dmvpn baocao final

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

......................................................................................................................................................................

LỜI CẢM ƠN

LƠI CẢM ƠN

Đ u tiên, ch ng em xin đ c c m n đ n cac th y, cô trong khoa công nghâ ư ươ a ơ ê â ê

thông tin tr ng Đ i H c S Ph m Ky Thu t TP.HCM đa t n tinh d y d , diuươ a o ư a â â a ô

d t, h ng d n chung em trong su t th i gian qua.ă ươ â ô ơ

Chung em chân thanh c m n Th y Huynh Nguyên Chinh ng i đa tr c ti pa ơ â ươ ư ê

h ng d n va t n tinh ch b o, truy n đ t kinh nghi m giup em hoanh thanhươ â â i a ê a ê

đ tai đung ti n đ . Th y đa cung c p cho em nh ng tai li u r t quan tr ng vaê ê ô â â ư ê â o

quy bau, h ng d n va ch ra h ng đi đung d n cho chung em. Chung em xinươ â i ươ ă

đ c g i t i th y l i c m sâu s c nh t.ươ ư ơ â ơ a ă â

Xin chân thanh c m n t t c cac b n sinh viên trong l p đa giup nhom tronga ơ â a a ơ

nh ng bu i trao đ i v y t ng cung nh kinh nghi m.ư ô ô ê ươ ư ê

Tp.HCM ngay 25/5/2011

Tr n Vi t Anh – Nguy n Đ Anh Minhâ ê ê ô

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang iii

MUC LUC

MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN.........................................................i

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN...........................................................ii

LƠI CẢM ƠN............................................................................................................iii

MỤC LỤC................................................................................................................. iv

MỤC LỤC HINH....................................................................................................viii

MỤC LỤC BẢNG.....................................................................................................xi

PHẦN MỞ ĐẦU.........................................................................................................1

MỞ ĐẦU....................................................................................................................2

1. Tinh câp thiêt cua đê tai......................................................................................2

2. Muc tiêu va nhiêm vu.........................................................................................3

2.1. Muc tiêu.......................................................................................................3

2.2. Nhiêm vu......................................................................................................4

3. Khach thê va đôi tương nghiên cưu....................................................................4

4. Gia thiêt nghiên cưu............................................................................................4

PHẦN NỘI DUNG.....................................................................................................5

CHƯƠNG 1 : GIỚI THIỆU CÔNG NGHỆ VPN VA DMVPN................................6

1.1. Công nghê virtual private network(VPN)........................................................6

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang iv

MUC LUC

1.1.1. Khai niêm cơ ban vê virtual private network(VPN).................................6

1.1.2. Ưu điêm....................................................................................................8

1.1.3. Cac dang triên khai VPN..........................................................................9

1.1.4. Cac chê đô hoat đông cua VPN..............................................................14

1.1.5. VPN va mô hinh OSI..............................................................................16

1.2.1. Công nghê Dynamic Multipoint VPN....................................................18

CHƯƠNG 2 : NÊN TẢNG CỦA CÔNG NGHỆ DMVPN.....................................22

2.1. Giao thưc IP security(IPSec)..........................................................................22

2.1.1. Khai niêm IPSec.....................................................................................22

2.1.2. Đong goi thông tin cua cua IPSec...........................................................23

2.1.3. IKE..........................................................................................................34

2.2. Giao thưc Generic Routing Encapsulation(GRE)..........................................38

2.2.1. Giới thiêu................................................................................................38

2.2.2. Tinh năng................................................................................................38

2.2.3. GRE header.............................................................................................40

2.2.4. Phân loai GRE.........................................................................................41

2.2.5. GRE over IPSec......................................................................................43

2.3. Giao thưc NHRP............................................................................................45

2.3.1. Giới thiêu................................................................................................45

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang v

MUC LUC

2.3.2. Cac tinh năng NHRP...............................................................................46

2.3.3. Định dang goi NHRP..............................................................................47

2.3.4. Cac dang goi NHRP................................................................................51

2.3.5. Cơ chê hoat đông NHRP.........................................................................52

CHƯƠNG 3 : HOAT ĐỘNG CỦA DMVPN...........................................................56

3.1. Cach thưc hoat đông cua DMVPN................................................................56

3.2. Định Tuyên trong DMVPN...........................................................................62

3.3. Cac phase DMVPN........................................................................................64

3.3.1. Phase 1 - Tinh năng hub and spoke........................................................64

3.3.2. Phase 2 - Tinh năng spoke-to-spoke.......................................................66

3.3.3. Phase 3 - Kiên trúc va mở rông...............................................................68

3.4. Sự khac nhau giữa phase 3 va phase 2...........................................................71

3.5. Dynamic Multipoint VPN – Dual Hub..........................................................74

3.5.1. Dual Hub – Single DMVPN Layout.......................................................74

3.5.2. Dual Hub – Dual DMVPN Layout.........................................................75

3.6. Câu hinh DMVPN..........................................................................................76

3.6.1. DMVPN single Hub................................................................................78

3.6.2. Dual Hub – Single DMVPN Layout...........................................................83

3.6.3. Dual Hub – Dual DMVPN Layout.........................................................86

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang vi

MUC LUC

3.6.4. Kiêm tra câu hinh DMVPN....................................................................87

3.7. Tông kêt.........................................................................................................89

CHƯƠNG 4 : THỰC NGHIỆM...............................................................................90

4.1. Tông quan......................................................................................................90

4.2. Triên khai.......................................................................................................91

4.2.1.Lươc đồ địa chỉ........................................................................................91

4.2.2.Multipoint Generic Router Encapsulation – mGRE................................92

4.2.3.Định tuyên tĩnh (static routing)................................................................95

4.2.4.Định tuyên đông (dynamic routing).........................................................96

4.2.5. Next Hop Resolution Protocol – NHRP.................................................99

4.2.6. IPSec VPN............................................................................................101

4.3. Kiêm tra câu hinh.........................................................................................103

4.3.1. Kiêm tra câu hinh Hub..........................................................................103

4.3.2. Kiêm tra câu hinh spoke.......................................................................105

PHẦN KẾT LUẬN.................................................................................................109

KẾT LUẬN.............................................................................................................110

PHẦN CUỐI KHÓA LUẬN..................................................................................112

THUẬT NGỮ VIẾT TẮT......................................................................................113

TAI LIỆU THAM KHẢO......................................................................................116

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang vii

MUC LUC

MỤC LỤC HINH

Hinh 1.1 Mô hinh VPN cơ ban...................................................................................7

Hinh 1.2. So sanh kêt nôi Frame relay va VPN..........................................................9

Hinh 1.3. Remote Access VPN...............................................................................10

Hinh 1.4. Intranet VPN..........................................................................................12

Hinh 1.5. Extranet VPN............................................................................................13

Hinh 1.6. Đ nh d ng goi tin trong Transport mode VPNị a ......................................14

Hinh 1.7. Đ nh d ng goi tin trong Tunnel mode VPNị a ...........................................15

Hinh 1.8 Dynamic Multipoint VPN.......................................................................19

Hinh 2.1. Goi tin IP ở kiêu Transport.......................................................................23

Hinh 2. 2. Goi tin IP ki u Tunnelơ ê .........................................................................24

Hinh 2.3. C u truc tiêu đ AH cho IPSecâ ê ................................................................26

Hinh 2.4. Khuôn d ng IPv4 tr c va sau khi x ly AH ki u Transporta ươ ư ơ ê ...........28

Hinh 2.5. Khuôn d ng IPv6 tr c va sau khi x ly AH ki u Transporta ươ ư ơ ê ...........28

Hinh 2.6. Khuôn d ng goi tin đa x ly AH ki u Tunnela ư ơ ê ....................................29

Hinh 2.7. X ly đong goi ESPư ...................................................................................30

Hinh 2.8. Khuôn d ng goi ESPa ................................................................................30

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang viii

MUC LUC

Hinh 2.9. Khuôn d ng IPv4 tr c va sau khi x ly ESP mode Transporta ươ ư ơ ........33

Hinh 2.10. Khuôn d ng IPv6 tr c va sau khi x ly ESP mode Transporta ươ ư ơ ......33

Hinh 2.11. Khuôn d ng goi tin đ c x ly ESP mode Tunnela ươ ư ơ ...........................34

Hinh 2.12. IPSec phases...........................................................................................35

Hinh 2.13. Đ nh d ng GRE headerị a ..........................................................................41

Hinh 2.14. Point-to-Point GRE................................................................................42

Hinh 2.15. Point-to-Multipoint GRE (mGRE).........................................................43

Hinh 2.16. Đ nh d ng gói tin GRE over IPSecị ạ ....................................................45

Hinh 2.17. Ho t đ ng NHRPa ô ...................................................................................46

Hinh 2.18. Đ nh d ng Header Fixed NHRPị a ............................................................47

Hinh 2.19. Đ nh d ng ph n Header chung Mandatoryị a â ........................................49

Hinh 2.20. Đ nh d ng CIEị a ........................................................................................49

Hinh 2.21. Đ nh d ng ph n Extensionsị a â .................................................................50

Hinh 2.22. Qua trinh g i nh n NHRP Registrationư â ...............................................53

Hinh 2.23. Vi c ch n Next Hop Serverê o ...................................................................54

Hinh 3.1. Tunnel Hub-Spoke....................................................................................57

Hinh 3.2. PC gưi yêu câu..........................................................................................58

Hinh 3. 3. Spoke tra cưu bang định tuyên.................................................................58

Hinh 3.4. Spoke A gưi Request NHRP resolution..................................................59

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang ix

MUC LUC

Hinh 3.5. Hub g i reply NHRP resolutionư ..............................................................59

Hinh 3.6. Spoke A tao Tunnel trực tiêp với Spoke B...............................................60

Hinh 3.7. Spoke A gưi dữ liêu qua Spoke B.............................................................61

Hinh 3.8. Spoke B gưi dữ liêu cho Spoke A.............................................................61

Hinh 3. 9. Tunnel khi chưa hêt time out...................................................................62

Hinh 3.10. Hub gưi EIGRP Hello.............................................................................64

Hinh 3.11. Ho t đ ng Hub and Spoke trong phase 1ạ ộ ......................................65

Hinh 3.12. Ho t đ ng Spoke to Spoke trong phase 2ạ ộ ......................................67

Hinh 3.13. Ho t đ ng Spoke to Spoke trong phase 3ạ ộ ......................................70

Hinh 3.14. S khác nhau gi a phase 3 và các phase 2ự ữ ....................................74

Hinh 3.15. Single DMVPN Layout...........................................................................75

Hinh 3.16. Dual DMVPN Layout.............................................................................76

Hinh 3.17.Single Hub...............................................................................................78

Hinh 3.18. Dual-Hub-Single Layout.........................................................................83

Hinh 3.19. Dual Hub- Dual DMVPN Layout...........................................................86

Hinh 4.1. Topology vât ly.........................................................................................90

Hinh 4.2. Mô hinh logic............................................................................................91

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang x

MUC LUC BẢNG

MỤC LỤC BẢNG

Bang 2.1. Nh ng tùy ch n c a GRE headerư o ủ ..........................................................40

Bang 4.1 Lươc đồ địa chỉ. 92

Bang 4.2. Câu hinh Tunnel Hub – 1.........................................................................92

Bang 4.3. Câu hinh Tunnel Hub – 2.........................................................................92

Bang 4.4. Câu hinh Tunnel Spoke – 1......................................................................93

Bang 4.5. Câu hinh Tunnel Spoke – 2......................................................................93

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO Trang 11

PHÂN MƠ ĐÂU

PHẦN MỞ ĐẦU


PHÂN MƠ ĐÂU

MỞ ĐẦU.

1. Tinh câp thiêt cua đê tai.

Trong th i đ i hi n nay, Internet đa phat tri n m nh v m t mô hinh cho đ nơ a ê ê a ê ặ ê

công ngh , đap ng cac nhu c u c a ng i s d ng. Internet đa đ c thi t kê ư â ủ ươ ư ụ ươ ê ê

đ k t n i nhi u m ng khac nhau va cho phép thông tin chuy n đ n ng i sê ê ô ê a ê ê ươ ư

d ng m t cach t do va nhanh chong ma không xem xét đ n may va m ng maụ ô ư ê a

ng i dùng đo đang dùng. Đ lam đ c đi u nay ng i ta s d ng m t mayươ ê ươ ê ươ ư ụ ô

tinh đ c bi t g i la router đ k t n i cac LAN va WAN v i nhau.ặ ê o ê ê ô ơ

Cac may tinh k t n i vao Internet thông qua nha cung c p d ch v (ISP -ê ô â ị ụ

Internet Service Provider), c n m t giao th c chung la TCP/IP. Đi u ma kyâ ô ư ê

thu t còn ti p t c ph i gi i quy t la năng l c truy n thông qua cac m ng vi nâ ê ụ a a ê ư ê a ễ

thông công c ng. V i Internet, nh ng d ch v nh giao d c t xa, mua hangô ơ ư ị ụ ư ụ ừ

tr c tuy n, t v n y t , va r t nhi u đi u khac đa tr thanh hi n th c. Tuyư ê ư â ê â ê ê ơ ê ư

nhiên, do Internet co ph m vi toan c u va không m t t ch c, chinh ph ca â ô ô ư ủ ụ

th nao qu n ly nên r t kho khăn trong vi c b o m t va an toan d li u cungê a â ê a â ư ê

nh trong vi c qu n ly cac d ch v . T đo ng i ta đa đ a ra m t mô hinhư ê a ị ụ ừ ươ ư ô

m ng m i nh m th a man nh ng yêu c u trên ma v n co th t n d ng l ia ơ ằ ỏ ư â â ê â ụ a

nh ng c s h t ng hi n co c a Internet, đo chinh la mô hinh m ng riêng oư ơ ơ a â ê ủ a a

(Virtual Private Network -VPN). V i mô hinh m i nay, ng i ta không ph iơ ơ ươ a

đ u t thêm nhi u c s h t ng ma cac tinh năng nh b o m t, đ tin c yâ ư ê ơ ơ a â ư a â ô â

v n đ m b o, đ ng th i co th qu n ly riêng đ c s ho t đ ng c a m ngâ a a ồ ơ ê a ươ ư a ô ủ a

nay. VPN cho phép ng i dùng lam vi c t i nha, trên đ ng đi hay cac vănươ ê a ươ

phòng chi nhanh co th k t n i an toan đ n may ch c a t ch c minh b ngê ê ô ê ủ ủ ô ư ằ

c s h t ng đ c cung c p b i m ng công c ng. No co th đ m b o an toanơ ơ a â ươ â ơ a ô ê a a


PHÂN MƠ ĐÂU

thông tin gi a cac đ i ly, ng i cung c p, va cac đ i tac kinh doanh v i nhauư a ươ â ô ơ

trong môi tr ng truy n thông r ng l n.ươ ê ô ơ

Tuy nhiên VPN cung co m t s nh c đi m nh :ô ô ươ ê ư

VPN yêu c u hi u bi t v kh năng b o m t đ cai đ t va c u hinh b oâ ê ê ê a a â ê ặ â a

v đ i v i m ng công c ng hay Internet.ê ô ơ a ô

Ch t l ng va đ tin c y không ch ph thu c vao s đi u khi n c aâ ươ ô â i ụ ô ư ê ê ủ

công ty ma còn b nh h ng b i cac ISP.ị a ươ ơ

Không t ng thich gi a cac nha s n xu t cung c p thi t b . Nh v y giaươ ư a â â ê ị ư â

c cung la m t v n đ .a ô â ê

Cac đi m k t n i ph i thuê nh ng đ a tĩnh.ê ê ô a ư ị

Khi cac đi m mu n k t n i v i nhau ph i thông qua router trung tâmê ô ê ô ơ a

nay ma không th k t n i tr c ti p đ c.ê ê ô ư ê ươ

T nh ng đ ng l c trên thi công ngh Dynamic Multipoint VPN (DMVPN)ừ ư ô ư ê

đ c ra đ i.ươ ơ

V i DMVPN, vi c c u hinh tr nên đ n gi n, cac k t n i đ c th c hi n m tơ ê â ơ ơ a ê ô ươ ư ê ô

cach t đ ng va chi phi b ra cung it h n m t VPN thông th ng.ư ô ỏ ơ ô ươ

Đo la li do nhom th c hi n ch n đ tai “Tim hi u v công ngh Dynamicư ê o ê ê ê ê

Multipoint VPN Dual-Hub”. Đ tai đem l i nh ng l i ich đap ng nhu c u thi tê a ư ơ ư â ê

th c c a xa h i cung nh cung c p cho chung em đ y đ ki n th c cung như ủ ô ư â â ủ ê ư ư

ky năng cho công vi c sau nay.ê

2. Muc tiêu va nhi m vu.ê

2.1. M c tiêuu .

Trong ph m vi khoa lu n nay nhom t p trung nghiên c u cac v n đ sau:a â â ư â ê


PHÂN MƠ ĐÂU

Tim hi u công ngh VPN. Tim ra u nh c đi m c a VPN thông th ng ê ê ư ươ ê ủ ươ

đ t đo tim ra đ ng l c phat tri n công ngh Dynamic Multipoint VPN.ê ừ ô ư ê ê

Tri n khai DMVPN va DMVPN Dual Hub trên router CISCO.ê

2.2. Nhi m vê u.

V i nh ng m c tiêu nh trên đ tai co cac nhi m v sau:ơ ư ụ ư ê ê ụ

Tim hi u công ngh VPN.ê ê

Tim hi u cac giao th c c u thanh nên công ngh DMVPN.ê ư â ê

Cai đ t th c nghi m trên router CISCO.ặ ư ê

3. Khach thê va đôi tương nghiên cưu.

Khach th nghiên c u: cac thi t b Cisco.ê ư ê ị

Đ i t ng nghiên c u: xây d ng h th ng m ng riêng o d a trên công nghô ươ ư ư ê ô a a ư ê

Dynamic Multipoint VPN.

