB H) ũ Zññ1 FasrFrchernerl/n 172.17.0.1 =EE DE5~+MT5 348 8 30ñZ FasrFrherner1/i 3118.17.00.13 =EE DE5+MTS5 ñ 3347 2003 FasrEtchernerc1l/q 172.17.0.1 Hiẹt DE5+HD5 352 8 2004 FasrEcherner1/q 372.17.0.1 aẽrE DES5+HDS5 đã j— ”3 Dùng lệnh show crypto isakmp sa để xem trạng thái của isakmp HUB#show crypEoc isakmp sa gđsE sSư€ stcate conn-id sloE status 172: 1:7 Ô x1: 1L 12 se: 7 ¿ 0y 3 OM_ TDLE 16 0 ACTTVE 172:17z0z1 172x177: Ø2 OM_ TDLE 15 0 ACTTVE Lab 2: IPsec + mGRE Hub and Spoke Trong bài lab này chúng ta sử dụng mGRE để cấu hình cho VPN. Thực hiện bài lab theo sơ đồ mạng sau: 1982.168.0.0/2 IPse Encrypted CTRE Tumnel SPOKEEI SPOEE2 SPOEE 182.168 1.0/2 132.168.2.0/2 PGD 192.168..0/ Cấu hình Hub hostname HUB 1b dhcp pool network-l72-17 network 172.17.0.0 255.255.0.0 Ị

cryptc isakmb policy 1 authentication pre-share cryptc isakmbp key 6 cisco47 address 0.0.0.0 0.0.0.0 I

Cryptc ipsec transform-set trans esp-des esp-md5-hmac mode transport cryEpto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport I CrVyÐpto ipsec profile vpnEprof set transform-set trans2 I interface Loopback1l 1b address 192.168.0.1 255.255.255.0 I interface Tunnel0 bandwidth 1000 ib address 10.0.0.1 255.255.255.0 no ibÐ redirects ib mtu 1400 ib nhrp authentication test 1b nhrP map multicast dynamlic 1b nhrEP neEwork-id 100000 1b nhrp holdtime 600 no iÐ sblit-horizon eigrp 1 delay 1000 tunnel source PEastEthernet1l/0 tunnel mode gre multipoint tunnel key 100000 tunnel protecticn ipsec profile Vpnprof Ị interface FastEthernet1l/0

ib address 172.17.0.1 255.255.255.0 duplex auto sbeed auto I router eigrp l1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 no auto-summary Spoke I hostname SPOKEl Ị cryptc isakmbp policy 1 authentication pre-share

crypto isakmbp key 6 cisco47 address 0.0.0.0 0.0.0.0 I cryEpto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport I Crypto map vpnmapl local-address FastEthernet1/0 CrVyPpto map vpnmapl 10 ipsecisakmbp set peer 1/72.17.0.1 set security-association level per-host set transform-set trans2 match address 101 I interface Loopback1l ib address 192.168.1.1 255.255.255.0 Ị interface Tunnel0 bandwidth 1000 4Ð aØdfess 10.,0.0.2 253,253 ,299„ Ö 1ib mtu 1400 1ibÐ nhrEP authentication test

1b nhrEP map 10.0.0.1 172.17.0.1 1b nhrE neEwork-id 100000 1b nhrp holdtime 300 tunnel source PastEthernet1l/0 tunnel destination 172.17.0.1 tunnel key 100000 Ị interface FastEthernet1l/0 ib address dhcp hostname spboke1d duplex auto sbeed auto CryPpto map Vbpnmapl I router eigrp l1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 nó auto-summary I access-list 101 bermit gre 172.16.1.0 0.0.0.255 172.17.0.1 Ị host Spoke 2 hostname SPOKE2 Ị cryptc isakmb policy 1 authenticaticn pre-share CrVyPpto isakmbp key 6 cisco47 address 0.0.0.0 0.0.0.0 I 1