4. Gia thiêt nghiên cưu.

M t công ty khi tri n khai c s h t ng m ng. Công ty co m t tr s chinh vaô ê ơ ơ a â a ô ụ ơ

nhi u chi nhanh va d đ nh m thêm nhi u chi nhanh trong t ng lai cacê ư ị ơ ê ươ ơ

t nh khac nhau. Ngoai ra trong m t s th i gian h th ng m ng c a công tyi ô ô ơ ê ô a ủ

cung ph i liên k t v i h th ng m ng c a đ i tac.a ê ơ ê ô a ủ ô

Công ty yêu c u t t c cac may tinh t i tr s , chi nhanh va c a cac đ i tac c aâ â a a ụ ơ ủ ô ủ

công ty co th giao ti p đ c v i nhau. Ngoai ra công ty còn yêu c u tinh b oê ê ươ ơ â a

m t cao trong qua trinh trao đ i d li u.â ô ư ê


PHÂN NÔI DUNG

PHẦN NỘI DUNG


CHƯƠNG 1 GIƠI THIỆU CÔNG NGHỆ VPN VÀ DMVPN

CHƯƠNG 1 : GIỚI THI U CÔNG NGH VPN VA DMVPNÊ Ê

1.1. Công ngh virtual private network(VPN)ê

1.1.1. Khái ni m c b n v virtual private network(VPN).ê ơ a ê

Ph ng an truy n thông nhanh, an toan va tin c y đang tr thanh m i quanươ ê â ơ ô

tâm c a nhi u doanh nghi p, đ c bi t la cac doanh nghi p co cac đ a đi mủ ê ê ặ ê ê ị ê

phân tan v m t đ a ly. N u nh tr c đây gi i phap thông th ng la thuê cacê ặ ị ê ư ươ a ươ

đ ng truy n riêng (leased lines) đ duy tri m ng WAN (Wide Are Network).ươ ê ê a

Cac đ ng truy n nay gi i h n t ISDN (128 Kbps) đ n đ ng cap quang OC3ươ ê ơ a ừ ê ươ

(optical carrier-3, 155Mbps). M i m ng WAN đ u co cac đi m thu n l i trênô a ê ê â ơ

m t m ng công c ng nh Internet trong đ tin c y, hi u năng va tinh an toan,ô a ô ư ô â ê

b o m t. Nh ng đ b o tri m t m ng WAN, đ c bi t khi s d ng cac đ nga â ư ê a ô a ặ ê ư ụ ươ

truy n riêng, co th tr nên qua đ t khi doanh nghi p mu n m r ng cac chiê ê ơ ă ê ô ơ ô

nhanh.

Khi tinh ph bi n c a Internet gia tăng, cac doanh nghi p đ u t vao no nhô ê ủ ê â ư ư

m t ph ng ti n qu ng ba va m r ng cac m ng ma h s h u. Ban đ u, laô ươ ê a ơ ô a o ơ ư â

cac m ng n i b (Intranet) ma cac site đ c b o m t b ng m t kh u đ ca ô ô ươ a â ằ â ẩ ươ

thi t k cho vi c s d ng ch b i cac thanh viên trong công ty.ê ê ê ư ụ i ơ



Hinh 1.1 Mô hinh VPN cơ ban

V căn b n, m i VPN(virtual private network) la m t m ng riêng rẽ s d ngê a ô ô a ư ụ

m t m ng chung (th ng la Internet) đ k t n i cùng v i cac site (cac m ngô a ươ ê ê ô ơ a

riêng l ) hay nhi u ng i s d ng t xa. Thay cho vi c s d ng b i m t k tẻ ê ươ ư ụ ừ ê ư ụ ơ ô ê

n i th c, chuyên d ng nh đ ng Leased Line, m i VPN s d ng cac k t n iô ư ụ ư ươ ô ư ụ ê ô

o đ c d n qua đ ng Internet t m ng riêng c a công ty t i cac site c a caca ươ â ươ ừ a ủ ơ ủ

nhân viên t xa.ừ

Nh ng thi t b đ u m ng h tr cho m ng riêng o la switch, router vaư ê ị ơ â a ô ơ a a

firewall. Nh ng thi t b nay co th đ c qu n tr b i công ty ho c cac nhaư ê ị ê ươ a ị ơ ặ

cung c p d ch v nh ISP.â ị ụ ư

VPN đ c g i la m ng o va đây la m t cach thi t l p m t m ng riêng quaươ o a a ô ê â ô a

m t m ng công c ng s d ng cac k t n i t m th i. Nh ng k t n i b o m tô a ô ư ụ ê ô a ơ ư ê ô a â

đ c thi t l p gi a 2 host , gi a host va m ng ho c gi a hai m ng v i nhauươ ê â ư ư a ặ ư a ơ



M t VPN co th đ c xây d ng b ng cach s d ng “Đ ng h m” va “Ma hoa”.ô ê ươ ư ằ ư ụ ươ â

VPN co th xu t hi n b t c l p nao trong mô hinh OSI. VPN la s c i ti nê â ê ơ â ư ơ ư a ê

c s h t ng m ng WAN ma lam thay đ i hay lam tăng thêm tinh ch t c a cacơ ơ a â a ô â ủ

m ng c c b .a ụ ô

1.1.2. u đi mƯ ê .

VPN co nhi u u đi m h n so v i cac m ng leased-line truy n th ng. No baoê ư ê ơ ơ a ê ô

g m:ồ

VPN lam gi m chi phi h n so v i m ng c c ba ơ ơ a ụ ô. T ng gia thanh c a vi cô ủ ê

s h u m t m ng VPN sẽ đ c thu nh , do ch ph i tr it h n cho vi cơ ư ô a ươ ỏ i a a ơ ê

thuê băng thông đ ng truy n, cac thi t b m ng đ ng tr c, va ho tươ ê ê ị a ươ ụ a

đ ng c a h th ng. Gia thanh cho vi c k t n i LAN-to-LAN gi m t 20-ô ủ ê ô ê ê ô a ừ

30% so v i vi c s d ng đ ng Leased-line truy n th ng. Còn đ i v iơ ê ư ụ ươ ê ô ô ơ

vi c truy c p t xa thi gi m t i t 60-80%.ê â ừ a ơ ừ

VPN t o ra tinh m m d o cho kh năng qu n ly Interneta ê ẻ a a . Cac VPN đa kê

th a phat huy h n n a tinh m m d o va kh năng m r ng ki n trucừ ơ ư ê ẻ a ơ ô ê

m ng h n la cac m ng WAN truy n th ng. Đi u nay giup cac doanha ơ a ê ô ê

nghi p co th nhanh chong va hi u qu kinh t cho vi c m r ng hayê ê ê a ê ê ơ ô

hu b k t n i c a cac tr s xa, cac ng i s d ng di đ ng…, va mỷ ỏ ê ô ủ ụ ơ ơ ươ ư ụ ô ơ

r ng cac đ i tac kinh doanh khi co nhu c u.ô ô â

VPN lam đ n gi n hoa cho vi c qu n ly cac công vi c so v i vi c s h uơ a ê a ê ơ ê ơ ư

va v n hanh m t m ng c c bâ ô a ụ ô. Cac doanh nghi p co th cho phép sê ê ư

d ng m t vaiụ ô hay t t c cac d ch v c a m ng WAN, giup cac doanhâ a ị ụ ủ a

nghi p co th t p chung vaoê ê â cac đ i t ng kinh doanh chinh, thay viô ươ

qu n ly m t m ng WAN hay m ng quay s t xa.a ô a a ô ừ

VPN cung c p cac ki u m ng đ ng h m va lam gi m thi u cac côngâ ê a ươ â a ê

vi c qu n ly. ê a M t Backbone IP sẽ lo i b cac PVC (Permanent Virtualô a ỏ

Circuit) c đ nhô ị t ng ng v i cac giao th c k t n i nh la Frame Relayươ ư ơ ư ê ô ư



va ATM. Đi u nay t o raê a m t ki u m ng l i hoan ch nh trong khi gi mô ê a ươ i a

đ c đ ph c t p va gia thanh.ươ ô ư a

Hinh 1.2. So sanh kêt nôi Frame relay va VPN

1.1.3. Các d ng tri n khai VPN.ạ ê

VPN nh m h ng vao 3 yêu c u c b n sau đây :ằ ươ â ơ a

Co th truy c p b t c luc nao b ng đi u khi n t xa, b ng đi n tho iê â â ư ằ ê ê ừ ằ ê a

c m tay, va vi c liên l c gi a cac nhân viên c a m t t ch c t i cac taiâ ê a ư ủ ô ô ư ơ

nguyên m ng.a

N i k t thông tin liên l c gi a cac chi nhanh văn phòng t xa. Đ c đi uô ê a ư ừ ươ ê

khi n truy nh p tai nguyên m ng khi c n thi t c a khach hang, nhaê â a â ê ủ

cung c p va nh ng đ i t ng quan tr ng c a công ty nh m h p tac kinhâ ư ô ươ o ủ ằ ơ

doanh.



Đ c đi u khi n truy nh p tai nguyên m ng khi c n thi t c a khachươ ê ê â a â ê ủ

hang,nha cung c p va nh ng đ i t ng quan tr ng c a công ty nh mâ ư ô ươ o ủ ằ

h p tac kinh doanh.ơ

D a trên nh ng nhu c u c b n trên, ngay nay VPNs đ c phat tri n va phânư ư â ơ a ươ ê

chia ra lam 3 phân lo i chinh sau :a

Remote Access VPN.

Intranet VPN.

Extranet VPN.

1.1.3.1. Remote Access VPN.

Gi ng nh g i y c a tên g i, Remote Access VPNs cho phép truy c p b t c lucô ư ơ ủ o â â ư

nao b ng Remote, mobile, va cac thi t b truy n thông c a nhân viên cac chiằ ê ị ê ủ

nhanh k t n i đ n tai nguyên m ng c a t ch c. Đ c bi t la nh ng ng iê ô ê a ủ ô ư ặ ê ư ươ

dùng th ng xuyên di chuy n ho c cac chi nhanh văn phòng nh ma không coươ ê ặ ỏ

k t n i th ng xuyên đ n m ng Intranet h p tac.ê ô ươ ê a ơ

Cac truy c p VPN th ng yêu c u m t vai ki u ph n m m client ch y trênâ ươ â ô ê â ê a

may tinh c a ng i s d ng. Ki u VPN nay th ng đ c g i la VPN truy c pủ ươ ư ụ ê ươ ươ o â

t xa.ừ



Hinh 1.3. Remote Access VPN

B ng vi c tri n khai Remote Access VPNs, nh ng ng i dùng t xa ho c cacằ ê ê ư ươ ừ ặ

chi nhanh văn phòng ch c n cai đ t m t k t n i c c b đ n nha cung c p d chi â ặ ô ê ô ụ ô ê â ị

v ISP ho c ISP’s POP va k t n i đ n tai nguyên thông qua Internet.ụ ặ ê ô ê

Khuy t đi m c a Remote Access VPNs:ê ê ủ

Remote Access VPNs cung không b o đ m đ c ch t l ng ph c v .a a ươ â ươ ụ ụ

Kh năng m t d li u la r t cao, thêm n a la cac phân đo n c a goi da â ư ê â ư a ủ ư

li u co th đi ra ngoai va b th t thoat.ê ê ị â

Do đ ph c t p c a thu t toan ma hoa, protocol overhead tăng đang k ,ô ư a ủ â ê

đi u nay gây kho khăn cho qua trinh xac nh n. Thêm vao đo, vi c nén dê â ê ư

li u IP va PPP based di n ra vô cùng ch m ch p va t i t .ê ễ â a ồ ê

Do ph i truy n d li u thông qua Internet, nên khi trao đ i cac d li ua ê ư ê ô ư ê

l n ơ nh cac goi d li u truy n thông, phim nh, âm thanh sẽ r t ch m.ư ư ê ê a â â

1.1.3.2. Intranet VPN.

Intranet VPNs la m t VPN n i b đ c s d ng đ b o m t cac k t n i gi aô ô ô ươ ư ụ ê a â ê ô ư

cac đ a đi m khac nhau c a m t công ty. Đi u nay cho phép t t c cac đ aị ê ủ ô ê â a ị

đi m co th truy c p cac ngu n d li u đ c phép trong toan b m ng c aê ê â ồ ư ê ươ ô a ủ

công ty. Cac VPN n i b liên k t tr s chinh, cac văn phòng, va cac văn phòngô ô ê ụ ơ

chi nhanh trên m t c s h t ng chung s d ng cac k t n i ma luôn luônô ơ ơ a â ư ụ ê ô

đ c m. hoa. Ki u VPN nay th ng đ c c u hinh nh la m t VPN Site-to-Site.ươ ê ươ ươ â ư ô



Hinh 1.4. Intranet VPN

Khuy t đi m c a Intranet VPN:ê ê ủ

B i viơ d li u vư ê n còn trong tunnel su t qua trinh chia sâ ô ẻ trên m nga

công c ng Internet nênô nh ng nguy c t n công, nh t n công b ng tư ơ â ư â ằ ừ

ch i d ch vô ị ụ (denial-of-service), v n còn la m t m i đe d aâ ô ô o an toan

thông tin.

Kh năng m t d li u trong luc di chuy n thông tin cung v n r t cao.a â ư ê ễ â â

Trong m t s tr ng h p, nh t la khi d li u la lo i high-end, nh cacô ô ươ ơ â ư ê a ư

t p tin mulltimedia, vi c trao đ i d li u sẽ r t ch m ch p do đ câ ê ô ư ê â â a ươ

truy n thông qua Internet.ê

Do la k t n i d a trên Internet, nên tinh hi u qu không liên t c,ê ô ư ê a ụ

th ng xuyên, va QoS cung không đ c đ m b o.ươ ươ a a



1.1.3.3. Extranet VPN.

Không gi ng nh Intranet va Remote Access-based, Extranet không hoan toanô ư

cach li t bên ngoai (outer-world), Extranet cho phép truy c p nh ng taiừ â ư

nguyên m ng c n thi t c a cac đ i tac kinh doanh, ch ng h n nh khacha â ê ủ ô ẳ a ư

hang, nha cung c p, đ i tac nh ng ng i gi vai trò quan tr ng trong t ch c.â ô ư ươ ư o ô ư

M ng Extranet r t t n kém do co nhi u đo n m ng riêng bi t trên Intraneta â ô ê a a ê

k t h p l i v i nhau đ t o ra m t Extranet. Đi u nay lam cho kho tri n khaiê ơ a ơ ê a ô ê ê

va qu n ly do co nhi u m ng, đ ng th i cung kho khăn cho ca nhân lam cônga ê a ồ ơ

vi c b o tri va qu n tr . Thêm n a la m ng Extranet sẽ kho m r ng do đi uê a a ị ư a ơ ô ê

nay sẽ lam r i tung toan b m ng Intranet va co th nh h ng đ n cac k tô ô a ê a ươ ê ê

n i bên ngoai m ng. Sẽ co nh ng v n đ b n g p ph i b t thinh linh khi k tô a ư â ê a ặ a â ê

n i m t Intranet vao m t m ng Extranet. Tri n khai va thi t k m t m ngô ô ô a ê ê ê ô a

Extranet co th la m t c n ac m ng c a cac nha thi t k va qu n tr m ng.ê ô ơ ô ủ ê ê a ị a

Hinh 1.5. Extranet VPN



Cac VPN m r ng cung c p m t đ ng h m b o m t gi a cac khach hang, cacơ ô â ô ươ â a â ư

nha cung c p, va cac đ i tac qua m t c s h t ng công c ng s d ng cac k tâ ô ô ơ ơ a â ô ư ụ ê

n i ma luôn luôn đ c b o m t. Ki u VPN nay th ng đ c c u h.nh nh laô ươ a â ê ươ ươ â ư

m t VPN Site-to-Site. S khac nhau gi a m t VPN n i b va m t VPN m r ngô ư ư ô ô ô ô ơ ô

đo la s truy c p m ng ma đ c công nh n m t trong hai đ u cu i c a VPN.ư â a ươ â ơ ô â ô ủ

Khuy t đi m c a Extranet VPN:ê ê ủ

S đe d a v tinh an toan, nh b t n công b ng t ch i d ch v v n cònư o ê ư ị â ằ ừ ô ị ụ â

t n t i.ồ a

Tăng thêm nguy hi m s xâm nh p đ i v i t ch c trên Extranet.ê ư â ô ơ ô ư

Do d a trên Internet nên khi d li u la cac lo i high-end data thi vi cư ư ê a ê

trao đ i di n ra ch m ch p.ô ễ â a

Do d a trên Internet, QoS cung không đ c b o đ m th ng xuyên.ư ươ a a ươ

1.1.4. Các ch đ ho t đ ng c a VPN.ê ộ ạ ộ u

Mode ho t đ ng c a VPN la khai ni m dùng đ qui đ nh cach th c đong goi da ô ủ ê ê ị ư ư

li u gi a cac thi t b . ê ư ê ị VPN co 2 mode ho t đ ng: Transport va Tunnel.a ô

1.1.4.1. Transport mode.

ch đ nay, VPN ch b o v d li u năm sau ph n IP header trong goi tin IP.Ở ê ô i a ê ư ê â

Hinh 1.6. Đ nh d ng gói tin trong Transport mode VPNị ạ



Thông tin VPN sẽ chèn vao sau ph n IP header c a goi tin ban đ u. Vi th châ ủ â ê ê

đ nay s d ng đ a ch th t c a thi t b va c n ph i đ nh tuy n tr c. Do đo,ô ư ụ ị i â ủ ê ị â a ị ê ươ

đ b o m t la không cao.ô a â

1.1.4.2. Tunnel mode.

Khac v i transport mode, tunnel mode b o v toan b goi tin b ng cach chènơ a ê ô ằ

m t IP header m i va thông tin VPN sẽ đ c chèn ngay sau IP header m i nay.ô ơ ươ ơ

Hinh 1.7. Đ nh d ng gói tin trong Tunnel mode VPNị ạ

Vi c chèn nay đ c th c hi n b i VPN gateway va đ a ch IP m i nay la đ a chê ươ ư ê ơ ị i ơ ị i

c a VPN gateway. Khi đo VPN gateway sẽ đ i di n cho cac thi t b sau no t oủ a ê ê ị a

l p k t n i. Vi th tunnel mode la l a ch n t t nh t cho thi t l p k t n i d ngâ ê ô ê ư o ô â ê â ê ô a

site-to-site.

So v i transport mode, tunnel mode cung c p nhi u tinh năng h n h n:ơ â ê ơ ẳ

Tinh m r ng: cho phép cung c p nhi u k t n i v i m t thi t b VPNơ ô â ê ê ô ơ ô ê ị

gateway thich h pơ

Tinh linh đ ng: Không c n thay đ i c u hinh VPN khi thêm m i thi t b .ô â ô â ơ ê ị

Tinh n c a cac giao ti p: Cac traffic đ c cac VPN gateway đ i di n, viẩ ủ ê ươ a ê

v y đ a ch ngu n va đich th c s sẽ đ c n đi.â ị i ồ ư ư ươ ẩ

S d ng đ a ch private: Ch c n VPN gateway co đ a ch public, còn l iư ụ ị i i â ị i a

cac thi t b sau gateway co th dùng đ a ch private.ê ị ê ị i



1.1.5. VPN và mô hinh OSI.

VPN mang l i nhi u l i ich nh v y nh ng b n thân no không th c hi n đ ca ê ơ ư â ư a ư ê ươ

n u không k t h p v i nh ng giao th c đong goi nh m b o m t cho m ngê ê ơ ơ ư ư ằ a â a

VPN. Cac giao th c đong goi đ c chia lam 3 nhom chinh nh sau:ư ươ ư

Cac giao th c ho t đ ng Layer 2: PPTP, L2TP.ư a ô ơ

Cac giao th c ho t đ ng Layer 3: IPSec, GRE, MPLS.ư a ô ơ

Cac giao th c ho t đ ng Layer 4: SSL, TLS.ư a ô ơ

1.1.5.1. Cac giao th c ho t đ ng Layer 2.ư a ô ơ

1.1.5.1.1 PPTP (Point-to-Point Tunneling Protocol)

PPTP la giao th c đ c phat tri n b i Microsoft đ cung c p m t gi i phapư ươ ê ơ ê â ô a

VPN cho nh ng h th ng d a trên n n Windows, ch ng h n Windows 95, 98,ư ê ô ư ê ẳ a

ME, NT, 2000 va XP. M t client co th truy c p đ n m t may ch Microsoftô ê â ê ô ủ

(VPN gateway) cach an toan

PPTP la s k t h p c a hai chu n: PPP (Point-to-Point) – chu n nay đ như ê ơ ủ ẩ ẩ ị

nghĩa qua trinh đong goi goi tin va MPPE (Microsoft Point-to-Point Encryption)

– chu n nay cung c p s b o m t d li u cho PPTP. M t khac, PPTP la s mẩ â ư a â ư ê ặ ư ơ

r ng c a Point-to-Point (PPP), do đo no cung co nh ng tinh năng c a PPP nh :ô ủ ư ủ ư

đong goi nhi u giao th c ch ng h n IP, IPX va NetBEUI thông qua m t kênhê ư ẳ a ô

truy n o (tunnel); h tr kh năng ch ng th c thông qua giao th c PAP,ê a ô ơ a ư ư ư

CHAP va MS-CHAP.

Trong t t c nh ng giao th c tri n khai VPN thi PPTP d cai đ t va kh c ph câ a ư ư ê ễ ặ ă ụ

s c nh t. Thêm vao đo, ph n m m PPTP đ c tich h p trong may tr mư ô â â ê ươ ơ a

(client) Microsoft va chung ta không ph i mua thêm ph n c ng đ thi hanha â ư ê

PPTP. Đi u nay lam gi m chi phi đang k trong qua trinh tri n khai m t VPN.ê a ê ê ô



Tuy nhiên, PPTP h tr ma hoa kha y u va d b t n công. Cac tinh năng đ cô ơ ê ễ ị â ươ

PPP h tr đ u kém b o m t va đ tin c y không cao. Đây la h n ch c aô ơ ê a â ô â a ê ủ

PPTP, va h n ch đo đ c cac giao th c IPSec va SSL kh c ph c t t h n tronga ê ươ ư ă ụ ô ơ

cac l p (layer) trên trong mô hinh OSI.ơ

1.1.5.1.2. L2TP (Layer 2 Tunneling Protocol)

L2TP la s k t h p c a L2F c a Cisco (không còn đ c s d ng) va PPTP c aư ê ơ ủ ủ ươ ư ụ ủ

Microsoft đ cung c p m t gi i phap thay th cho IPSec trong nhi u môiê â ô a ê ê

tr ng k t h p nh Microsoft, Cisco va nh ng môi tr ng khac co th lamươ ê ơ ư ư ươ ê

vi c v i nhau. L2TP gi ng v i PPTP ch dùng Point-to-Point đ đong goiê ơ ô ơ ơ ô ê

nhi u giao th c va cung h tr ch ng th c. Tuy nhiên, cung gi ng nh PPTP,ê ư ô ơ ư ư ô ư

no không m nh b ng c ch b o v c a IPSec Layer 3 ho c SSL Layer 4.a ằ ơ ê a ê ủ ơ ặ ơ

1.1.5.2. Cac giao th c ho t đ ng Layer 3ư a ô ơ

1.1.5.2.1. GRE (Generic Routing Encapsulating)

Giao th c GRE dùng đ đong goi b t ki goi tin nao c a l p network. M t kênhư ê â ủ ơ ô

truy n/ đ ng h m (tunnel) gi a hai site co th đ m b o cho d li u riêng tê ươ â ư ê a a ư ê ư

đ c truy n qua. D li u đo đ c đong goi trong m t GRE delivery header vaoươ ê ư ê ươ ô

goi tin ban đ u.â

B n ch t GRE không b o m t nên no th ng k t h p v i giao th c IPSec đa â a â ươ ê ơ ơ ư ê

tăng tinh b o m t.a â

1.1.5.2.2. MPLS (MultiProtocol Layer Switch)

Không gi ng nh cac m ng VPN truy n th ng, cac m ng MPLS-VPN không sô ư a ê ô a ư

d ng ho t đ ng đong goi va ma hoa goi tin đ đ t đ c m c đ b o m t cao.ụ a ô ê a ươ ư ô a â

MPLS VPN s d ng b ng chuy n ti p va cac nhan “tags” đ t o nên tinh b oư ụ a ê ê ê a a

m t cho m ng VPN. Ki n truc m ng lo i nay s d ng cac tuy n m ng xac đ nhâ a ê a a ư ụ ê a ị



đ phân ph i cac d ch v VPN, va cac c ch x ly thông minh c a MPLS VPNê ô ị ụ ơ ê ư ủ

luc nay n m hoan toan trong ph n lõi c a m ng. Traffic c a b n đ c phânằ â ủ a ủ a ươ

tach riêng trong m ng MPLS. Tuy nhiên, MPLS không gi i quy t đ c v n đa a ê ươ â ê

b o m t n u co s can thi p vao trong qua trinh truy n. Do đo, m t gi i phapa â ê ư ê ê ô a

khac đ kh c ph c đi u nay la s d ng IPSec over MPLS.ê ă ụ ê ư ụ

1.1.5.2.3. IPSec (Internet Protocol Security)

IPSec la giao th c cung c p s tin c y, kh năng b o m t cao trong VPN.ư â ư â a a â

Nh ng tinh năng ma IPSec h tr nh data confidential, data integrity, dataư ô ơ ư

authentication va anti-replay. Đây la nh ng tinh năng h t s c c b n va c t l iư ê ư ơ a ô ô

c a IPSec sẽ đ c đ c p rõ h n trong ph n sau. Chinh vi th IPSec đ c dùngủ ươ ê â ơ â ê ươ

ph bi n trong VPN.ô ê

1.1.5.3. Cac giao th c ho t đ ng Layer 4ư a ô ơ

SSL va TLS v c b n la gi ng nhau. SSL đ c phat tri n đ c i thi n đang kê ơ a ô ươ ê ê a ê ê

hi u qu c a nh ng k t n i đ n web b ng cach ma hoa d li u đ c g iê a ủ ư ê ô ê ằ ư ê ươ ư

(HTTPS). SSL th ng đ c s d ng nh m t gi i phap truy c p t xa trongươ ươ ư ụ ư ô a â ừ

VPN. Tuy nhiên, SSL đ c phat tri n b i Netscape còn TLS thi đ c IETF phatươ ê ơ ươ

tri n. TLS ho t đ ng t ng t SSL 3.0 nh ng khac ch la no b sung thêm vaê a ô ươ ư ư ô ô

h tr m t s thu t toan ma hoa khac. SSL co m t h n ch đo la ch b o vô ơ ô ô â ô a ê i a ê

nh ng ng d ng d a trên web (thông qua m t trinh duy t web), còn nh ngư ư ụ ư ô ê ư

ng d ng khac thi không.ư ư

1.2.1. Công ngh Dynamic Multipoint VPN.ê

1.2.1.1. M c đích tri n khai DMVPNụ ể

Đ hi u DMVPN la gi va t i sao l i s d ng no, đ b t đ u, chung ta xét m tê ê a a ư ụ ê ă â ô

mô hinh VPN s d ng IPSec va GRE.ư ụ



Hinh 1.8 Dynamic Multipoint VPN

Mô hinh m ng c a công ty g m m t site trung tâm (HUB) k t n i đ n cac sitea ủ ồ ô ê ô ê

chi nhanh(ta g i la cac spoke) qua internet. V i vi c s d ng VPN thôngo ơ ê ư ụ

th ng (IPSec + GRE), trên router HUB c n c u hinh 2 tunnel đ n cac routerươ â â ê

spoke.

Nh ng mô hinh trên phat sinh m t s h n ch :ư ô ô a ê

Khi t o tunnel point-to-point, đi u b t bu c la chung ta ph i bi t đ aa ê ă ô a ê ị

ch IP c a ngu n va đich. Do đo, cac Spoke va HUB chung ta ph i thuêi ủ ồ ơ a

nh ng static IP, nh ng h t ng c a Vi t Nam hi n nay, static IP sẽ đ iư ư a â ủ ê ê ô

thêm gia thanh thuê bao.

router HUB, chung ta ph i c u hinh 2 tunnel, 1 cho spokeA va 1 choỞ a â

spokeB. Gi s m ng công ty g m r t nhi u chi nhanh thi trên routera ư a ồ â ê

HUB sẽ ph i c u hinh b y nhi u tunnel. M i tunnel khi đ c t o sẽ coa â â ê ô ươ a



m t c s d li u đi kèm. Nh v y trên router ph i l u tr m t c sô ơ ơ ư ê ư â a ư ư ô ơ ơ

d li u kha l n. Đi u nay d n đ n s tiêu t n b nh va CPU trênư ê ơ ê â ê ư ô ô ơ

router HUB la kha l n. Cho nên router HUB ph i la m t router đ cơ a ô ươ

trang b b nh va CPU m nh, t n kém.ị ô ơ a ô

Khi nhu c u trao đ i d li u gi a cac spoke v i nhau xu t hi n, thi dâ ô ư ê ư ơ â ê ư

li u sẽ đ c route qua hub va route v spoke kia. Cach route nay đôi khiê ươ ê

không hi u qu va t n kém.ê a ô

Nh ng h n ch trên đ c gi i quy t trong DMVPN. V i DMVPN, trên m iư a ê ươ a ê ơ ô

router, ng v i interface WAN sẽ s d ng m t mGRE tunnel (point-to-ư ơ ư ụ ô

multipoint). V i vi c s d ng mGRE sẽ gi i quy t đ c hai h n ch :ơ ê ư ụ a ê ươ a ê

m i spoke, chung ta không c n ph i dùng m t đ a ch tĩnh n a, ma co th sỞ ô â a ô ị i ư ê ư

d ng đ a ch IP đ ng do ISP cung c p. Vi mGRE ch yêu c u xac đ nh đ a chụ ị i ô â i â ị ị i

ngu n, còn đ a ch đich thi sẽ nh m t giao th c khac xac đ nh. Trên routerồ ị i ơ ô ư ị

HUB cung b t bu c ph i la m t đ a ch tĩnh.ă ô a ô ị i

Trên router HUB, bây gi ch c n c u hinh m t tunnel mGRE. N u thêm m tơ i â â ô ê ô

spoke nao n a thi trên HUB cung không c n ph i c u hinh thêm. Đi u nay lamư â a â ê

gi m t i router HUBa a ơ

Tuy nhiên, nh đa noi, n u s d ng mGRE thi vi c đ nh đ a ch đich sẽ nh vaoư ê ư ụ ê ị ị i ơ

m t giao th c khac, đo la NHRP.ô ư

Nh v y, vi c s d ng DMVPN đem l i nhi u thu n l i h n so v i VPN thôngư â ê ư ụ a ê â ơ ơ ơ

th ng.ươ

1.2.1.2. Khai ni m DMVPN.ê

Dynamic Multipoint Virtual Private Network (DMVPN) la s k t h p c a cacư ê ơ ủ

công ngh : IPSec, mGRE va NHRP.ê



IPSec: Ma hoa d li u, cung c p nh ng tinh năng ch ng th c va toanư ê â ư ư ư

v n d li u.ẹ ư ê

GRE: Thi t l p nh ng “đ ng h m” (tunnel) cho phép đong goi b t kiê â ư ươ â â

goi tin nao c a l p network. Ngoai ra GRE còn co th đ nh tuy n trênủ ơ ê ị ê

tunnel.

NHRP: Giao th c dùng đ anh x đ a ch tunnel sang đ a ch trên c ngư ê a ị i ị i ô

v t li c a Router. No gi i quy t đ c v n đ cac spoke co th s d ngâ ủ a ê ươ â ê ê ư ụ

đ a ch IP đ c c p đ ng b i ISP.ị i ươ â ô ơ

Cac công ngh nay k t h p l i cho phép tri n khai IPSec trong DMVPN m tê ê ơ a ê ô

cach d dang, linh đ ng va an toan.ễ ô

1.2.1.3. Uu đi m c a DMVPN so v i VPN thông th ngể u ơ ươ

DMVPN cho phép m r ng nh ng m ng IPSec VPN. Ngoai ra no còn co m t sơ ô ư a ô ô

thu n l i nh sau:â ơ ư

Gi m đ ph c t p khi c u hinh trên router hub ma no cung c p kha ô ư a â â a

năng thêm nhi u kênh m t cach t đ ng ma không đ ng đ n c uê ô ư ô ụ ê â

hinh c a hub.ủ

B o đ m cac packet đ c ma hoa khi truy n đia a ươ ê

H tr nhi u giao th c đ nh tuy n đ ng ch y trên DMVPN tunnelsô ơ ê ư ị ê ô a

Kh năng thi t l p đ ng va tr c ti p gi a cac kênh spoke-to-spokea ê â ô ư ê ư

IPSec gi a cac site ma không c n thông qua hub (nh mGRE vaư â ơ

NHRP)

H tr cac spoke router v i nh ng đ a ch IP v t ly đ ng (đ c c pô ơ ơ ư ị i â ô ươ â

b i ISP)ơ


CHƯƠNG 2 NÊN TẢNG CUA CÔNG NGHÊ DMVPN

CHƯƠNG 2 : NÊN TẢNG CỦA CÔNG NGH DMVPN.Ê

2.1. Giao thưc IP security(IPSec)

2.1.1. Khái ni m IPSec.ê

IPSec (Internet Protocol Security) la m t giao th c đ c IETF phat tri n. IPSecô ư ươ ê

đ c đ nh nghĩa la m t giao th c trong t ng m ng cung c p cac d ch v b oươ ị ô ư â a â ị ụ a

m t, ch ng th c, toan v n d li u va đi u khi n truy c p. No la m t t p h pâ ư ư ẹ ư ê ê ê â ô â ơ

cac tiêu chu n m lam vi c cùng nhau gi a cac ph n thi t b .ẩ ơ ê ư â ê ị

M t cach chung nh t, IPSec cho phép m t đ ng ng m b o m t thi t l p gi aô â ô ươ â a â ê â ư

hai m ng riêng va ch ng th c hai đ u c a đ ng ng m nay. Cac thi t b gi aa ư ư â ủ ươ â ê ị ư

hai đ u đ ng ng m co th la m t c p host, ho c m t c p c ng b o m t (coâ ươ â ê ô ặ ặ ô ặ ô a â

th la router, firewall, b t p trung VPN) ho c m t c p thi t b g m m t hostê ô â ặ ô ặ ê ị ồ ô

va m t c ng b o m t. Đ ng ng m đong vai trò la m t kênh truy n b o m tô ô a â ươ â ô ê a â

gi a hai đ u va cac goi d li u yêu c u an toan đ c truy n trên đo. IPSecư â ư ê â ươ ê

cung th c hi n đong goi d li u cac thông tin đ thi t l p, duy tr va h y bư ê ư ê ê ê â i ủ ỏ

kênh truy n khi không dùng đ n n a. Cac goi tin truy n trong đ ng ng m coê ê ư ê ươ â

khuôn d ng gi ng nh cac goi tin binh th ng khac va không lam thay đ i caca ô ư ươ ô

thi t b , ki n truc cung nh nh ng ng d ng hi n co trên m ng trung gian,ê ị ê ư ư ư ụ ê a

qua đo cho phép gi m đang k chi phi đ tri n khai va qu n ly.a ê ê ê a

IPSec co hai c ch c b n đ đ m b o an toan d li u đo la AHơ ê ơ a ê a a ư ê

(Authentication Header) va ESP (Encapsulating Security Payload).

AH cho phép xac th c ngu n g c d li u, ki m tra tinh toan v n d li uư ồ ô ư ê ê ẹ ư ê

va d ch v tùy ch n ch ng phat l i c a cac goi IP truy n gi a hai hị ụ o ô a ủ ê ư ê

th ng.ô

ESP la m t giao th c cung c p tinh an toan c a cac goi tin đ c truy n.ô ư â ủ ươ ê



IPSec co th s d ng giao th c IKE (Internet Key Exchange) đ xac th c haiê ư ụ ư ê ư

phia va lam giao th c th ng l ng cac chinh sach b o m t va nh n th cư ươ ươ a â â ư

thông qua vi c xac đ nh thu t toan đ c dùng đ thi t l p kênh truy n, traoê ị â ươ ê ê â ê

đ i khoa cho m i phiên k t n i, dùng trong m i phiên truy c p.ô ô ê ô ô â

2.1.2. Đóng gói thông tin c a c a IPSec.u u

2.1.2.1. Cac ki u s d ng.ể ư ụ

IPSec co hai ki u cung c p ch ng th c va ma hoa m c cao đ th c hi n đongê â ư ư ư ê ư ê

goi thông tin, đo la ki u Transport (truy n t i) va ki u Tunnel (đ ng ng m).ê ê a ê ươ â

Ta sẽ xét đ n hai ki u nay tr c khi tim hi u v cac giao th c AH va ESP.ê ê ươ ê ê ư

2.1.2.1.1. Ki u Transport.ê

Trong ki u nay, v n đ an ninh đ c cung c p b i cac giao th c l p cao h nê â ê ươ â ơ ư ơ ơ

(t l p 4 tr lên). Ki u nay b o v ph n t i tin c a goi nh ng v n đ ph n IPừ ơ ơ ê a ê â a ủ ư â ê â

header ban đ u d ng b n rõ. Đ a ch IP ban đ u đ c s d ng đ đ nhâ ơ a a ị i â ươ ư ụ ê ị

tuy n goi qua Internet.ê

Hinh 2.1. Goi tin IP ơ kiêu Transport

Ki u Transport co u đi m la ch thêm vao goi IP ban đ u m t s it byte.ê ư ê i â ô ô

Nh c đi m la ki u nay cho phép cac thi t b trong m ng nhin th y đ a chươ ê ê ê ị a â ị i

ngu n va đich c a goi tin va co th th c hi n m t s x ly (vi d nh phânồ ủ ê ư ê ô ô ư ụ ư



tich l u l ng) d a trên cac thông tin c a IP header. Tuy nhiên n u đ c maư ươ ư ủ ê ươ

hoa b i ESP thi sẽ không bi t đ c d li u c th bên trong goi IP la gi. Theoơ ê ươ ư ê ụ ê

nh IETF thi ki u Transport ch co th đ c s d ng khi hai h th ng đ uư ê i ê ươ ư ụ ê ô â

cu i IP-VPN co th c hi n IPSec.ô ư ê

2.1.2.1.2. Ki u Tunnel.ê

Ki u nay b o v toan b goi IP. Goi IP ban đ u (bao g m c IP header) đ cê a ê ô â ồ a ươ

xac th c ho c ma hoa. Sau đo, goi IP đa đ c ma hoa đ c đong goi vao m t IPư ặ ươ ươ ô

header m i. Đ a ch IP bên ngoai đ c s d ng cho đ nh tuy n goi IP truy nơ ị i ươ ư ụ ị ê ê

qua Internet.