CrVyEpto ipsec transform-set trans2 esp-des espb-md5-hmac mode transport I Crypto map vpnmapl local-address FastEthernet1/0 Cryptc map vwpnmapli 10 ipsecisakmp set peer 172.17.0.1 set security-asscciation level per-host set transform-set trans2 match address 101 I interface Loopbackl 4Ð äØgfZess 192.„168.2.1 255.239.290. I interface Tunnel0 bandwidth 1000 ib address 10.0.0.3 255.255.255.0 1ib mtu 1400 ib nhrp authentication test ib nhrp map 10.0.0.1 172.17.0.1 ib nhrp network-id 100000 ib nhrp holdtime 300 tunnel source EastEthernet1l/0 tunnel destination 172.17.0.1 tunnel key 100000 I interface FastEthernet1/0 ib address dhcp hostname spoke2 duplex auto 5sbeed auto I router eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.1.0 no auto-summary

I access-li1st 101 bermiC gre 172.16.2.0 0.0.0.255 host 172.17.0.1 Ị Kiếm tra Trên Hub dùng lệnh show ip nhrp để xem các ánh xạ đã thực hiện được lưu trữ tại đây. Hub#show ib nhrp 10.0.0.2/32 via 10.0.0.2, Tunnel0 created 01:25:18, expire 00:03:51 Tybe: dynamic, Elags: authoritative unique registered NBMA address: 172.16.1.4 10.0.0.3/32 via 10.0.0.3, Tunnel0 created 00:06:02, expire 00:04:03 Type: dynamic, Flags: authoritative unique registered NBMA address: 172.16.2.10 10.0.0./32 via 10.0.0., Tunnel0 created 00:06:00, expire 00:04:25 Tybe: dynamic, Flags: authoritative unique registered NBMA address: 172.16..41 Lab 3: Dynamic Multfipoint IPsec VPN 182.165.0.0/2 ======= Ntatic SPOEEI SPOKE2 192.168. 1.0/2 192.168..0/ 192.168.2.0/2 Cấu hình Hub I hostname Hub I cryptc isakmb policy 1 authentication pre-share crypto isakmbp key cisco47 address 0.0.0.0 I cryptc ipsec transform-set trans2 esp-des esp-md5-hmac mode transEport I cryptc ipsec profile vpnprof set transform-set trans2 Ị interface Tunnel0 bandwidth 1000 ib address 10.0.0.1 255.255.255.0 ib mtu 1400 +ib nhrpÐp authentication test ib nhrp map multicast dynamic

+ib nhrp network-id 100000 ib nhrp holdtime 600 ibÐ OSP£f network broadcast 1Ð OSP£ Priority 2 delay 1000 tunnel source bthernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile Vpnpr©cf I interface Ethernet0 1ib address 172.17.0.1 255.255.255.0 I interface bthernet1 ib address 192.168.0.1 255.255.255.0 Ị Touter ©spУf 1 network 10.0.0.0 0.0.0.255 area 0Ô network 192.168.0.0 0.0.0.255 area 0Ö Spoke I hostname Spokel

I crypto isakmbp policy 1 authenticaticn pre-share cryEptoc isakmbp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! cryEpto ipsec profile vpnprof set transform-set trans2 I interface Tunnel0 bandwidth 1000 ib address 10.0.0.2 255.255.255.0 ib mtu 1400 1b nhrPÐb authentication test 1b nhrEp map multicast 172.17.0.1 1b nhrPp map 10.0.0.1 172.17.0.1 1b nhrPÐb neEtwork-id 100000 +ib nhrp holdtime 300 +ib nhrp nhs 10.0.0.1 ibÐ OSP£f network broadcast 1iÐ OSP£ Ppriority 0Ö delay 1000