Hinh 2. 2. Gói tin IP ki u Tunnelơ ê

Trong ki u Tunnel, toan b goi IP ban đ u đ c đong goi va tr thanh Payloadê ô â ươ ơ

c a goi IP m i. Ki u nay cho phép cac thi t b m ng nh router th c hi n xủ ơ ê ê ị a ư ư ê ư

ly IPSec thay cho cac tr m cu i (host).a ô

2.1.2.2. Giao th c tiêu đ xac th c(AH).ư ề ự

2.1.2.2.1. Gi i thi u.ơ ê

Giao th c AH (Authentication Header) đ c đ nh nghĩa trong RFC 1826 va sauư ươ ị

đo la phat tri n l i trong RFC 2402. AH cung c p xac th c ngu n g c d li uê a â ư ồ ô ư ê



(data origin authentication), ki m tra tinh toan v n d li u (data integrity), vaê ẹ ư ê

d ch v ch ng phat l i (anti-replay service). ị ụ ô a

Đ n đây, c n ph i phân bi t đ c hai khai ni m toan v n d li u va ch ngê â a ê ươ ê ẹ ư ê ô

phat l i: a

Toan v n d li u la ki m tra nh ng thay đ i c a t ng goi tin IP, khôngẹ ư ê ê ư ô ủ ừ

quan tâm đ n v tri cac goi trong lu ng l u l ng. ê ị ồ ư ươ

Còn d ch v ch ng phat l i la ki m tra s phat l p l i m t goi tin t i đ aị ụ ô a ê ư ặ a ô ơ ị

ch đich nhi u h n m t l n. i ê ơ ô â

AH cho phép xac th c cac tr ng c a IP header cung nh d li u c a cac giaoư ươ ủ ư ư ê ủ

th c l p trên, tuy nhiên do m t s tr ng c a IP header thay đ i trong khiư ơ ô ô ươ ủ ô

truy n va phia phat co th không d đoan tr c đ c gia tr c a chung khi t iê ê ư ươ ươ ị ủ ơ

phia thu, do đo gia tr c a cac tr ng nay không b o v đ c b ng AH. ị ủ ươ a ê ươ ằ

AH ch b o v m t ph n c a IP header. AH không cung c p b t c x ly naoi a ê ô â ủ â â ư ư

v b o m t d li u c a cac l p trên, t t c đ u đ c truy n d i d ng vănê a â ư ê ủ ơ â a ê ươ ê ươ a

b n rõ. AH nhanh h n ESP, nên co th ch n AH trong tr ng h p ch c ch na ơ ê o ươ ơ ă ă

v ngu n g c va tinh toan v n c a d li u nh ng tinh b o m t d li u khôngê ồ ô ẹ ủ ư ê ư a â ư ê

c n đ c ch c ch n.â ươ ă ă

2.1.2.2.2. C u truc goi tin AH.â

Cac thi t b s d ng AH sẽ chèn m t tiêu đ vao gi a l u l ng c n quan tâmê ị ư ụ ô ê ư ư ươ â

c a IP datagram, gi a ph n IP header va header l p 4. B i vi AH đ c liênủ ơ ư â ơ ơ ươ

k t v i IPSec,VPN co th đ nh d ng đ ch n l u l ng nao c n đ c an toanê ơ ê ị a ê o ư ươ â ươ

va l u l ng nao không c n ph i s d ng gi i phap an toan gi a cac bên. Viư ươ â a ư ụ a ư

d nh ta co th ch n đ x ly l u l ng email nh ng không đ i v i cac d chụ ư ê o ê ư ư ươ ư ô ơ ị

v web.ụ



Hinh 2.3. C u trúc tiêu đ AH cho IPSecấ ê

Y nghĩa cac tr ng trong AH header:ươ

Next Header (tiêu đ ti p theo) Co đ dai 8 bit đ nh n d ng lo i dê ê ô ê â a a ư

li u c a ph n t i tin theo sau AH. Gia tr nay đ c ch n l a t t p cacê ủ â a ị ươ o ư ừ â

s giao th c IP đa đ c đ nh nghĩa trong cac RFC g n đây nh t.ô ư ươ ị â â

Payload length (đ dai t i tin): Co đ dai 8 bit va ch a đ dai c a tiêu đô a ô ư ô ủ ê

AH đ c di n t trong cac t 32 bit, tr 2. Vi d trong tr ng h p c aươ ễ a ừ ừ ụ ươ ơ ủ

thu t toan toan v n ma mang l i m t gia tr xac minh 96 bit (3x32 bit),â ẹ a ô ị

c ng v i 3 t 32 bit đ. c đ nh, tr ng đ dai nay co gia tr la 4. V i IPv6,ô ơ ừ ô ị ươ ô ị ơ

t ng đ dai c a tiêu đ ph i la b i c a cac kh i 8.ô ô ủ ê a ô ủ ô

Reserved (d tr ): Tr ng 16 bit nay d tr cho ng d ng trong t ngư ư ươ ư ư ư ụ ươ

lai.

Security Parameters Index (SPI: ch d n thông s an ninh): Tr ng nayi â ô ươ

co đ dai 32 bit, mang tinh ch t b t bu c.ô â ă ô

Sequence Number (s th t ): Đây la tr ng 32 bit không đanh d uô ư ư ươ â

ch a m t gia tr ma khi m i goi đ c g i đi thi tăng m t l n. Tr ngư ô ị ô ươ ư ô â ươ

nay co tinh b t bu c. Bên g i luôn luôn bao g m tr ng nay ngay c khiă ô ư ồ ươ a

bên nh n không s d ng d ch v ch ng phat l i. B đ m bên g i vaâ ư ụ ị ụ ô a ô ê ư

nh n đ c kh i t o ban đ u la 0, goi đ u tiên co s th t la 1. N uâ ươ ơ a â â ô ư ư ê

d ch v ch ng phat l i đ c s d ng, ch s nay không th l p l i, sẽ coị ụ ô a ươ ư ụ i ô ê ặ a



m t yêu c u k t thuc phiên truy n thông va SA sẽ đ c thi t l p m iô â ê ê ươ ê â ơ

tr l i tr c khi truy n 2ơ a ươ ê 32 goi m i.ơ

Authentication Data (d li u ch ng th c): Còn đ c g i la ICV (Integrityư ê ư ư ươ o

Check Value: gia tr ki m tra tinh toan v n) co đ dai thay đ i, b ng sị ê ẹ ô ô ằ ô

nguyên l n c a 32 bit đ i v i IPv4 va 64 bit đ i v i IPv6, va co th ch aâ ủ ô ơ ô ơ ê ư

đ m đ l p đ y cho đ la b i s cac bit nh trên.ê ê â â ủ ô ô ư

2.1.2.2.3. Qua trinh x ly AH.ư

Ho t đ ng c a AH đ c th c hi n qua cac b c nh sau:a ô ủ ươ ư ê ươ ư

B c 1: Toan b goi IP (bao g m IP header va t i tin) đ c th c hi n qua m tươ ô ồ a ươ ư ê ô

ham băm m t chi u.ô ê

B c 2: Ma hash thu đ c dùng đ xây d ng m t AH header, đ a header nayươ ươ ê ư ô ư

vao goi d li u ban đ u.ư ê â

B c 3: Goi d li u sau khi thêm AH header đ c truy n t i đ i tac IPSec.ươ ư ê ươ ê ơ ô

B c 4: Bên thu th c hi n ham băm v i IP header va t i tin, k t qu thu đ cươ ư ê ơ a ê a ươ

m t ma hash.ô

B c 5: Bên thu tach ma hash trong AH header.ươ

B c 6: Bên thu so sanh ma hash ma no tinh đ c ma ma hash tach ra t AHươ ươ ừ

header. Hai ma hash nay ph i hoan toan gi ng nhau. N u khac nhau ch m ta ô ê i ô

bit trong qua trinh truy n thi 2 ma hash sẽ không gi ng nhau, bên thu l p t cê ô â ư

phat hi n tinh không toan v n c a d li u.ê ẹ ủ ư ê

AH co hai ki u ho t đ ng, đo la ki u Transport va ki u Tunnel. ê a ô ê ê



Ki u Transport la ki u đ u tiên đ c s d ng cho k t n i đ u cu i gi a cacê ê â ươ ư ụ ê ô â ô ư

host ho c cac thi t b ho t đ ng nh host va ki u Tunnel đ c s d ng choặ ê ị a ô ư ê ươ ư ụ

cac ng d ng còn l i.ư ụ a

2.1.2.2.3.1. Mode Transport

ki u Transport cho phép b o v cac giao th c l p trên, cùng v i m t sỞ ê a ê ư ơ ơ ô ô

tr ng trong IP header. Trong ki u nay, AH đ c chèn vao sau IP header vaươ ê ươ

tr c m t giao th c l p trên (ch ng h n nh TCP, UDP, ICMP…) va tr c cacươ ô ư ơ ẳ a ư ươ

IPSec header đa đ c chen vao. Đ i v i IPv4, AH đ t sau IP header va tr cươ ô ơ ặ ươ

giao th c l p trên (vi d đây la TCP). Đ i v i IPv6, AH đ c xem nh ph nư ơ ụ ơ ô ơ ươ ư â

t i đ u cu i-t i - đ u cu i, nên sẽ xu t hi n sau cac ph n header m r nga â ô ơ â ô â ê â ơ ô

hop-to-hop, routing va fragmentation. Cac l a ch n đich(dest optionsư o

extension headers) co th tr c ho c sau AH.ê ươ ặ

Hinh 2.4. Khuôn d ng IPv4 tr c và sau khi x ly AH ki u Transportạ ướ ư ơ ê



Hinh 2.5. Khuôn d ng IPv6 tr c và sau khi x ly AH ki u Transportạ ướ ư ơ ê

2.1.2.2.3.1. Mode Tunnel.

Trong ki u Tunnel, inner IP header mang đ a ch ngu n va đich cu i cùng, cònê ị i ồ ô

outer IP header mang đ a ch đ đ nh tuy n qua Internet. Trong ki u nay, AHị i ê ị ê ê

b o v toan b goi tin IP bên trong, bao g m c inner IP header (trong khi AHa ê ô ồ a

Transport ch b o v m t s tr ng c a IP header). So v i outer IP header thii a ê ô ô ươ ủ ơ

v tri c a AH gi ng nh trong ki u Trasport.ị ủ ô ư ê

Hinh 2.6. Khuôn d ng gói tin đa x ly AH ki u Tunnelạ ư ơ ê



2.1.2.3. Giao th c đóng gói an toàn t i tin ESPư ả

2.1.2.3.1. Gi i thi u.ơ ê

ESP đ c đ nh nghĩa trong RFC 1827 va sau đo đ c phat tri n thanh RFCươ ị ươ ê

2408. Cung nh AH, giao th c nay đ c phat tri n hoan toan cho IPSec. Giaoư ư ươ ê

th c nay cung c p tinh bi m t d li u b ng vi c ma hoa cac goi tin. Thêm vaoư â â ư ê ằ ê

đo, ESP cung cung c p ch ng th c ngu n g c d li u, ki m tra tinh toan v nâ ư ư ồ ô ư ê ê ẹ

d li u, d ch v ch ng phat l i va m t s gi i h n v lu ng l u l ng c n b oư ê ị ụ ô a ô ô ơ a ê ồ ư ươ â a

m t.â

2.1.2.3.2. C u truc goi tin ESP.â

Ho t đ ng c a ESP khac h n so v i AH. Nh ng y trong tên g i, ESP đong goia ô ủ ơ ơ ư ụ o

t t c ho c m t ph n d li u g c. Do kh năng b o m t d li u nên xu h ngâ a ặ ô â ư ê ô a a â ư ê ươ

ESP đ c s d ng r ng rai h n AH. Ph n header c a giao th c n m ngayươ ư ụ ô ơ â ủ ư ằ

tr c ESP header co gia tr 51 trong tr ng protocol c a no. Hinh d i di n tươ ị ươ ủ ươ ễ a

qua trinh x ly đong goi:ư

Hinh 2.7. X ly đóng gói ESPư



Hinh 2.8. Khuôn d ng gói ESPạ

Sau đây sẽ đ nh nghĩa cac tr ng trong ESP. Cac tr ng nay co th la tùy ch nị ươ ươ ê o

hay b t bu c. Vi c l a ch n m t tr ng tùy ch n đ c đ nh nghĩa trong quaă ô ê ư o ô ươ o ươ ị

trinh thi t l p k t h p an ninh. Nh vây, khuôn d ng ESP đ i v i SA nao đo laê â ê ơ ư a ô ơ

c đ nh trong kho ng th i gian t n t i c a SA đo. Còn cac tr ng b t bu cô ị a ơ ồ a ủ ươ ă ô

luôn co m t trong t t c cac goi ESP.ặ â a

SPI (ch d n thông s an ninh): La m t s b t ky 32 bit, cùng v i đ a chi â ô ô ô â ơ ị i

IP đich va giao th c an ninh ESP cho phép nh n d ng duy nh t SA choư â a â

goi d li u nay. Cac gia tr SPI t 0 t i 255 đ c danh riêng đ s d ngư ê ị ừ ơ ươ ê ư ụ

trong t ng lai. SPI th ng đ c ch n l a b i phia thu khi thi t l p SA.ươ ươ ươ o ư ơ ê â

SPI la tr ng b t bu c.ươ ă ô

Sequence Number (s th t ): T ng t nh tr ng s th t c a AHô ư ư ươ ư ư ươ ô ư ư ủ

Payload Data (tr ng d li u t i tin): Đây la tr ng b t bu c. No baoươ ư ê a ươ ă ô

g m m t s l ng bi n đ i cac byte d li u g c ho c m t ph n d li uồ ô ô ươ ê ô ư ê ô ặ ô â ư ê

yêu c u b o m t đa đ c mô t trong tr ng Next Header. Tr ng nayâ a â ươ a ươ ươ

đ c ma hoa cùng v i thu t toan ma hoa đa ch n l a trong su t quaươ ơ â o ư ô

trinh thi t l p SA.ê â

Padding (0 t i 255 bytes): Co nhi u nguyên nhân d n đ n s co m tơ ê â ê ư ặ

c a tr ng nay:ủ ươ



- N u thu t toan ma hoa đ c s d ng yêu c u b n rõ (plaintext)ê â ươ ư ụ â a

ph i la s nguyên l n kh i cac byte (vi d tr ng h p ma hoaa ô â ô ụ ươ ơ

kh i) thi Padding đ c s d ng đ đi n đ y vao plaintext (baoô ươ ư ụ ê ê â

g m Payload Data, Pad Length, Next Header va Padding) co kichồ

th c theo yêu c u.ươ â

- Padding cung c n thi t đ đ m b o ph n d li u m t maâ ê ê a a â ư ê â

(ciphertext) sẽ k t thuc biên gi i 4 byte đ phân bi t rõ rangê ơ ơ ê ê

v i tr ng Authentication Data.ơ ươ

- Ngoai ra, Padding còn co th s d ng đ che d u đ dai th c c aê ư ụ ê â ô ư ủ

Payload, tuy nhiên m c đich nay c n ph i đ c cân nh c vi noụ â a ươ ă

nh h ng t i băng t n truy n d n.a ươ ơ â ê â

Pad length (đ dai tr ng đ m): Tr ng nay xac đ nh s byte Paddingô ươ ê ươ ị ô

đ c thêm vao. Cac gia tr phù h p la 0 t i 255 bytes, Pad length laươ ị ơ ơ

tr ng b t bu c.ươ ă ô

Next Header (tiêu đ ti p theo): Tr ng nay dai 8 bit, xac đ nh ki u dê ê ươ ị ê ư

li u ch a trong Payload Data, vi d m t extension header trong IPv6,ê ư ụ ô

ho c nh n d ng c a m t giao th c l p trên khac. Gia tr c a tr ng nayặ â a ủ ô ư ơ ị ủ ươ

đ c l a ch n t t p cac gia tr IP Protocol Number đ nh nghĩa b iươ ư o ừ â ị ị ơ

IANA. Next Header la tr ng b t bu c.ươ ă ô

Authentication Data (d li u nh n th c): Tr ng co đ dai bi n đ iư ê â ư ươ ô ê ô

ch a m t gia tr ki m tra tinh toan v n ICV tinh trên d li u c a toanư ô ị ê ẹ ư ê ủ

b goi ESP tr tr ng Authentication Data. Đ dai c a tr ng nay phô ừ ươ ô ủ ươ ụ

thu c vao thu t toan xac th c đ c s d ng. Tr ng nay la tùy ch n, vaô â ư ươ ư ụ ươ o

ch đ c thêm vao n u d ch v xac th c đ c l a ch n cho SA đang xét.i ươ ê ị ụ ư ươ ư o

Thu t toan xac th c ph i ch ra đ dai ICV va cac b c x ly cung nhâ ư a i ô ươ ư ư

cac lu t so sanh c n th c hi n đ ki m tra tinh toan v n c a goi tin.â â ư ê ê ê ẹ ủ

2.1.2.3.3. Qua trinh x ly ESP.ư

ESP co hai ki u ho t đ ng, đo la ki u Transport va ki u Tunnel.ê a ô ê ê



2.1.2.3.3.1. Mode Transport.

Ki u Transport cho phép b o v cac giao th c l p trên, nh ng không b o vê a ê ư ơ ư a ê

IP header. Trong ki u nay, ESP đ c chèn vao sau m t IP header va tr c m tê ươ ô ươ ô

giao th c l p trên (ch ng h n TCP, UDP hay ICMP…) va tr c IPSec header đaư ơ ẳ a ươ

đ c chèn vao.ươ

Đ i v i IPv4, ESP header đ t sau IP header va tr c giao th c l p trên (vi d ô ơ ặ ươ ư ơ ụ ơ

đây la TCP). ESP trailer bao g m cac tr ng Padding, Pad length, va Nextồ ươ

Header. Đ i v i IPv6, ESP đ c xem nh ph n t i đ u cu i-t i - đ u cu i, nênô ơ ươ ư â a â ô ơ â ô

sẽ xu t hi n sau ph n header m r ng hop-to-hop, routing va fragmentation.â ê â ơ ô

Cac l a ch n đich (dest options extention headers) co th tr c ho c sau ESPư o ê ươ ặ

header. Tuy nhiên, do ESP ch b o v cac tr ng phia sau ESP header, nên caci a ê ươ

l a ch n đich th ng đ c đ t sau ESP header. Chi ti t v IPv6 co th xemư o ươ ươ ặ ê ê ê

trong RFC 1883.