tunnel source Ebthernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protecticn ipsec profile Vpnprof£ I interface Ethernet0 1ib address dhcp hostname Spcke1ld I interface Ethernetl 1ib address 192.168.1.1 255.255.255.0 I rtouter ©sp£f 1 network 10.0.0.0 0.0.0.255 area 0Ô network 192.168.1.0 0.0.0.255 area ÔÖ I SSpokec 2 hostname S5pcke2 I CryPpto isakmb policy authenticaticn pre-share CryPptc isakmp key cliscoco47 address 0.0.0.0 0.0.0.0 I CrVypto ipsec transform-set trans2 esp-des esp-md5hmac mode transport I CrVypto ipsec profile Vwpnprof set transform-set trans2 Ị interface Tunnel0 bandwidth 1000 1ib address 10.0.0.3 255.255.255.0 1ib mtu 1400 1b nhrPÐb authentication test 1b nhrPp map multicast 172.17.0.1 1b nhrPÐp map 10.0.0.1 172.17.0.1 1b nhrPÐb neEwork-id 100000 1b nhrpb holdtime 300 1b nhrbÐb nhs 10.0.0.1 1Ð OSP£f netEwork broadcast 1Ð OSP£ priority 0Ô delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000

tunnel protecticn ipsec profile VPpnprof£ ! interface Ethernet0 ib address dhcp hostname Spoke1d I interface bthernetl 1ib address 192.168.3.1 255.255.255.0 I rTouter ©spУf 1 network 10.0.0.0 0.0.0.255 area 0Ô network 192.168.2.0 0.0.0.255 area 0 Kiểm tra Kiểm tra tên Hub bằng lệnh show ip nhrp sẽ thấy các ánh xạ địa chỉ tương ứng. Zub£eshow ip route G Ta 2a j 108.0.0.8/ 8 10:0,0 C [email protected] B 152.168.1. Đ 152.168,2. =4

Eub*#show ip nhrp 0.0.2, Tunnel10 œreared 00:57:27, empire 88:04:13 dynamic, : authorirarive unidque registrered address: 18.,0.0.3/32 wiaá 8:94:33 dynamic, address: Eub‡tshow ƒryPpEFo engine cđonnection active TH TrEerfare TE-#däress Stare A1 hr EBDcrVvpt DecrvVnEt zl4 Etrhernaro 301. 00„ 3: sSer ¬ Ö ũ 205 Etherner0 T0 vi (x3 x SE er Ồ Ũ 236828 Tunne10 1Ð .Ð0.g„1 sKer 8 482 #&2ö Tunnel +18.0.08.1 se= 357 ũ 32630 Tunne10D +18.8.0.1 ser Ỗ 427 2831 Tuủnne1Ö 18.1 .8.1 ser 30a ũ Trên mỗi Spoke, kiểm tra bằng các lệnh show ip nhrp, show cryto angine connection active. Spcokez?ghow iP route 1T72.16.0.0/24 isä3 subnetted, 1 suhbners Ẹ 172.18.3.0 is dđirecFrly connecced, Etherner0 10.,0.0.0/24 1ä subneFred, 1 subners 1ñ.0.0.0 is direrpElv connectced, TunnelD 182.168.0.0/24 [110/27] via 10.0.0.1, 00:38:52, Tunne10 182.168.1.0/24 [110/2] via 10:0.0.%, 00:38:52, Tunnel0 192.168.2.0/24 is đirectly connecred, Erhernerl boxeZ#show ip nhrp 0.0.0.1/32 via 10.0.0.1, TunneglÚ creared 01:32:10, ngưeẹr expire Tựbe: static, Elags: euthceritative used NBMA address: 172.17,0.,1 Spcekue2#show crypto engine connection active •

2 (31 €1 C2 ()

1D rx;nterface 1£-š#cdress mtate Algerithm >ncrvot DecrvEE 17 Etrhernetr0 172z1E:8v 7ñ set HMAC SHA+DES 5B CR ũ Ũ 2070 Tunne13 18.8.0,3 SET HMAC MDS ũ 2798 2071 Tunnae20 +a.0.0.4 ser HHHAC MDS 31E 8 Lab 4: Dual Hub — Single DMVPN Layout 132 .168.0.0/2 182.168. 1.0/2 192. 168.
mode transport ! cryEpto ipsec profile vpnprof£ set transform-set trans2 ! interface Tunnel0 bandwidth 1000 ib address 10.0.0.1 255.255.255.0 1ib mtu 1400 1b nhrPpb

authentication test 1b nhrb map multicast dynamic 1b nhrPÐb neEtwork-id 100000 1b nhrp holdtime 600 1iĐÐ OSP£ network broadcast iÐ OSPf priority 2 delay 1000 tunnel source Ethernet0 tunnel mcode gre multipoint tunnel key 100000 tunnel protection ipsec profile VPpnprof I interface bEbthernet0 1ib address 172.17.0.1 255.255.255.0 interface bthernetl 1ib address 192.168.0.1 255.255.255.0 I rtouter ©sp£f 1 network 10.0.0.0 0.0.0.255 area 1 network 192.168.0.0 0.0.0.255 area 0 Hub 2 hostname Hub2 ị crypto isakmbp policy 1 authenticaticn pre-share cryptc isakmbp key cisco47 address 0.0.0.0 I crypto ipsec transform-set trans2 esp-des espmd5-hmac mode transport ! cryEptoc ipsec profile vpnprof set transform-set trans2

! interface Tunnel0 bandwidth 900 ibp address 10.0.0.2 255.255.255.0 1ib mtu 1400 1b nhrbÐb authentication test 1b nhrEP map 10.0.0.1 172.17.0.1 1b nhrÐp map multicast 172.17.0.1 1ib nhrPÐb map multicast dynamic 1b nhrPÐp neEwork-id 100000 1b nhrpb holdtime 600 1b nhrÐb nhs 10.0.0.1 1P OSPĐf£ network brcoadcast 1Ð OSPf Priority 1 delay 1000 tunnel source Ethernet0 tunnel mode gre multipcint tunnel key 100000 tunnel protection ipsec profile Vpnpr©cf I interface bthernet0 ib address 1/72.17.0.5 255.255.255.0 I interface bthernetl 1ib address 192.168.0.2 255.255.255.0 I rtouter ©sp£f 1 network 10.0.0.0 0.0.0.255 area 1 network 192.168.0.0 0.0.0.255 area 0Ö I Spoke I hostname S5pckel I crypto isakmbp policy 1 authenticaticn pre-share Crypto isakmp key cisco47/ address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof

set transform-set trans2 : interface Tunnel0 bandwidth 1000 1ib address 10.0.0.11 255.255.255.0 1ib mtu 1400 1b nhrPÐb authentication test 1b nhrEp map multicast 172.17.0.1 1b nhrPp map 10.0.0.1 172.17.0.1 1b nhrp map multicast 172.17.0.5 1b nhrPp map 10.0.0.2 172.17.0.5 1b nhrPÐb neEtwork-id 100000 1b nhrpb holdtime 300 ib nhrp

nhs 10.0.0.1 ib nhrÐp nhs 10.0.0.2 1iĐÐ OSP£ network broadcast 1iĐÐ OSP£ Ppriority 0Ö delay 1000 tunnel source bthernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile Vpnpr©f I interface Ebthernet0 ib address dhcp hostname Spcke1d I interface Ethernetl ib address 192.168.1.1 255.255.255.0 I Touter ©spУf 1 network 10.0.0.0 0.0.0.255 area l1 network 192.168.1.0 0.0.0.255 area 1 Spoke 2 hostname S5poke2 I crypto isakmbp policy 1 authenticaticn pre-share cryptc isakmbp key cisco47 address 0.0.0.0 0.0.0.0 ! Ccrypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport I