Hinh 2.9. Khuôn d ng IPv4 tr c và sau khi x ly ESP mode Transportạ ướ ư ơ



Hinh 2.10. Khuôn d ng IPv6 tr c và sau khi x ly ESP mode Transportạ ướ ư ơ

2.1.2.3.3.2. Mode Tunnel.

Trong ki u Tunnel, inner IP header mang đ a ch ngu n va đich cu i cùng, cònê ị i ồ ô

outer IP header m ng đ a ch đ đ nh tuy n qua Internet. Trong ki u nay, ESPa ị i ê ị ê ê

sẽ b o v toan b goi tin IP bên trong, bao g m c inner IP header. So v ia ê ô ồ a ơ

outer IP header thi v tri c a ESP gi ng nh ki u Transport.ị ủ ô ư ê

Hinh 2.11. Khuôn d ng gói tin đ c x ly ESP mode Tunnelạ ươ ư ơ



2.1.3. IKE

2.1.3.1. Cac giao th c IKE.ư

IKE la giao th c trao đ i đ ng cac tham s b o m t va qu n ly khoa (key)ư ô ô ô a â a

trong IPSec. Tuy nhiên, IKE cung s d ng nh ng giao th c khac đ th c hi nư ụ ư ư ê ư ê

vi c ch ng th c va trao đ i key:ê ư ư ô

ISAKMP (The Internet Security Association and Key Management

Protocol): Giao th c th a thu n cac tham s b o m t: thi t l p nh thư ỏ â ô a â ê â ư ê

nao? Th ng l ng ra sao? Ma hoa b ng thu t toan gi?... T t c cacươ ươ ằ â â a

tham s đo đ c x li thông qua ISAKMP. ISAKMP ch th c hi n vi cô ươ ư i ư ê ê

ch ng th c cac thi t b ngang hang (peer) nh ng không trao đ i key.ư ư ê ị ư ô

Oakley: Giao th c nay s d ng thu t toan Diffie-Hellman (DH) đ qu nư ư ụ â ê a

li vi c trao đ i key thông qua cac SA. DH cho phép hai đi m cu i co thê ô ê ô ê

trao đ i key trong m t kênh truy n không an toan.ô ô ê

2.1.3.2. Cac phase c a IKEu

IKE đ c chia thanh hai phase, m i phase t o ra m t kênh an toan gi a haiươ ô a ô ư

đi m. Hai phase nay la b t bu c ph i co, tuy nhiên co m t phase th ba tùyê ă ô a ô ư

ch n (g i la phase 1.5). C ba phase nay đ c mô t trong hinh sau:o o a ươ a



Hinh 2.12. IPSec phases

IKE phase 1: Phase b t bu c. Phase 1 th c hi n vi c th a thu n cacă ô ư ê ê ỏ â

tham s b o m t, ch ng h n:ô a â ẳ a

- Thu t toan ma hoa (DES, 3DES, AES)â

- Thu t toan băm (hash) (MD5, SHA-1)â

- Ph ng phap ch ng th c (pre-shared key, RSA)ươ ư ư

- Nhom khoa Diffie-Hellman

Co hai mode trong phase 1: Main mode va Aggressive mode. Trong khi

Main mode s d ng 6 message đ th a thu n thi Aggressive ch dùng 3.ư ụ ê ỏ â i

Sau khi cac tham s nay đ c th a thu n xong sẽ t o ra m t IKE SA (SAô ươ ỏ â a ô

la t p ch a nh ng tham s b o m t đa đ c th a thu n). IKE SA nay laâ ư ư ô a â ươ ỏ â

ti n đ đ Phase 2 thi t l p kênh truy n b o m t.ê ê ê ê â ê a â

IKE phase 1.5: Phase tùy ch n. Phase nay cung th c hi n vi c ch ngo ư ê ê ư

th c b ng cach dùng Xauth (Extended Authentication). Phase 1 ch ngư ằ ư

th c thi t b đ u cu i hai bên nh ng không ch ng th c nh ng user sauư ê ị â ô ư ư ư ư

no. Xauth b t bu c cac user ph i ch ng th c tr c khi mu n thi t l pă ô a ư ư ươ ô ê â

m t k t n i đ n thi t b ngang hang (peer) khac. ô ê ô ê ê ị



IKE phase 2: Phase b t bu c. Phase 2 s d ng nh ng tham s đa đ că ô ư ụ ư ô ươ

th a thu n phase 1 đ t o ra nh ng IPSec SA. Phase 2 s d ng IKEỏ â ơ ê a ư ư ụ

quick mode đ th c hi n vi c th a thu n. Phase 2 s d ng IKE SA ê ư ê ê ỏ â ư ụ ơ

phase 1 đ t o ra IPSec SA (IPSec SA la nh ng tham s đ th c hi nê a ư ô ê ư ê

vi c ma hoa, đong goi d li u,...)ê ư ê

2.1.3.3. Cac ch đ IKEế ô

Main mode

Main mode s d ng 6 thông đi p đ th c hi n vi c trao đ i gi a cac thi t bư ụ ê ê ư ê ê ô ư ê ị

ngang hang (peer). Chung ta ch ch n m t trong hai đ s d ng cùng m ti o ô ê ư ụ ơ ô

th i đi m. N u Main mode đ c s d ng thi Aggressive không đ c va ng cơ ê ê ươ ư ụ ươ ươ

l i. 6 thông đi p trong Main mode đ c chia lam 3 c p nh sau:a ê ươ ặ ư

2 thông đi p đ u dùng đ thi t l p nh ng tham s b o m t va chinhê â ê ê â ư ô a â

sach b o m t.a â

2 thông đi p ti p theo dùng đ trao đ i khoa Diffie-Hellman (đây laê ê ê ô

nh ng public keyư

2 thông đi p cu i dùng đ ch ng th c gi a hai thi t v i nhau. ê ô ê ư ư ư ê ơ

Aggressive mode

Aggressive mode la s rut g n c a Main mode. N u Aggressive mode đ cư o ủ ê ươ

ch n, no sẽ s d ng 3 thông đi p (6 goi tin trong Main mode đ c rut g no ư ụ ê ươ o

thanh 3):

Bên g i: G i t t c d li u, bao g m nh ng tham s IPSec, chinh sachơ ơ â a ư ê ồ ư ô

b o m t va nh ng khoa Diffie-Hellman.a â ư

Bên nh n: Sẽ ch ng th c goi tin trên va g i ph n h i l i cho bên g iâ ư ư ư a ồ a ư

nh ng tham s đ ngh tr c đo.ư ô ê ị ươ

Bên g i: Ch ng th c goi tin nay.ư ư ư



Quick mode

Đ c th c hi n sau Main mode ho c Aggresive Mode c a Phase 1. Phase 2 sẽươ ư ê ặ ủ

s d ng nh ng tham s b o m t đa th a thu n phase 1, cung đ ti n hanhư ụ ư ô a â ỏ â ơ ê ê

nh ng trao đ i đ th c hi n vi c ma hoa d li u. Sau khi th a thu n thanhư ô ê ư ê ê ư ê ỏ â

công no sẽ t o ra m t IPSec SA. Cac tham s dùng đ th a thu n trong Quicka ô ô ê ỏ â

mode phase 2:ơ

Giao th c IPSec: AH ho c ESPư ặ

IPSec mode: Transport ho c Tunnelặ

IPSec SA lifetime: Th i gian t n t i c a m t SA trong c s d li u SA.ơ ồ a ủ ô ơ ơ ư ê

Sau th i gian liftetime nay, cac IPSec SA đ c th a thu n l i.ơ ươ ỏ â a

Trao đ i khoa Diffie-Hellman.ô

L u y:ư IPSec SA c a phase 2 hoan toan khac so v i IKE SA phase 1. IKE SA ủ ơ ơ ơ

phase 1 la t p cac tham s t o nên kênh truy n an toan, còn IPSec SA c aâ ô a ê ủ

phase 2 la t p nh ng tham s dùng đ đong goi d li u theo AH ho c ESP,â ư ô ê ư ê ặ

truy n theo Transport hay Tunnel mode,...ê

2.1.3.4. Nh ng tính năng khac c a IKEữ u

IKE ngoai vi c th c hi n th a thu n va trao đ i khoa, no còn m t s ch cê ư ê ỏ â ô ô ô ư

năng quan tr ng khac dùng đ duy tri k t n i IPSec. Nh ng ch c năng đo baoo ê ê ô ư ư

g m:ồ

DPD (Dead Peer detection): Tinh năng nay dùng đ phat hi n thi t bê ê ê ị

kia co còn liên l c đ c hay không b ng cach đ nh ki g i cac goi tina ươ ằ ị ư

keepalive (ho c hello), m c đ nh la 10 giây/l n. Do đo d phat hi n m tặ ặ ị â ễ ê ô

cach nhanh chong s m t k t n i.ư â ê ô

NAT traversal: La tinh năng cho phép gi i quy t cac v n đ liên quana ê â ê

đ n NAT/PAT trên đ ng truy n. ê ươ ê



Mode configuration: IKE mode configuration đ n gi n la vi c “đ y” t tơ a ê ẩ â

c nh ng thu c tinh đa đ c c u hinh đ n client t xa. Ch ng h n, đ aa ư ô ươ â ê ừ ẳ a ị

ch IP, DNS va NetBIOS server. i

Xauth: Ch ng th c m t user trong m t k t n i IPSec. L u y la khôngư ư ô ô ê ô ư

ch ng th c thi t b . Xauth thêm vao m t tr ng (field) dùng đ ch ngư ư ê ị ô ươ ê ư

th c: username/password, CHAP (Challenge Handshake Authenticationư

Protocol), OTP (one-time password) ho c m t S/KEY (secure key).ặ ô

2.2. Giao thưc Generic Routing Encapsulation(GRE).

2.2.1. Gi i thi uớ ê

GRE (Generic Routing Encapsulation) la giao th c đ c Cisco phat tri n v iư ươ ê ơ

m c đich đ mang cac giao th c khac đa đ c đ nh tuy n thông qua m ng IP.ụ ê ư ươ ị ê a

Đ tranh s ph c t p c a m t m ng ch y v i nhi u giao th c, nha qu n trê ư ư a ủ ô a a ơ ê ư a ị

th ng ch cho giao th c IP ch y tr c chinh. Còn nh ng giao th c nh IPX,ươ i ư a ơ ụ ư ư ư

AppleTalk đ c truy n qua tr c chinh thông qua giao th c GRE.ươ ê ụ ư

Cung gi ng nh trong ch đ tunnel c a IPSec, GRE thêm m t GRE header m iô ư ê ô ủ ô ơ

vao goi tin. Sau đo goi tin đ c truy n qua m ng IP va ch header ngoai cùngươ ê a i

đ c s d ng đ đ nh tuy n. M i l n goi tin GRE đi đ n đich, l n l t cacươ ư ụ ê ị ê ô â ê â ươ

header ngoai cùng sẽ đ c g b cho đ n khi goi tin ban đ u đ c m ra.ươ ỡ ỏ ê â ươ ơ

Ngay nay, nh ng m ng s d ng nhi u giao th c không còn n a vi no gây ra sư a ư ụ ê ư ư ư

kho khăn trong vi c c u hinh va kh c ph c s c . ê â ă ụ ư ô

B n thân GRE không b o m t, nên no cung it đ c s d ng. Nh ng cùng v ia a â ươ ư ụ ư ơ

s phat tri n c a IPSec, GRE đ c s d ng nhi u h n đ đ t đ c hi u quư ê ủ ươ ư ụ ê ơ ê a ươ ê a

cao h n.ơ



2.2.2. Tính năng

Ch c năng chinh c a GRE la đ mang nh ng goi tin non-IP qua m t m ng IP.ư ủ ê ư ô a

Tuy nhiên, GRE còn co nh ng tinh năng khac:ư

M t GRE tunnel t ng t m t IPSec tunnel vi goi tin ngu n đ c bao b c bênô ươ ư ô ồ ươ o

trong m t header m i: Traffic đi vao m t đ u tunnel va đi ra đ u còn l i.ô ơ ô â ơ â a

Router ch s d ng ph n header m i đ v n chuy n nh ng goi tin bên trongi ư ụ â ơ ê â ê ư

tunnel. Không gi ng nh IPSec tunnel, hai đi m cu i (endpoint) không c nô ư ê ô â

th a thu n nh ng tham s tr c khi truy n, ma ch c n bi t đ a ch đich,ỏ â ư ô ươ ê i â ê ị i

traffic co th truy n. ê ê

M c đ nh, GRE không cung c p kh năng tin c y va đanh s th t goi tin b iặ ị â a â ô ư ư ơ

vi nh ng tinh năng nay đa đ c cac giao th c l p trên th c hi n kha t t.ư ươ ư ơ ư ê ô

GRE thêm vao t i thi u 24 byte vao goi tin, trong đo bao g m 20-byte IPô ê ồ

header m i. 4 byte còn l i la GRE header. GRE co th tùy ch n thêm vao 12ơ a ê o

byte khac. Đi u quan tr ng c n l u y la khi thêm vao header nh v y sẽ lamê o â ư ư â

cho kich c goi tin l n lên, đi u nay lam nh h ng đ n hi u qu khi thi hanh.ỡ ơ ê a ươ ê ê a

N u m t goi tin co kich c l n h n goi tin thông th ng (MTU) đ c truy n,ê ô ỡ ơ ơ ươ ươ ê

router ph i chia nh (fragment) goi tin thanh nh ng ph n nh h n. Vi c phâna ỏ ư â ỏ ơ ê

nh nay co th lam tăng kh năng s d ng CPU c a router, nh h ng đ n t cỏ ê a ư ụ ủ a ươ ê ô

đ v n chuy n c a nh ng goi tin khac.ô â ê ủ ư

GRE co th t o m t đ ng h m (tunnel) cho b t ki giao th c l p 3 nao đi qua.ê a ô ươ â â ư ơ

GRE la công c t o tunnel kha đ n gi n nh ng hi u qu . No co th t o tunnelụ a ơ a ư ê a ê a

cho b y ki giao th c l p 3 nao. Vi c t o nh ng tunnel nay la khai ni m c b nâ ư ơ ê a ư ê ơ a

c a m t VPN.ủ ô

GRE cho phép nh ng giao th c đ nh tuy n ho t đ ng trên kênh truy n c aư ư ị ê a ô ê ủ

minh. Không gi ng IPSec, GRE co h tr đ nh tuy n (ch ng h n OSPF vaô ô ơ ị ê ẳ a

EIGRP). IPSec tunnel co th g i nh ng goi tin IP, nh ng không co kh năngê ư ư ư a



đ nh tuy n. Tr c khi nh ng goi tin IP đ c truy n thông qua IPSec tunnel, noị ê ươ ư ươ ê

c n m t đ nh tuy n tĩnh tr c đo. Nh v y no không linh đ ng v i s l ngâ ô ị ê ươ ư â ô ơ ô ươ

l n cac IPSec tunnel.ơ

GRE cung c p tinh năng b o m t kém: GRE không co b t ki tinh năng b o m tâ a â â a â

nao m nh c . Trong khi đo, IPSec l i cung c p s tin c y cao (nh đa đ c pa a a â ư â ư ê â

trong ch ng 2). Vi v y, GRE sẽ đ c k t h p v i IPSec đ tăng tinh b o m t;ươ â ươ ê ơ ơ ê a â

đ ng th i cung h tr IPSec đ đ nh tuy n va truy n nh ng goi tin IPồ ơ ô ơ ê ị ê ê ư

muliticast (GRE over IPSec)

2.2.3. GRE header

GRE header b n thân no ch a đ ng 4 byte, đây la kich c nh nh t c a m ta ư ư ỡ ỏ â ủ ô

GRE header khi không thêm vao cac tùy ch n. 2 byte đ u tiên ch a đ ng co â ư ư ơ

(flags) đ ch đ nh nh ng tùy ch n GRE. Nh ng tùy ch n nay, n u đ c active,ê i ị ư o ư o ê ươ

no thêm vao m t s byte cho GRE header. 2 byte còn l i la tr ng giao th cô ô a ươ ư

(protocol field) đ ch đ nh ki u d li u đ c đem theo trong GRE tunnel.ê i ị ê ư ê ươ

B ng sau mô t nh ng tùy ch n c a GRE header.a a ư o ủ

GRE header bit Tùy ch no Mô ta

0 checksum Thêm m t tr ng 4 byte checksum vao GREô ươ

header sau tr ng giao th c n u bit nay đ cươ ư ê ươ

đ t la 1.ặ

2 key Thêm m t key ma hoa 4 byte vao GRE headerô

sau tr ng checksum n u bit nay đ c đ t la 1.ươ ê ươ ặ

3 Sequence

number

Thêm m t sequence number 4 byte vao GREô

header sau tr ng key n u bit nay đ c đ t la 1ươ ê ươ ặ

13-15 GRE 0: GRE căn b n; 1: PPTPa



version

Bang 2.1. Nh ng tùy ch n c a GRE headerữ ọ u

Checksum (bit 0) thêm m t tr ng checksum 4 byte vao GRE header.ô ươ

Checksum nay xu t hi n sau tr ng protocol trong GRE header ch khi bitâ ê ươ i

checksum đ c đ t la 1. ươ ặ

Key (bit 2) thêm m t tr ng key 4 byte vao GRE header. Key nay d ng clearô ươ ơ a

text theo sau tr ng checksum. Key đ c s d ng đ cung c p s xac th c cươ ươ ư ụ ê â ư ư ơ

b n m i đi m cu i GRE co khoa nay. Tuy nhiên, b n thân key nay b l raa ơ ô ê ô a ị ô

trong GRE header. Vi s d b t n công nay, s ma hoa GRE chu n không đ cư ễ ị â ư ẩ ươ

s d ng. Tuy nhiên, gia tr c a tr ng Key co th đ c s d ng đ nh n d ngư ụ ị ủ ươ ê ươ ư ụ ê â a

nhi u tunnel gi a hai đi m cu i. ê ư ê ô

Sequence number (bit 3) thêm vao m t tr ng sequence number 4 byte vaoô ươ

GRE header. Gia tr sequence theo sau tùy ch n Key. Tùy ch n nay đ c sị o o ươ ư

d ng đ đanh s th t nh ng goi tin đ n. ụ ê ô ư ư ư ê

Bits 13-15 ch đ nh phiên b n GRE đ c s d ng.i ị a ươ ư ụ

0: đ i di n GRE căn b na ê a

1: PPTP đ c s d ng.ươ ư ụ

2 byte ti p theo c a GRE header đ i di n cho tr ng protocol. 16 bits nay xacê ủ a ê ươ

đ nh ki u c a goi tin đ c mang theo bên trong GRE tunnel. Hinh sau mô tị ê ủ ươ a

cach ma m t goi tin GRE v i t t c tùy ch n đ c gan vao m t IP header vaô ơ â a o ươ ô

data.