cryptc ipsec profile Vvbpnprof set transform-set trans2 Ỉ interface Tunnel0 bandwidth 1000 ib address 10.0.0.12 255.255.255.0 1ib mtu 1400 1b nhrPÐb authentication test 1b nhrEp map multicast 172.17.0.1 1b nhrp map 10.0.0.1 172.17.0.1 1b nhrPp map multicast 172.17.0.5 1b nhrp map 10.0.0.2 172.17.0.5 1b nhrPÐp netwcrk-id 100000 ib nhrp holdtime 300 ib nhrp nhs 10.0.0.1 ib nhrÐp nhs 10.0.0.2 iĐÐ OSP£ network broadcast 1b OSP£ priority 0Ô delay 1000 tunnel source bthernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile Vpnpr©f I interface Ethernet0 ib address dhcp hostname S5pokel Ị interface Ethernetl 4Ð address 192.168.2.1 355.255.2955.0 I Touter ©spУf 1 network 10.0.0.0 0.0.0.255 area 0Ô network 192.168.2.0 0.0.0.255 area 0Ô ! Kiếm tra Kiểm tra trên Hub1, ta nhận được các kết quả như sau. Eubi#show ip route 172.17.0.0/24 ¿s subneEEsed, 1 subnets Ẹ 172.17.D.0 is directly connected, Ethernetro 10.0.0.0/24 is subnetted, 1l subnets Ẹ 1.0.0.0 1s directly connectred, Tunng10 € 182.168.0.0/24 is đirecLly connecEed, Ethernetl Ø 197.168.1.0/74 I118/72]1 Wia 10.0.Đ.11, ĐÔ:02117, TUIïNBIB Ö 1982.,168.2.0724 [110/2] viá 10.0.9.12, 00:02:17, Tunne1lD

HuE:£show ip nhrp 10.,0,9,3/32 vta 10, Tựpe: dynamic, TE NBMA address: 1/2, 19.,Đ.8.131/33: viấ 18 n nn „0.2; TunnelD created 1w3d, exgpgirse 00:03:15 s: authoritrative unique registered j { ; Tunne10 creared 1w3d, exblire 00:03:49 TựyEe: dynamic, EFlags: authoritative unique redgistered NBMA address: 1/2.16.1.24 1Ð.0.0.12/32 xiae Ụ .‹0.12, Tunngel1D0 creatsd 1w34d, expire 00:04:06 TWbe: dynamic, Flags: authoritrative uniqgue regiatered NBMA saddressg: 1 7/2.,16.,2. 1/5 us1£fshow crypto engine connection activwe 1D Tnterface TP-Äddress State Algorithm EncrVvbÐt PecrVÐt ä EthernerD 11102951 set HMAC SHA+DES 56 CB Ũ 0 5 Etherner0 3781 Ðu Set HMAC SHA+DES 56 CR 0 0 6 Etherner0 45718„17.1011 set HMAC SHA+DES 56 CB Ũ Ũ 3532 Tunne10 18.8.0.1 Set HMAC MDS+DES 56 CB 8 332 3533 Tunnell 10.0..0.1 set HMAC MD5+DES 56 CB 21z Ũ 34534 TunnelD 18.0.8.1 Set HMAC MDS+DES 56 CB Ũ 18 3535 Tunnel1U +0.8.0.1 set HMAC MDS+TDES5 56 CB 17 Ũ 3536 TunnelD 10:01 set HMAC MD5+DES 56 CRH Ũ 1 3537 TunnelD +0.8.0.1 set HMAÁC MDS+DES 565 CR T 8 Kết quả kiểm tra trên Hub2, ta có kết quả tương tự. Eub2* ghow 3 172. ;ũ.Ũ/Đ"Ê 1s su hnetted, #=t1re*e # c 1T3.17.B.0 is dìrectly connected, EthsrnetD 1.0.D.0/24 is subonattegdj, l1 sulbneEs G 10.0.B,D is đir£eetly cédneeted, Tunngl0 e 132.168.0.Ù/24 is direcELly ccnnecLeed, =therne Ọ 192.168.1,D/2Á4 [11/27] vwši# 1ŨÔ,D.Ũ.11, 0:75: Tranne1ữ b8, 4135.,168,2.,07/2š [11672] vwia 1ù.,H.0.,123;, ng munne1ủ REuz2ztghow 1Ð nhữE 1ñ.0.D.1/52 ưa 10.D.0,1, Tụnnell ereatredl 1⁄34, nẽướt srypire Tựủai: static, Flaqgs: authoritative usee drese: 112.17.0.1 #3 vwiá 1D.Ú.Ũ.11; Tunnä10D crẽäred 3w 36, empire 00:03:15 È, Fis#qs: anEhöoritaLivg uaiqqe rpgistEered ¿ 13.16.1534 la 10.,Ú0.0.12, Tunne310 creäterd 00:46:17, expirze 00:03:51 #, Ziadqs: eutharitativwe u¿zique rẻd:stered đre£y T712,1B.2. T5 ta engine connection active TE-Rddraess Stat#e D ' dat EnetypE HeerVpE 1113.17.05.38 SEÈtO HHHR-C Sẽ Cz ù Ũ 1T1,17.0.5 set HUAC 56 CH 0 Ũ Ẽ 111.17,1.5 set HMAC 5É Cñ 0 0 3520 Tunneld 108,0.ñ,2 se: HHẶT 5É Cz ù 353 35231 Tunnali 15.0.,1.Z mẽ‡t HMAC 5ằhBEH 323B ũ 35323 Tunnelủ 10.0.01.2 SEẽ£E£ HMAC 5É CE ủ 313 3523 Tunnelñ 10.0,0ñ.2 “e= TC SÉ C5 138 ũ 3554 Thi nneli lb.n.1.z #&t HMAäAC §B EH ñ nh Cuối cùng là kết quả kiểm tra trên spoke1 và spoke2 Sbpoke1 show ip route 17Z.18.Ũ.0/24 is subEnetted, 1 subneEs c 172.1Ê.1.0 1s đirecrly connected, #štherneL0 10,0.0.,0/24 15 subngetted, 1 subneEs Ẹ 30.0.0.0 ig directly connected, Tunng10