Hinh 2.13. Đ nh d ng GRE headerị ạ

Nh ng tùy ch n GRE thông th ng không đ c s d ng vi nh ng giao th cư o ươ ươ ư ụ ư ư

l p trên cung c p tinh năng t ng t kha t t.ơ â ươ ư ô

2.2.4. Phân lo i GREạ

GRE la giao th c co th đong goi b t ki goi tin nao c a l p network. GRE cungư ê â ủ ơ

c p kh năng co th đ nh tuy n gi a nh ng m ng riêng (private network)â a ê ị ê ư ư a

thông qua môi tr ng Internet b ng cach s d ng cac đ a ch IP đa đ c đ nhươ ằ ư ụ ị i ươ ị

tuy n.ê

mGRE tunnel la thanh ph n c b n nh t trong DMVPN. GRE truy n th ng laâ ơ a â ê ô

point-to-point, còn mGRE la s m r ng khai ni m nay b ng vi c cho phépư ơ ô ê ằ ê

m t tunnel co th đ n đ c nhi u đi m đich.ô ê ê ươ ê ê

2.2.4.1. Point-to-Point GRE

Sau đây la mô hinh c a m t point-to-point GRE:ủ ô



Hinh 2.14. Point-to-Point GRE

Đ i v i cac tunnel GRE point-to-point thi trên m i router spoke (R2 & R3) c uô ơ ô â

hinh m t tunnel ch đ n HUB (R1); ng c l i, trên router HUB cung sẽ ph iô i ê ươ a a

c u hinh hai tunnel, m t đ n R2 va m t đ n R3. M i tunnel nh v y thi c nâ ô ê ô ê ô ư â â

m t đ a ch IP. Gi s mô hinh trên đ c m r ng thanh nhi u spoke, cung coô ị i a ư ươ ơ ô ê

nghĩa la trên R1 ph i c u hinh thêm nhi u tunnel m i đ n cac spokes nay.a â ê ơ ê

Đi u nay d n đ n s lang phi không gian đ a ch IP va vi c c u hinh trên R1ê â ê ư ị i ê â

cung ph c t p h n. ư a ơ

Trong tunnel GRE point-to-point, đi m đ u va cu i đ c xac đ nh thi co thê â ô ươ ị ê

truy n d li u. Tuy nhiên, co m t v n đ phat sinh la n u đ a ch đich la m tê ư ê ô â ê ê ị i ô

multicast (ch ng h n 239.1.1.1) thi GRE point-to-point không th c hi n đ c.ẳ a ư ê ươ

Đ lam đ c vi c nay thi ph i c n đ n mGRE.ê ươ ê a â ê

2.2.4.2. Point-to-Multipoint GRE (mGRE)

Nh v y, mGRE gi i quy t đ c v n đ đich đ n la m t đ a ch multicast. Đâyư â a ê ươ â ê ê ô ị i

la tinh năng chinh c a mGRE đ c dùng đ th c thi Multicast VPN trong Ciscoủ ươ ê ư

IOS. Tuy nhiên, trong mGRE, đi m cu i ch a đ c xac đ nh nên no c n m tê ô ư ươ ị â ô

giao th c đ anh x đ a ch tunnel sang đ a ch c ng v t ly. Giao th c nay đ cư ê a ị i ị i ô â ư ươ

g i la NHRP (Next Hop Resolution Protocol)o



Hinh 2.15. Point-to-Multipoint GRE (mGRE).

Đ i v i cac mGRE tunnel thi m i router ch co m t tunnel đ c c u hinh cùngô ơ ô i ô ươ â

m t subnet logical. mGRE tunnel th c s cung la m t môi tr ng NBMA.ô ư ư ô ươ

T ng t Frame-Replay, no c n m t c ch gi ng “ARP” đ anh x cac đ a chươ ư â ô ơ ê ô ê a ị i

IP logical (vi d 10.0.0.3) thanh đ a ch c ng v y ly trên router t ng ng (viụ ị i ô â ươ ư

d 150.1.3.3)ụ

2.2.5. GRE over IPSec.

2.2.5.1. Tính năng.

Nh đa đ c p tr c, giao th c IPSec co đ an toan va b o m t cao, trongư ê â ơ ươ ư ô a â

khi GRE thi b n thân no không b o m t. Nh ng ng c l i, GRE cung c p kha a â ư ươ a â a

năng đ nh tuy n va h tr multicast trong khi IPSec thi không. Do đo, vi c k tị ê ô ơ ê ê

h p gi a IPSec va GRE t o nên m t ph ng phap h u hi u trong khi tri nơ ư a ô ươ ư ê ê

khai m t m ng VPN. S k t h p nay đ c g i la GRE over IPSec. GRE overô a ư ê ơ ươ o

IPSec cung c p cac tinh năng sau:â

S b o m t, toan v n d li u va ch ng th c đ u cu i: Đ c IPSec h tr . Đi uư a â ẹ ư ê ư ư â ô ươ ô ơ ê

nay t o nên s tin t ng cao trong qua trinh d li u đ c truy n qua môia ư ươ ư ê ươ ê

tr ng không b o m t nh internet.ươ a â ư



Tăng kh năng m r ng cho vi c thi t k m ng. Khi dùng IPSec đ thi t ka ơ ô ê ê ê a ê ê ê

m ng thi no không h tr cac giao th c đ nh tuy n đ ng nên vi c thi t l pa ô ơ ư ị ê ô ê ê â

nhi u site cùng giao ti p v i nhau t o nên mô hinh full-mesh r t ph c t p vaê ê ơ a â ư a

kho qu n li. Vi d , n u 10 site đ c k t n i full-mesh v i GRE over IPSec thi sẽa ụ ê ươ ê ô ơ

ph i co 45 tunnels ([10*9]/2 trong khi n u dùng mô hinh hub-and-spoke thia ê

ch c n 9 tunnel. i â

Khi IPSec k t h p v i GRE sẽ cung c p kh năng đ nh tuy n, do đo cac siteê ơ ơ â a ị ê

không c n ph i co nh ng liên k t đ n toan b site khac ma ch c n t o m tâ a ư ê ê ô i â a ô

k t n i đ n site trung tâm (HUB) t o thanh mô hinh Hub-and-Spoke; sau đoê ô ê a

giao th c đ nh tuy n đ c s d ng đ đ nh tuy n gi a cac site. ư ị ê ươ ư ụ ê ị ê ư

Kh năng h tr multicast giup ph c v cac ng d ng multicast (vi d video)a ô ơ ụ ụ ư ụ ụ

Tom l i, vi c s d ng GRE over IPSec lam cho h th ng m ng v a b o m t,a ê ư ụ ê ô a ừ a â

v a mang tinh m r ng cao va cung v a co th đap ng đ c cac ng d ngừ ơ ô ừ ê ư ươ ư ụ

multicast.

2.5.2.2.Ho t đ nga ô

“GRE over IPSec” am ch r ng goi tin GRE đ ng cao h n trong stack so v ii ằ ư ơ ơ

IPSec. T ng t nh TCP l p 4 còn IP thi l p 3, khi đ t trong m t goi tin,ươ ư ư ơ ơ ơ ơ ặ ô

ph n TCP đ t bên trong ph n IP. V i GRE over IPSec cung v y, goi tin ban đ uâ ặ â ơ â â

đ c đ t l p trong cùng, sau đo đ c GRE bao b c l i. Cu i cùng, IPSec đ cươ ặ ơ ơ ươ o a ô ươ

thêm vao đ tăng đ b o m t. Hinh sau mô t đ nh d ng goi tin GRE overê ô a â a ị a

IPSec:



Hinh 2.16. Đ nh d ng gói tin GRE over IPSecị ạ

Nhin hinh trên ta th y, co nhi u l p IP bên trong m t goi tin GRE over IPSec.â ê ơ ô

L p trong cùng la goi tin IP ban đ u (goi tin th c s ). Goi tin nay đ c bao b cơ â ư ư ươ o

trong m t GRE header đ cho phép nh ng giao th c đ nh tuy n bên trong GREô ê ư ư ị ê

tunnel (IPSec m t minh thi không th lam đ c). Cu i cùng, IPSec đ c thêmô ê ươ ô ươ

vao l p ngoai cùng đ cung c p s b o m t va toan v n. K t qu la hai site coơ ê â ư a â ẹ ê a

th trao đ i thông tin đ nh tuy n va nh ng goi tin IP v i nhau m t cach anê ô ị ê ư ơ ô

toan.

GRE over IPSec th ng s d ng ch đ transport, vi nh ng đi m cu i GRE vaươ ư ụ ê ô ư ê ô

IPSec la m t (ng c l i thi s d ng tunnel mode). Dù s d ng tunnel hayô ươ a ư ụ ư ụ

transport mode, IP header va goi tin ban đ u cung đ c b o v m t cach đ yâ ươ a ê ô â

đ .ủ

2.3. Giao thưc NHRP

2.3.1. Gi i thi uớ ê

NHRP (Next Hop Resolution Protocol) la thanh ph n chinh lam cho DMVPNâ

th c s đ ng. Giao th c nay đ c đ nh nghĩa trong RFC 2332 (năm 1998)ư ư ô ư ươ ị

nh m t o nên m t l c đ t i u đ nh tuy n bên trong m ng NBMAằ a ô ươ ồ ô ư ị ê a

(Nonbroadcast Multiaccess) nh ATM, Frame Relay.ư

NHRP la m t giao th c gi ng ARP (Address Resolution Protocol), dùng đ anhô ư ô ê

x m ng NBMA m t cach đ ng. V i NHRP, m t h th ng co th t h c đ a cha a ô ô ơ ô ê ô ê ư o ị i



NBMA c a cac h th ng khac thu c cùng m ng NBMA, cho phép cac h th ngủ ê ô ô a ê ô

nay giao ti p tr c ti p v i nhau.ê ư ê ơ

Hinh 2.17. Ho t đ ng NHRPạ ộ

Nh minh h a hinh trên, m ng 10.0.0.0/24 n m trên đam mây NBMA partial-ư o a ằ

meshed. N u không dùng NHRP thi đ R1 đi đ n đ c R4, no ph i g i cac goiê ê ê ươ a ư

theo tunnel R1-R2, R2-R3 va cu i cùng la R3-R4. Qua trinh truy n nay lam haoô ê

phi va không t i u. Vi th c n thi t l p m t k t n i tr c ti p t R1 t i R4. Đô ư ê â ê â ô ê ô ư ê ừ ơ ê

t o k t n i nay thi R1 ph i bi t đ a ch NBMA (tr ng h p trên la đ a ch IPa ê ô a ê ị i ươ ơ ị i

public) c a R4. Khi đo NHRP giup gi i quy t v n đ nay m t cach t đ ng.ủ a ê â ê ô ư ô

2.3.2. Các tính năng NHRP

NHRP cung c p hai tinh năng chinh đ h tr m ng NBMA :â ê ô ơ a

NHRP la m t giao th c gi ng ARP, cho phép cac Next-Hop Client (NHC) ô ư ô

đăng ky t đ ng anh x đ a ch IP tunnel sang đ a ch IP NBMA c a no ư ô a ị i ị i ủ

v i Next-Hop Server (NHS). Nh đo, cac NHC co th tham gia vao m ng ơ ơ ê a

NBMA ma không c n thay đ i c u hinh trên cac NHS. Tinh năng nay giupâ ô â

ich trong tr ng h p NHC co đ a ch IP trên c ng v t ly (physical) la ươ ơ ị i ô â

đ ng ho c NHC n m sau m t router NAT (dùng đ thay đ i đ a ch IP ô ặ ằ ô ê ô ị i



physical m t cach đ ng), b i vi không th c u hinh l i anh x đ a ch ô ô ơ ê â a a ị i

cho NHC trên NHS khi cac đ a ch NHC nay luôn thay đ i. ị i ô

NHRP la m t giao th c phân gi i, cho phép m t NHC tim ra anh x đ a ô ư a ô a ị

ch IP tunnel sang đ a ch IP NBMA c a NHC khac thu c cùng m ng i ị i ủ ô a

NBMA m t cach đ ng. Nh đo, cac NHC co th giao ti p tr c ti p v i ô ô ơ ê ê ư ê ơ

nhau, nên traffic không c n ph i đi qua Hub. Tinh năng nay giup gi m â a a

vi c dùng băng thông va CPU trên Hub, lam tăng băng thông toan b ê ô

m ng NBMA co th l n h n băng thông c a Hub.a ê ơ ơ ủ

2.3.3. Đ nh d ng gói NHRPị ạ

M t goi NHRP bao g m 3 ph n : Fixed, Mandatory va Extensions. Cac ph n nayô ồ â â

đ c trinh bay chi ti t trong RFC 2332.ươ ê

2.3.3.1. Ph n Fixedâ

Ph n nay còn g i la ph n Header Fixed c a goi NHRP, no ph i đ c mô t , coâ o â ủ a ươ a

chi u dai c đ nh la 20 octet. Ph n nay gi ng nhau cho t t c cac ki u goiê ô ị â ô â a ê

NHRP.

Hinh 2.18. Đ nh d ng Header Fixed NHRPị ạ

Header Fixed NHRP ch a thông tin qui đ nh cac tr ng nh : ư ị ươ ư

ar$afn : ch a ki u đ a ch l p liên k t đ c v n chuy n.ư ê ị i ơ ê ươ â ê

ar$pro.type : la vùng unsigned interger 16 bit.



ar$pro.snap : khi vùng ar$pro.type co gia tr 0x0080, m t vùng m r ngị ô ơ ô

ma hoa snap đ c dùng đ ma hoa ki u giao th c. Vùng m r ng snapươ ê ê ư ơ ô

nay đ c đ t trong vùng ar$pro.snap; tuy nhiên vùng nay nên đ t la 0.ươ ặ ặ

ar$hopcnt : ch đ nh s l ng NHS l n nh t ma goi NHRP co th truy ni ị ô ươ ơ â ê ê

qua tr c khi b lo i b .ươ ị a ỏ

ar$pktsz : t ng chi u dai goi NHRP tinh b ng octet.ô ê ằ

ar$chksum : standard IP checksum trên goi NHRP.

ar$extoff : ch đ nh s t n t i va v tri cac NHRP extension.i ị ư ồ a ị

ar$op.version : ch đ nh version.i ị

ar$op.type : n u ar$op.version la 1 thi vùng nay mô t ki u goi NHRP.ê a ê

Cac gia tr co th la :ị ê

1 NHRP Resolution Request.

2 NHRP Resolution Reply.

3 NHRP Registration Request.

4 NHRP Registration Reply.

5 NHRP Purge Request.

6 NHRP Purge Reply.

7 NHRP Error Indication.

ar$shtl : ch đ nh ki u va chi u dai c a address NBMA ngu n, ph thu ci ị ê ê ủ ồ ụ ô

vùng afn.

ar$sstl : ch đ nh ki u va chi u dai c a subaddress NBMA ngu n, phi ị ê ê ủ ồ ụ

thu c vùng afn.ô

2.3.3.2. Ph n Mandatoryâ

Ph n Mandatory ph i đ c mô t va no khac nhau tùy vao ki u goi NHRP,â a ươ a ê

chi u dai đ c quy t đ nh b i n i dung c a vùng extensions offset (ar$extoff).ê ươ ê ị ơ ô ủ



Ph n nay bao g m m t header chung va không co ho c co nhi u CIE (Clientâ ồ ô ặ ê

Information Entry).

Ph n header chung: ch đ nh m t s c (flag) đ xac đ nh ki u thôngâ i ị ô ô ơ ê ị ê

đi p. Request ID dùng đ theo dõi va xac nh n request/reply, gia tr nayê ê â ị

tăng m i khi t o request m i. Đ ng th i ch a đ a ch NBMA source vaô a ơ ồ ơ ư ị i

đ a ch protocol IP source/destination, thông tin nay đ c Spoke dùngị i ươ

đ đăng ky v i Hub, va la đ a ch cho cac Spoke đ g i reply tr c ti p. ê ơ ị i ê ư ư ê

Hinh 2.19. Đ nh d ng ph n Header chung Mandatoryị ạ ầ

Vùng CIE: ch a thông tin v chi u dai prefix, gia tr mtu, holding time…ư ê ê ị

Đ ng th i ch a đ a ch NBMA va đ a ch tunnel c a client, thông tin nayồ ơ ư ị i ị i ủ

dùng đ h i đap cac anh x c a Spoke đich. ê ồ a ủ



Hinh 2.20. Đ nh d ng CIEị ạ

2.3.3.3. Ph n Extensionsâ

Ph n nay cung khac nhau tùy vao ki u goi NHRP nh ng không c n thi t mô t ,â ê ư â ê a

co chi u dai b ng t ng chi u dai goi (ar$pktsz) – ar$extoff. N u đ c mô t ,ê ằ ô ê ê ươ a

no mang m t ho c nhi u extension theo b 3 (Type, Length, Value).ô ặ ê ô

Hinh 2.21. Đ nh d ng ph n Extensionsị ạ ầ

Vi d khi show goi NHRP ta th y nh sau :ụ â ư

(F) afn: IPv4(1), type: IP(800), hop: 255, ver: 1

shtl: 4(NSAP), sstl: 0(NSAP)



(M) flags: “router auth dst-stable unique src-stable”, reqid: 1012

src NBMA: 150.1.2.2

src protocol: 10.0.0.2, dst protocol: 10.0.0.3

(C-1) code: no error(0)

prefix: 32, mtu: 1514, hd_time: 242

addr_len: 4(NSAP), subaddr_len: 0(NSAP), proto_len: 4, pref: 0

client NBMA: 150.1.3.3

client protocol: 10.0.0.3

1) (F) – Ph n header Fixed. Ta th y, version = 1, shtl = 4 la chi u dai đ a châ â ê ị i

IPv4 tinh b ng byte, sstl la vùng subaddress không đ c dùng v i IPv4.ằ ươ ơ

2) (M) – Ph n header Mandatory. Ch a đ a ch anh x Spoke ngu n 10.0.0.2 ->â ư ị i a ồ

150.1.2.2 va đ a ch tunnel đich 10.0.0.3. Gia tr request ID la 1012, gia tr nayị i ị ị

đ c chép t request vao reply đ Spoke ngu n ki m tra, n u gi ng nhau xemươ ừ ê ồ ê ê ô

nh request thanh công.ư

3) (C-1) – ph n CIE 1. vùng nay h i đap v i thông tin anh x c a Spoke đichâ ồ ơ a ủ

10.0.0.3 -> 150.1.3.3. Prefix = 32 co nghĩa reply ch cho 1 đ a ch host, n u khaci ị i ê