Ò TA 182.168.0.0/24 [110/11] via 10.0.0.1, 00:39:31, TunnelD [11Đ8/1TI1 via 10.0.08.2, BD:38:31, Tunng18 6 182,168.,1,0/24 1s đirectly connected, Etherneti O 182.18H.25.07213 [110/21 vi 10.U.8.12, B6:37:5B, Tunna1D0 Ÿcokei#show ip nhrp ñ.0.0.1/32 via 10.0.0.1, Tunnel0 creatEed 00:56:40, nñngver explre TvBpe: staLtic, Flags: authoritative used NBMA address: 172.17.0.1 10,0.0.2/32 via 10.0.0.2, Tunne1lD created 00:56:4D, ñneveE expire TVEe: staLtic, Elags: authoritative 1ised NBMA saddress: 172,17.0.5 8coke!#show crựpto engine connection actrive ID Interface 1P-Address State Algorithm EncrVpt DecrVEt 1 EtEherner 347:/.1E.1.8 Set HMAC SHA+DES 56 CB Ũ 0 2 ESthernetD 1723.1E.1.2ã set HMAC SHA+DES 56 CR Ũ 0 2010 TunnelD0 10.0.0.1 set HMAC MDS+DES5 56 CB Ụ 171 2811 TunnelD 188.011 set HMAC MDS+DES 56 CR 185 0 2012 TunnelU 108.0.0.11 set HMAC MD5+DES 56 BE Ũ 15 20813 Tunne10 18:0..8.41 Set HMAC MDS+DES 56 CR 13 Ũ Lab 5: Dual Hub — Dual DMVPN Layout 132 165.0 0/2 —k:. 132 168.2.012 .... Cấu hình Hub ïT hostname Hub1 : cryptc isakmb policy 1 authenticaticn pre-share cryptc isakmbp key cisco47 address 0.0.0.0 0.0.0.0 I CrVyÐto ipsec transfcorm-set trans2 esp-des esp-md5hmac mode transport I cryptc ipsec profile vpnprof set transform-set trans2 I interface Tunnel0 bandwidth 1000 ib address 10.0.0.1 255.255.255.0 ib mtu 1400 1ib nhrp authentication test +ib nhrp map multicast dynamic ib nhrÐp network-id 100000 ib nhrp holdtime 600

no iÐ sbplit-horizon eigrp 1 delay 1000 tunnel source Ethernet0 tunnel mode gre multipcint tunnel key 100000

tunnel protection ipsec profile Vpnprcf I interface bthernet0 1ib address 1/72.17.0.1 255.255.255.252 I interface bthernetl 1ib address 192.168.0.1 255.255.255.0 I rtouter eigrp 1 network 10.0.0.0 0.0.0.255 network 192.168.0.0 0.0.0.255 no autc-summary I Hun 2 hostname Hub2 Ị crypto isakmbp policy 1 authenticaticn pre-share cryEpto isakmbp key cisco47 address 0.0.0.0 0.0.0.0 I grypto 1Ppsec transfocrm-seLt trans2 sesp-des esp-md5hmac mode transport Ị cryEpto ipsec profile vpnprof£ set transform-set trans2 Ị interface Tunnel0 bandwidth 1000 ib address 10.0.1.1 255.255.255.0 1ib mtu 1400 1b nhrPpb authentication test +ib nhrb map multicast dynamic ib nhrp network-id 100001 +ib nhrp holdtime 600 no ibÐb split-horizon eigrp 1 delay 1000 tunnel source bthernet0

tunnel mode gre multipoint tunnel key 100001 tunnel protecticn ipsec profile Vpnprof£ ! interface bthernet0 ib address 172.17.0.5 255.255.255.252 I interface bthernetl 1ib address 192.168.0.2 255.255.255.0 I router eigrp network 10.0.1.0 0.0.0.255 network 192.168.0.0 0.0.0.255 nö auto-summary I Spoke Ï hostname Spockel I CryPpto isakmb policy 1 authenticaticn pre-share cryEptc isakmbp key ciscoc47 address 0.0.0.0 0.0.0.0 I

CrVypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport I cryptc ipsec profile Vvbpnprof£ set transform-set trans2 I interface Tunnel0 bandwidth 1000 1ib address 10.0.0.11 255.255.255.0 1ib mtu 1400 1b nhrPÐb authentication test 1b nhrP map 10.0.0.1 172.17.0.1 1b nhrPÐb neEwork-id 100000 1b nhrpb holdtime 300 1b nhrp nhs 10.0.0.1 delay 1000 tunnel source Ebthernet0 tunnel destinaticon 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile Vpnprcf

! interface Tunnell bandwidth 1000 ib address 10.0.1.11 255.255.255.0 1b mtu 1400 1b nhrEP authentication test 1b nhrEP map 10.0.1.1 172.17.0.5 1b nhrEP neEwork-id 100001 1b nhrp holdtime 300 1ibÐ nhrEp nhs 10.0.1.1 delay 1000 tunnel source bthernet0 tunnel destination 172.17.0.5 tunnel key 100001 tunnel protecticn ipsec profile Vpnprof£ Ị interface Ethernet0 ib address dhcp hostname Spcke1d I interface bthernetl 1b address 192.168.1.1 255.255.255.0 I router eigrp 1 network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 no auto-summary Ị Spoke 2 hostname Spocke2 I CryPpto isakmbp policy 1 authenticaticn pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 I CrVypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! cryEpto ipsec profile vpnprof£ set transform-set trans2 Ị 1nterface Tuụunnel0