32 ch đ nh cho m t m ng.i ị ô a

đây ph n extension không đ c mô t .Ở â ươ a

2.3.4. Các d ng gói NHRPạ

NHRP s d ng m t s lo i goi c b n sau : ư ụ ô ô a ơ a

Request NHRP registration : đ c g i t NHC đ n NHS đ đăng kyươ ư ừ ê ê

thông tin anh x IP lu n ly tunnel t i IP v t ly NBMA c a NHC v i NHS.a â ơ â ủ ơ



Reply NHRP registration : đ c g i t NHS tr l i NHC đ bao v i NHCươ ư ừ ơ a ê ơ

đa đăng ky thanh công (ACK) ho c không thanh công (NCK).ặ

Request NHRP resolution : đ c dùng đ tim đ a ch NBMA cho m t đ aươ ê ị i ô ị

ch đich.i

Reply NHRP resolution : đ c dùng đ h i đap thông tin phân gi i choươ ê ồ a

may tr m đa g i request NHRP resolution.a ư

NHRP redirect : đ c g i t NHS đ thông bao NHC đ a ch host đichươ ư ừ ê ị i

c n g i goi request NHRP resolution. â ư

Request NHRP purge : đ c dùng đ thông bao m ng local b downươ ê a ị

ho c b thay đ i đ cho cac may tr m khac g b entry anh x choặ ị ô ê a ỡ ỏ a

m ng đo.a

Reply NHRP purge : đ c dùng đ h i đap đ n may tr m g i requestươ ê ồ ê a ư

NHRP purge đ thông bao đa x ly thanh công.ê ư

Indication NHRP error : đ c dùng đ truy n cac ch d n l i đ n mayươ ê ê i â ô ê

tr m đa g i goi NHRP l i.a ư ô

Trong đo, cac goi NHRP registration đ c dùng trong phase 1 đ Hub t đ ngươ ê ư ô

h c đ a ch cac Spoke. Trong phase 2 s d ng thêm cac goi NHRP resolution đo ị i ư ụ ê

xây d ng tunnel spoke-to-spoke đ ng. Trong phase 3 co thêm goi NHRPư ô

redirect giup t i u hoa cho ho t đ ng DMVPN. Cac goi NHRP purge đ cô ư a ô ươ

dùng đ i v i chuy n m ch x ly, b i vi trong chuy n m ch x ly thi cac Spokeô ơ ê a ư ơ ê a ư

m i co entry anh x c c b (anh x cho chinh m ng riêng k t n i đ n Spoke).ơ a ụ ô a a ê ô ê

Ho t đ ng c a t ng lo i goi trên trong t ng phase DMVPN sẽ đ c gi i thicha ô ủ ừ a ừ ươ a

c th trong cac ph n sau.ụ ê â

2.3.5. C ch ho t đ ng NHRPơ ê ạ ộ

2.3.5.1. Vi c xây d ng đ ng m ng Hub-and-Spoke ê ự ô a

V i NHRP, m ng NBMA đ c b tri nh m ng hub-and-spoke co th g mơ a ươ ô ư a ê ồ

nhi u NHC (Spoke) va NHS (Hub). Cac Spoke đ c c u hinh anh x tĩnh đ k tê ươ â a ê ê



n i đ n Hub. Vi th , cac Spoke nay sẽ t đ ng g i NHRP registration đ n Hub.ô ê ê ư ô ư ê

Nh đo, cho phép Hub h c t đ ng thông tin anh x c a Spoke, lam gi m c uơ o ư ô a ủ a â

hinh c n thi t trên Hub va cho phép Spoke co đ a ch IP NBMA đ ng.â ê ị i ô

NHRP registration dùng đ đăng ky t đ ng anh x đ a ch IP tunnel sang đ aê ư ô a ị i ị

ch NBMA c a Spoke cho Hub. Cac goi NHRP registration đ c g i t cac NHCi ủ ươ ư ừ

t i cac NHS m i 1/3 th i gian holdtime (gia tr ip nhrp holdtime), khi dòngơ ô ơ ị

l nh ip nhrp registration timeout value đ c c u hinh thi cac goi NHRPê ươ â

registration đ c g i theo gia tr timeout đ c c u hinh.ươ ư ị ươ â

Hinh 2.22. Quá trinh g i nh n NHRP Registrationư ậ

Hinh trên mô t qua trinh g i nh n NHRP registration nh sau :a ư â ư

1. Sau khi Spoke A đ c kich ho t, no sẽ t g i goi request NHRPươ a ư ư

registration đ n Hub do Hub đa đ c c u hinh la NHS va Spoke A đaê ươ â

co thông tin anh x tĩnh (static) c a Hub (10.0.0.1 -> 172.17.0.1).a ủ

2. Goi request ch a thông tin anh x đ a ch tunnel t i đ a ch NBMAư a ị i ơ ị i

(10.0.0.11 -> 172.16.1.1) c a Spoke A, va cac vùng thông tin khac nhủ ư

th i gian holdtime (Hold=3600)…ơ

3. Hub nh n goi request t Spoke A va l u thông tin anh x h c đ câ ừ ư a o ươ

vao cache NHRP.



4. Sau đo Hub sẽ g i goi reply NHRP registration tr l i Spoke A bao đaư ơ a

nh n thanh công. Entry anh x h c đ c t Spoke A la đ ngâ a o ươ ừ ô

(dynamic), vi th Hub sẽ t g b sau th i gian holdtime la 3600s.ê ư ỡ ỏ ơ

2.3.5.2. Vi c xây d ng đ ng tunnel Spoke-to-Spokeê ự ô

Ngoai vi c dùng NHRP registration đ đăng ky anh x đ ng, NHRP còn cungê ê a ô

c p cac goi NHRP resolution đ NHC tim đ ng d n t t trên c u truc c aâ ê ươ â ă â ủ

m ng (m ng IP, SMDS) ho c xây d ng m t SVC t t trên m ng chuy n m cha a ặ ư ô ă a ê a

(Frame Relay va ATM) m t cach tr c ti p v i NHC khac b qua NHS. Nh đo,ô ư ê ơ ỏ ơ

ma cac Hub co băng thông va CPU th p không lam nh h ng đ n băng thôngâ a ươ ê

c a m ng NBMA, nên cho phép xây d ng cac m ng NBMA r t l n. Đ c tinhủ a ư a â ơ ặ

nay giup t o nên m ng co kh năng full-mesh ma không ph i bi t t t c caca a a a ê â a

k t n i co s n, va đ c g i la m ng dynamic-mesh.ê ô ẵ ươ o a

Vi c dùng m ng dynamic-mesh cho phép Spoke co it tai nguyên co th thamê a ê

gia vao m ng NBMA fully meshed b i vi cac router nay không c n đ c t o t ta ơ â ươ a â

c cac k t n i spoke-to-spoke, ma ch c n t o cac k t n i mu n dùng.a ê ô i â a ê ô ô

Vi d nh trong m t m ng co 1000 node, m t Spoke đòi h i ph i co c u hinhụ ư ô a ô ỏ a â

m nh va b nh l n b i vi no ph i luôn h tr 999 tunnel. Trong m nga ô ơ ơ ơ a ô ơ a

dynamic-mesh, m t Spoke ch c n h tr m t s it tunnel đ n NHS (Hub) c aô i â ô ơ ô ô ê ủ

no c ng v i cac tunnel t i Spoke khac hi n đang đ c dùng. N u m t Spokeô ơ ơ ê ươ ê ô

không th xây d ng nhi u tunnel spoke-to-spoke, thi no sẽ g i traffic d li uê ư ê ư ư ê

theo cac đ ng d n spoke-hub-spoke. B ng cach nay cac k t n i luôn đ cươ â ằ ê ô ươ

l u tr th m chi khi đ ng d n spoke-to-spoke không co s n.ư ư â ươ â ẵ



Hinh 2.23. Vi c ch n Next Hop Serverê ọ

Hinh trên minh h a vi c t o tunnel tr c ti p gi a 2 Spoke. Ta co 4 router đ co ê a ư ê ư ươ

k t n i t i m ng NBMA. Gi s router A mu n g i goi IP t host ngu n đ nê ô ơ a a ư ô ư ừ ồ ê

host đich.

1. Đ u tiên khi goi đ c đ nh tuy n. Router A th y r ng goi đ c g i đ nâ ươ ị ê â ằ ươ ư ê

interface NHRP. Vi th NHRP đ c kich ho t. ê ươ a

2. Router A g i m t goi request NHRP resolution đi qua 3 hop trên m ngư ô a

đ đi đ n router D, vi router D co host đich đ c k t n i đ n. ê ê ươ ê ô ê

3. Sau khi Router A nh n m t reply NHRP resolution, router A xac nh nâ ô â

r ng router D la IP next hop NBMA.ằ

4. Vi th Router A g i cac goi IP d li u ti p theo cho host đich đ n th ngê ư ư ê ê ê ẳ

router D, nên ch m t m t hop. i â ô


CHƯƠNG 3 HOAT ĐÔNG CUA DMVPN

CHƯƠNG 3 : HOAT Đ NG CỦA DMVPN.Ô

3.1. Cach thưc hoat đ ng cua DMVPN.ô

Nh đa trinh bay trong ch ng cac ch ng tr c, DMVPN la m t gi i phapư ươ ươ ươ ô a

ph n m m h đi u hanh Cisco (Cisco IOS Software) dùng đ xây d ng cacâ ê ê ê ê ư

IPSec+GRE VPN d h n va co kh năng m r ng h n. DMVPN d a trên haiễ ơ a ơ ô ơ ư

công ngh Cisco đa đ c th nghi m :ê ươ ư ê

NHRP

- Hub duy tri m t c s d li u NHRP ch a t t c đ a ch th t c aô ơ ơ ư ê ư â a ị i â ủ

Spoke (đ a ch public trên c ng v t ly).ị i ô â

- M i Spoke đăng ky đ a ch c a no khi no kh i đ ng.ô ị i ủ ơ ô

- Cac spoke truy v n c s d li u NHRP cho vi c tim đ a ch th t c aâ ơ ơ ư ê ê ị i â ủ

cac Spoke đich đ xây d ng cac đ ng h m (tunnel) tr c ti p.ê ư ươ â ư ê

mGRE

- Cho phép m t c ng GRE đ n h tr nhi u đ ng h m IPSec.ô ô ơ ô ơ ê ươ â

- Lam đ n gi n quy mô va s ph c t p c a vi c c u hinh.ơ a ư ư a ủ ê â

Ngoai ra, IPSec la m t đ c tinh không th thi u trong DMVPN đ xây d ng cacô ặ ê ê ê ư

tunnel an toan. DMVPN không thay đ i cac chu n tunnel IPSec VPN, nh ng coô ẩ ư

m t chut thay đ i trong vi c c u hinh. ô ô ê â

Cac Spoke co m t tunnel IPSec c đ nh t i Hub, nh ng không t i Spoke. Cacô ô ị ơ ư ơ

Spoke đăng ky nh la cac client c a NHRP server. Khi m t Spoke c n g i m tư ủ ô â ư ô

goi đ n m ng đich (private) trên Spoke khac, no ph i truy v n NHRP serverê a a â

đ tim đ a ch th c (public) c a Spoke đich. Bây gi Spoke co th kh i t o m tê ị i ư ủ ơ ê ơ a ô



đ ng h m IPSec đ ng t i Spoke đich b i vi no đa bi t đ a ch c a thi t bươ â ô ơ ơ ê ị i ủ ê ị

ngang hang (peer). Tunnel spoke-to-spoke đ c xây d ng trên c ng mGRE.ươ ư ô

Ta xét m t vi d : M t PC co đ a ch IP 192.168.1.25 t i spoke A mu n truy c pô ụ ô ị i a ô â

t i web server co đ a ch IP 192.168.2.37.ơ ị i

Hinh 3.1. Tunnel Hub-Spoke.



Qua trinh th c hi n di n ra theo cac b c sau:ư ê ễ ươ

1. Goi d li u sẽ đ c chuy n t i spoke A.ư ê ươ ê ơ

Hinh 3.2. PC gưi yêu câu.

2. Spoke A tra c u b ng đ nh tuy n c a no đ tim m ng đich 192.168.2.0. ư a ị ê ủ ê a

B ng đ nh tuy n đ a ra đ a ch next-hop la 10.0.0.12 thông qua a ị ê ư ị i

interface tunnel 0 c a Spoke A.ủ



Hinh 3. 3. Spoke tra cưu bang đinh tuyên.

3. Spoke A tra b ng anh x NHRP c a no cho đich 10.0.0.12 va không tim a a ủ

đ c entry anh x nao. Vi th no g i m t goi request NHRP resolution ươ a ê ư ô

t i NHS đ phân gi i đ a ch 10.0.0.12.ơ ê a ị i

Hinh 3.4. Spoke A gưi Request NHRP resolution

4. NHS phân gi i đ a ch tunnel 10.0.0.12 thanh đ a ch public 172.16.2.1. a ị i ị i

Sau đo no g i reply NHRP resolution t i spoke A.ư ơ



Hinh 3.5. Hub g i reply NHRP resolutionư

5. Spoke A nh n reply NHRP resolution va đ a vao b ng NHRP c a no. â ư a ủ

Đi u nay kich ho t IPSec đ t o tunnel tr c ti p t i 172.16.2.1. L u y la ê a ê a ư ê ơ ư

Spoke A dùng đ a ch public cho IPSec thi t b ngang hang (peer).ị i ê ị

Hinh 3.6. Spoke A tao Tunnel trưc tiêp vơi Spoke B



6. Bây gi tunnel đa đ c xây d ng t i Spoke B, Spoke A sẽ g i cac goi dơ ươ ư ơ ư ư

li u đ n spoke B.Luc nay tunnel ch co th truy n traffic theo m tê ê i ê ê ô

h ng.ươ

Hinh 3.7. Spoke A gưi dư liêu qua Spoke B.

7. Đ web server g i h i đap tr l i PC thi Spoke B ph i th c hi n trinh tê ư ồ ơ a a ư ê ư

cac b c (2,3 va 4) gi ng trên Spoke A đa lam. M t khi Spoke B co đ cươ ô ô ươ

anh x t i Spoke A thi goi h i đap co th g i tr c ti p t i Spoke A. Bâya ơ ồ ê ư ư ê ơ

gi tunnel đa s n sang đ c t o.ơ ẵ ươ a



Hinh 3.8. Spoke B gưi dư liêu cho Spoke A

8. Sau m t th i gian đ nh ky timeout, cac entry NHRP h t h n, khi đo IPSecô ơ ị ê a

đ c kich ho t đ lam down tunnel spoke-to-spoke đ ng nay.ươ a ê ô

Hinh 3. 9. Tunnel khi chưa hêt time out.



3.2. Đinh Tuyên trong DMVPN.

Đ nh tuy n đ ng đ c đòi h i trong DMVPN va ch co trên cac đ ng h mị ê ô ươ ỏ i ươ â

hub-to-spoke. Đ cac Spoke lam vi c, Hub ph i duy tri va qu ng ba next hopê ê a a

cho cac m ng riêng c a Spoke. Spoke h c t t c cac m ng riêng trên cac Spokea ủ o â a a

khac va Hub thông qua b ng update đ nh tuy n đ c g i b i Hub. a ị ê ươ ư ơ

Cac giao th c đ nh tuy n co th s d ng:ư ị ê ê ư ụ

EIGRP

- R t phù h p cho vi c đ nh tuy n gi a Hub-Spoke va gi a Spoke-Spoke.â ơ ê ị ê ư ư

- D qu n ly, chi phi v n hanh ch p nh n đ c, m ng h i t nhanh.ễ a â â â ươ a ô ụ

OSPF

- Đ nh tuy n gi a Hub-Spoke t t.ị ê ư ô

- Kho qu n ly, chi phi v n hanh ch p nh n đ c, m ng h i t nhanh.a â â â ươ a ô ụ

RIP.

- Đ nh tuy n gi a Hub-Spoke va Spoke-Spoke t t.ị ê ư ô

- D qu n ly, chi phi v n hanh ch p nh n đ c, m ng h i t ch m.ễ a â â â ươ a ô ụ â

ORD.

- R t phù h p cho vi c đ nh tuy n gi a Hub-Spoke, không co đ nh tuy n â ơ ê ị ê ư ị ê

gi a Spoke-Spoke.ư

- Kho qu n ly, chi phi v n hanh th p, m ng h i t ch m, kh năng m a â â a ô ụ â a ơ

r ng m ng t t nh t.ô a ô â

BGP.

- Đ nh tuy n gi a Hub-Spoke va Spoke-Spoke t t.ị ê ư ô

- D qu n ly, chi phi v n hanh th p, m ng h i t ch m, thêm neighbor ễ a â â a ô ụ â

tĩnh.



Khi dùng EIGRP va RIP đòi h i ph i t t split-horizon trên c ng mGRE c a Hubỏ a ă ô ủ

đ co th trao đ i cac subnet c a Spoke cho Spoke. ê ê ô ủ

Đ i v i OSPF, dùng ki u m ng point-to-multipoint trên t t c cac c ng GRE vaô ơ ê a â a ô

mGRE.

Ta kh o sat giao th c EIGRP.a ư

Hub ph i ch cho cac Spoke đăng ky thanh công. Khi ch a co Spoke nao đănga ơ ư

ky thi Hub không th g i b t c thông tin nao.ê ư â ư

Hub send goi EIGRP hello cho t t c cac Spoke đa đ c đăng ky đ thi t l pâ a ươ ê ê â

quan h lang gi ng.ê ê

Hinh 3.10. Hub gưi EIGRP Hello

Sau khi thi t l p quan h lang gi ng cac Spoke trao đ i thông tin đ nh tuy nê â ê ê ô ị ê

v i Hub. Vi th cac Spoke h c đ c thông tin đ nh tuy n đ n cac m ng conơ ê o ươ ị ê ê a

trên Hub (192.168.0.0 -> 10.0.0.1) va cac Spoke khac. L u y r ng ch trao đ iư ằ i ô



thông tin đ nh tuy n trên mô hinh mGRE lu n ly, vi th đ nh tuy n h c đ cị ê â ê ị ê o ươ

sẽ ph i đi qua đ a ch tunnel c a Spoke đich.a ị i ủ

3.3. Cac phase DMVPN

Co 3 phase DMVPN đ cung c p cac tinh năng c n thi t đ h tr cac tunnelê â â ê ê ô ơ

spoke-to-spoke đ ng. ô

3.3.1. Phase 1 - Tính năng hub and spoke

T i phase nay, mGRE dùng NHRP đ bao cho Hub bi t v s xu t hi n đ nga ê ê ê ư â ê ô

c a cac Spoke. Ban đ u, ta c u hinh m i Spoke v i đ a ch IP c a Hub nh laủ â â ô ơ ị i ủ ư

NHS. Tuy nhiên, ch đ tunnel c a Spoke la tunnel GRE (point-to-point) v iê ô ủ ơ

đ a ch IP đich c đ nh la đ a ch trên c ng v t ly c a Hub, nên cac Spoke ch coị i ô ị ị i ô â ủ i

th đi đ n Hub va n u đ n cac Spoke khac ph i thông qua Hub. L i ich c aê ê ê ê a ơ ủ

phase 1 la c u hinh router Hub đ n gi n, không yêu c u anh x NHRP tĩnh choâ ơ a â a

m i Spoke m i.ô ơ

Phase nay không dùng cac tunnel spoke-to-spoke. Cac Spoke đ c c u hinh cacươ â

đ ng h m point-to-point v i Hub va đăng ky cac anh x đ a ch tunnel sangươ â ơ a ị i