bandwidth 1000 ib address 10.0.0.12 255.255.255.0 ib mtu 1400 ib nhrp authentication test 1b nhrEp map 10.0.0.1 172.17.0.1 1b nhrPÐ neEwork-id 100000 1b nhrbÐb holdtime 300 1b nhrEP nhs 10.0.0.1 delay 1000 tunnel source bthernet0 tunnel destination 172.17.0.1 tunnel key 100000 tunnel protecticn ipsec profile Vpnprof ! interface Tunnell bandwidth 1000 ib address 10.0.1.12 255.255.255.0 1ib mtu 1400 1b nhrbÐb authentication test bÐ HHẾP ĐđãấP LÔ:ÖØ‹l„¿ | 1722;47„Q„ð 1b nhrPÐ neEwork-id 100001 1b nhrbpb holdtime 300 1b nhrEp nhs 10.0.1.1 delay 1000 tunnel source bthernet0 tunnel destination 172.17.0.5 tunnel key 100001 tunnel protection ipsec profile vpnprof ! interface bthernetO0 1ib address dhcp hostname Spcke2 I interface bthernetl 1ib address 192.168.2.1 255.255.255.0 I rtouter eigrp 1 network 10.0.0.0 0.0.0.255 network 10.0.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 no autc-summary Ị Phần 4: Tống kết Giải pháp DMVPN cung cấp cho chúng ta chức năng tiện lợi để kết nối các mạng lớn với các mạng nhỏ thông qua IPSec VPN. Chúng ta dễ dàng mở rộng phạm vi hoạt động của mạng khi có IPSec VPN thông thường. DMVPN cho phép giao tiếp trực tiếp giữa các spoke với nhau. Trong hầu hết các mạng, việc giao tiếp giữa spoke và spoke diễn ra không thường xuyên cho lắm. Chính vì thế việc dành một tài nguyên cho kết nỗi giữa hai spoke không thường xuyên là một việc vô cùng lãng phí. Giải pháp DMVPN khởi tạo một kết nối động, nhưng trực tiếp, giữa các spoke với nhau khi chúng có nhu cầu giao tiếp. Việc sử mạng qua ISP cung cấp ip động để kết nối các chỉ nhánh lại với nhau là đều tưởng chừng như không thể. Giải pháp DMVPN đã giải quyết cho chúng trở ngại đó. Nó chỉ yêu cầu phía Hub luôn sẵn sàng lắng nghe kết nối và có ip tĩnh, còn lại tất cả các spoke đều được phép sử dụng ip động để giao tiếp. NHRP sẽ chịu trách nhiệm ánh xạ địa chỉ thường xuyên. DMVPN cho phép chúng ta dễ dàng bổ sung các Spoke mới vào mạng. Khi cần bổ sung spoke mới, bạn chỉ việc gắn router spoke vào, hệ thống sẽ tự nhận biết spoke mới này và bổ sung định tuyến cho nó và cho các spoke khác trong mạng. DMVPN làm giảm kích thước các tập tinh cấu hình lưu trên các router. Điều này bạn có thể thấy rõ trong cấu hình mGRE, và thậm chí là trong IPSec + GRE dành cho hub-spoke vẫn có thể tối ưu được. DMVPN sử dụng GRE, và do đó có thể áp dụng định tuyến động thông qua mạng VPN và sử dụng địa chỉ Ip multicast. Điều này có nghĩa là một giao thức định tuyến động có thể được sử dụng, và các trung tâm dự phòng có thể được hỗ trợ bởi giao thức đó. Ứng dụng Multicast cũng được hỗ trợ. Cuối cùng, bạn đừng quên DMVPN sử dụng tunnel cho tất cả các kết nối của nó. Tài liệu tham khảo Dynamic Multipoint IPsec VPNs (Using Multipoint GRE/NHRP t©O Scale IPsec VPNS), Dcocument ID: 41940, by Cisco Press,2008

Dynamic Multipoint VPN (DMVPN) Design Guide, Document ID: OL- 9024-01, by Cisco System, 2006. Presentation Dynamic Multipoint Vpn, By Cisco System, 2004.

More Documents from "Le Duc Anh"

April 2020 3
April 2020 3
May 2020 3