đ a ch NBMA v i NHS đ NHS bi t cach đi đ n cac Spoke m t cach đ ng. Giaoị i ơ ê ê ê ô ô

th c đ nh tuy n g i r t it thông tin đ nh tuy n t Hub t i cac Spoke, cac Spokeư ị ê ư â ị ê ừ ơ

qu ng ba cac m ng k t n i c c b (local) c a no cho Hub. a a ê ô ụ ô ủ



Hinh 3.11. Ho t đ ng Hub and Spoke trong phase 1ạ ộ

Trên hinh ta th y, cac Spoke đong vai trò la NHC đ c c u hinh m t tunnelâ ươ â ô

point-to-point t i Hub v i đ a ch IP đich c đ nh la đ a ch Hub (172.17.0.1).ơ ơ ị i ô ị ị i

Hub đong vai trò la NHS đ cho cac Spoke đăng ky đ a ch NBMA, nên trên m iê ị i ô

Spoke đi u co entry anh x tĩnh đ n Hub (10.0.0.1 -> 172.17.0.1). ê a ê

1. Đ u tiên Spoke A đăng ky anh x đ a ch IP t i NBMA (10.0.0.11 ->â a ị i ơ

172.17.0.1) t i Hub.ơ

2. Hub nh n thông tin anh x (10.0.0.11 -> 172.17.0.1) t Spoke A vaâ a ừ

đ a vao trong cache c a no.ư ủ

3. Hub g i reply bao cho Spoke bi t r ng no đa nh n thông tin anh xư ê ằ â a

t Spoke A. Bây gi Hub đa bi t đ c cach đ đi đ n 10.0.0.11. ừ ơ ê ươ ê ê

4. Spoke B cung đăng ky t ng t nh Spoke A.ươ ư ư



3.3.2. Phase 2 - Tính năng spoke-to-spoke

NHRP t p h p cac thông tin c n đ xây d ng cac đ ng h m spoke-to-spokeâ ơ â ê ư ươ â

b ng vi c dùng cac goi request va reply NHRP resolution, chung đ c g iằ ê ươ ư

thông qua đ ng spoke-hub-spoke trong m ng NBMA. ươ a

Trong phase nay, NHRP lam tunnel NHC-to-NHS ho t đ ng va m t giao th ca ô ô ư

đ nh tuy n đ ng đ c dùng đ phân phat thông tin đ nh tuy n v t t c cacị ê ô ươ ê ị ê ê â a

m ng đ ng sau Hub va Spoke. Trong thông tin nay ch a đ a ch IP next hopa ằ ư ị i

c a Spoke đich thu c t ng m ng đich c th .ủ ô ừ a ụ ê

Khi goi d li u đ c truy n no sẽ l y thông tin v c ng đi ra (outbound) vaư ê ươ ê â ê ô

đ a ch IP next hop (la đ a ch IP tunnel) t entry trong b ng đ nh tuy n. N uị i ị i ừ a ị ê ê

c ng outbound la c ng NHRP thi no sẽ tim entry anh x NHRP cho đ a ch IPô ô a ị i

next hop đo. N u không co entry anh x NHRP nao kh p thi NHRP đ c kichê a ơ ươ

ho t đ g i m t request NHRP resolution đ tim thông tin anh x đ a ch IPa ê ư ô ê a ị i

next-hop sang đ a ch IP trên c ng v t ly. Goi reply NHRP resolution ch aị i ô â ư

thông tin anh x va khi nh n thông tin nay thi Spoke sẽ co đ y đ thông tin đa â â ủ ê

đong goi d li u g i tr c ti p đ n Spoke đich, nên ch t n m t hop trên m ng. ư ê ư ư ê ê i ô ô a

M t trong cac h n ch c a ky thu t nay la m i Spoke ph i co t t c cac đ nhô a ê ủ â ô a â a ị

tuy n cho t t c cac m ng đich n m sau Hub va cac Spoke. Đ gi cho thôngê â a a ằ ê ư

tin đ nh tuy n đ c phân phat va c p nh t co th la ganh n ng cho giao th cị ê ươ â â ê ặ ư

đ nh tuy n ch y trên m ng VPN.ị ê a a



Hinh 3.12. Ho t đ ng Spoke to Spoke trong phase 2ạ ộ

Trên hinh trên ta th y, do phase nay cho phép k t n i spoke-to-spoke nên t tâ ê ô â

c router đ c c u hinh tunnel mGRE. Cac Spoke đ c c u hinh anh x tĩnha ươ â ươ â a

(10.0.0.1 -> 172.17.0.1) t i Hub va đăng ky thông tin anh x đ a ch NBMA (viơ a ị i

d Spoke A la 10.0.0.11 -> 172.16.1.1) c a no đ n Hub. Hub l u t t c cacụ ủ ê ư â a

thông tin đăng ky nay vao trong cache NHRP c a no. Khi đo, gi s Spoke Aủ a ư

mu n liên l c v i m ng 192.168.2.0/24 n m sau Spoke B. ô a ơ a ằ

1. Đ u tiên Spoke A tra b ng đ nh tuy n c a no va th y r ng mu n điâ a ị ê ủ â ằ ô

đ n 192.168.2.0/24 ph i đi đ n 10.0.0.12 (đ a ch tunnel c a Spokeê a ê ị i ủ

B).

2. Vi đây la đ a ch tunnel nên no tra trong b ng NHRP c a no, th yị i a ủ â

r ng không co entry anh x nao. ằ a



3. Spoke A g i m t request NHRP resolution cho đ a ch 10.0.0.12 t iư ô ị i ơ

Hub.

4. Hub tra cache NHRP c a no va tr l i v i m t reply NHRP resolutionủ a ơ ơ ô

t i Spoke A ch a entry anh x (10.0.0.12 -> 172.16.2.1). ơ ư a

5. Spoke A đ a thông tin nay vao trong b ng NHRP c a no. ư a ủ

6. Spoke A xây d ng tunnel IPSec va thi t l p k t n i tr c ti p đ nư ê â ê ô ư ê ê

Spoke B do đa bi t đ c đ a ch NBMA c a Spoke B. ê ươ ị i ủ

7. Đi u nay cung di n ra t ng t trên Spoke B.ê ễ ươ ư

3.3.3. Phase 3 - Ki n trúc và m r ngê ơ ộ

NHRP m tunnel NHC-to-NHS va giao th c đ nh tuy n phân phat thông tinơ ư ị ê

đ nh tuy n cac m ng đ ng sau Spoke t i Hub. Sau đo Hub sẽ g i l i cac thôngị ê a ằ ơ ư a

tin đ nh tuy n nay t i cac Spoke. Luc nay Hub co th tom t t thông tin đ nhị ê ơ ê ă ị

tuy n va đ t đ a ch IP next hop cho t t c cac m ng đich la chinh no. Nh đoê ặ ị i â a a ơ

giup gi m l ng thông tin đ nh tuy n phân phat t Hub t i cac Spoke, nêna ươ ị ê ừ ơ

gi m ganh n ng cho giao th c đ nh tuy n ch y trên Hub.a ặ ư ị ê a

Hub nh n goi d li u va ki m tra b ng đ nh tuy n c a no. Do goi d li u nayâ ư ê ê a ị ê ủ ư ê

đ c g i cho m ng đ ng sau Spoke nên goi đ c chuy n ti p ra c ng NHRPươ ư a ằ ươ ê ê ô

t i Spoke đo. đây ta th y goi d li u đ n va đi thông qua Hub nên m t itơ Ở â ư ê ê â

nh t hai hop trên m ng, do đo không ph i la đ ng t i u. Do v y nên Hubâ a a ươ ô ư â

g i thông đi p NHRP redirect t i Spoke. Trong thông đi p NHRP redirect nayư ê ơ ê

ch a thông tin v IP đich c a goi d li u đa lam kich ho t thông đi p NHRPư ê ủ ư ê a ê

redirect.

Khi Spoke nh n NHRP redirect no sẽ t o va g i m t request NHRP resolutionâ a ư ô

cho IP đich l y t thông đi p NHRP redirect. â ừ ê



Spoke đich sẽ reply NHRP resolution ch a đ a ch NBMA c a no va toan bư ị i ủ ô

subnet ma kh p v i IP đich d li u trong goi request NHRP resolution. Spokeơ ơ ư ê

đich sẽ g i reply NHRP resolution tr c ti p t i Spoke ngu n.ư ư ê ơ ồ

Khi ch co m t Hub va Hub nay không ho t đ ng thi Spoke sẽ g b cac đ nhi ô a ô ỡ ỏ ị

tuy n ma no h c t Hub. Tuy nhiên, cac Spoke sẽ không xoa b t ky cac tunnelê o ừ â

spoke-to-spoke nao (còn g i cac anh x NHRP) đang ho t đ ng. M c dù tunnelo a a ô ặ

spoke-to-spoke v n còn nh ng Spoke không th dùng tunnel b i vi b ng đ nhâ ư ê ơ a ị

tuy n c a no không còn đ nh tuy n cho m ng đich. ê ủ ị ê a

Khi cac entry đ nh tuy n đ c g không co m t s kich ho t nao đ NHRP gị ê ươ ỡ ô ư a ê ỡ

cac entry anh x NHRP nên cac anh x NHRP v n còn. Ch khi h t th i giana a â i ê ơ

time out cac entry anh x đ ng sẽ đ c g .a ô ươ ỡ

N u co hai ho c nhi u Hub h n bên trong m ng NBMA thi khi Hub đ u tiênê ặ ê ơ a â

không ho t đ ng thi Spoke sẽ g cac đ nh tuy n trong b ng đ nh tuy n ma noa ô ỡ ị ê a ị ê

h c t Hub nay, nh ng no v n h c đ nh tuy n t Hub th hai dù co metric caoo ừ ư â o ị ê ừ ư

h n, vi th ngay l p t c cac đ nh tuy n nay đ c cai đ t. Do v y cac traffic sẽơ ê â ư ị ê ươ ặ â

ti p t c đ c truy n trên tunnel spoke-to-spoke ma không b nh h ng khiê ụ ươ ê ị a ươ

Hub chinh không ho t đ ng.a ô



Hinh 3.13. Ho t đ ng Spoke to Spoke trong phase 3ạ ộ

Trên hinh trên, cac goi truy n t host trong m ng N1 thu c Spoke A t i hostê ừ a ô ơ

trong m ng N2 thu c Spoke B theo cac b c sau :a ô ươ

1. Spoke A tra b ng chuy n m ch cho N2 th y r ng NH1 la next-hop va laa ê a â ằ

lang gi ng c a no.ê ủ

2. NHRP t i Spoke A tra b ng anh x c a no va không tim đ c entry naoa a a ủ ươ

cho host trong N2.

3. Nên goi d li u đ c chuy n ti p t i Hub 1 (H1).ư ê ươ ê ê ơ

4. H1 chuy n ti p goi d li u đ n Spoke B. NHRP trên H1 th y r ng c ngê ê ư ê ê â ằ ô

vao (inbound) va ra (outbound) đ u cùng thu c m ng DMVPN nên g iê ô a ư



goi traffic NHRP redirect t i Spoke A. Thông đi p NHRP redirect ch aơ ê ư

đ a ch IP c a host đich va 8 byte d li u.ị i ủ ư ê

5. T i Spoke B goi d li u đ c chuy n đ n host đich trong m ng N2.a ư ê ươ ê ê a

6. Spoke A nh n goi traffic NHRP redirect t H1.â ừ

7. Spoke A x ly traffic NHRP redirect va kich ho t request NHRPư a

resolution cho đ a ch IP đich (host trong N2) c a goi d li u, đ a ch nayị i ủ ư ê ị i

đ c ch a trong thông đi p NHRP redirect.ươ ư ê

8. Request NHRP resolution theo sau đ ng d n Spoke A - Hub 1 - Spokeươ â

B. Request NHRP resolution theo đ ng d n đ c đ nh tuy n cho đichươ â ươ ị ê

cho đ n khi ch m đ n Spoke B.ê a ê

9. Spoke B tra đ nh tuy n cho đ a ch IP đich (host trong N2) th y r ng noị ê ị i â ằ

la đi m cu i c a m ng DMVPN.ê ô ủ a

10.Spoke B xây d ng tunnel IPSec t i Spoke A va g i reply NHRP resolutionư ơ ư

tr c ti p trên tunnel t i Spoke A. Reply NHRP resolution nay ch a thôngư ê ơ ư

tin prefix cho m ng N2 nh m bao r ng co th đi đ n m ng N2 thônga ằ ằ ê ê a

qua Spoke B ch không ch đ n m t host đich nay.ư i ê ô

11.Spoke A nh n reply NHRP resolution va cai anh x cho N2 vao trongâ a

b ng anh x c a no . Cac goi đi đ n b t ky host nao trong N2 đ u đ ca a ủ ê â ê ươ

chuy n tr c ti p đ n Spoke B.ê ư ê ê

Chu y la cac entry đ nh tuy n cho tunnel t N1 t i N2 (N1-TS2, N2-TS1) đ cị ê ừ ơ ươ

t o khi tunnel Spoke-to-Spoke đ c t o.a ươ a



3.4. Sự khac nhau giữa phase 3 va phase 2

Nh cac phase tr c c a DMVPN thi Hub dùng NHRP đ duy tri c s d li uư ươ ủ ê ơ ơ ư ê

đ a ch IP th t (IP public co th đi đ n đ c) c a cac Spoke. Spoke trong m ngị i â ê ê ươ ủ a

DMVPN đăng ky đ a ch IP th t c a no cho Hub dùng cac goi NHRP registration.ị i â ủ

Khi Spoke truy n traffic cho đich đ ng sau Spoke khac, no dùng cac goi requestê ằ

NHRP resolution đ truy v n c s d li u NHRP trên Hub cho đ a ch NBMAê â ơ ơ ư ê ị i

c a Spoke đich. NHRP dùng thông tin trong goi relpy NHRP resolution đ xâyủ ê

d ng tunnel spoke-to-spoke tr c ti p. Nh ng đ m r ng m ng g p m t sư ư ê ư ê ơ ô a ặ ô ô

v n đ h n ch sau: â ê a ê

Đ Spoke co th g i request NHRP resolution cho vi c xây d ng tunnelê ê ư ê ư

spoke-to-spoke, thi Spoke ph i co đ nh tuy n cho m ng đich (n m saua ị ê a ằ

spoke đich) v i đ a ch IP next-hop la đ a ch IP tunnel c a Spoke đich. Viơ ị i ị i ủ

th cang nhi u Spoke sẽ lam tăng kich th c b ng đ nh tuy n va x lyê ê ươ a ị ê ư

đ nh tuy n trên Hub va Spoke.ị ê

Khi dùng giao th c đ nh tuy n OSPF ph i c u hinh ch đ m ngư ị ê a â ê ô a

broadcast. Vi c dùng broadcast gi i h n s hub trong DMVPN ch co 2,ê ơ a ô i

m t hub lam designted router (DR) va m t hub lam backup designtedô ô

router (BDR), va m i hub ph i đ c k t n i t i DR va BDR. ô a ươ ê ô ơ

Khi dùng giao th c đ nh tuy n khac nh On-Demand Routing (ODR),ư ị ê ư

giao th c ma ch qu ng ba default-route 0.0.0.0/0 v i IP next-hop c aư i a ơ ủ

hub, vi c th c thi không h tr tunnel spoke-to-spoke.ê ư ô ơ

Đ m r ng m ng DMVPN, nhi u Hub đ c dùng đ đi u khi n cacê ơ ô a ê ươ ê ê ê

subnet riêng. Cac Hub đ c n i v i nhau va la cac NHS c a nhau. Khi đo,ươ ô ơ ủ

m t Hub b l i sẽ nh h ng đ n toan b d n đ n kho khăn trong vi cô ị ô a ươ ê ô â ê ê

c u hinh cac Hub xung quanh Hub b l i nay, va khi s Hub tăng lamâ ị ô ô

tăng đ tri hoan khi xây d ng tunnel spoke-to-spoke.ô ư



Vi c th c thi DMVPN ch cho phép m t l p Hub-Spoke đ n, nên Hubê ư i ô ơ ơ

không th la Spoke cho Hub khac trong cùng m ng DMVPN.ê a

Trong phase 2, goi d li u đ c chuy n m ch x ly t i m i hop d cư ê ươ ê a ư a ô o

theo chu i Hub cho đ n khi tunnel spoke-to-spoke đ c thi t l p, d nô ê ươ ê â â

đ n x ly chuy n m ch goi d li u co cac tri hoan không c n thi t.ê ư ê a ư ê â ê

Trong DMVPN phase 3 cung c p tinh năng nâng cao chuy n m ch t tâ ê a ă

(Shortcut Switching Enhancements) cho NHRP dùng đ tăng s l ng Spokeê ô ươ

nh m m r ng m ng DMVPN. Đ c tinh nay cung c p m t s l i ich sau: ằ ơ ô a ặ â ô ô ơ

Cho phép t ng (summarize) cac update giao th c đ nh tuy n t Hub t iô ư ị ê ừ ơ

Spoke. Cac Spoke không c n co cac đ nh tuy n riêng v i IP next hop choâ ị ê ơ

cac m ng n m sau cac Spoke đich. Khi đo Hub ch qu ng ba m t ho ca ằ i a ô ặ

m t vai đ nh tuy n t ng đ n Spoke. Giup gi m vi c truy n đ nh tuy nô ị ê ô ê a ê ê ị ê

trên Hub.

Cung c p s chuy n đ i t t h n cho m ng nhi u Hub. Khi đo b ng đ nhâ ư ê ô ô ơ a ê a ị

tuy n đ c dùng đ chuy n cac goi d li u va cac goi đi u khi n NHRPê ươ ê ê ư ê ê ê

đ n đung Hub c a m ng đich thay vi ph i truy n qua t t c cac Hub.ê ủ a a ê â a

Cho phép m r ng m ng khi dùng giao th c đ nh tuy n OSPF, b i vi cacơ ô a ư ị ê ơ

Spoke ch dùng đ nh tuy n v i IP next hop c a Hub, ta co th c u hinhi ị ê ơ ủ ê â

ch đ m ng OSPF point-multipoint thay cho ch đ broadcast. C uê ô a ê ô â

hinh OSPF point-multipoint không yêu c u DR va BDR nên không gi iâ ơ

h n m ng v i 2 Hub. a a ơ

Cho phép cac giao th c đ nh tuy n nh ODR đ c dùng va v n xâyư ị ê ư ươ â

d ng đ c cac tunne spoke-to-spoke đ ng.ư ươ ô

Cho phép ki n truc nhi u h n m t c p va mô hinh m ng DMVPN d ngê ê ơ ô â a a

cây (tree-based) ph c t p. Co th xây d ng tunnel spoke-to-spoke gi aư a ê ư ư



cac Spoke bên trong m ng DMVPN dù cùng vùng hay la không.a

Cho phép goi d li u đ c chuy n m ch CEF d c theo đ ng d n choư ê ươ ê a o ươ â

t i khi tunnel spoke-to-spoke đ c thi t l p.ơ ươ ê â

Hinh 3.14. S khác nhau gi a phase 3 và các phase 2ự ữ

3.5. Dynamic Multipoint VPN – Dual Hub.

Co hai d ng tri n khai Dynamic Multipoint VPN – Dual Hub:a ê

Dual Hub – Single DMVPN Layout.

Dual Hub – Dual DMVPN Layout.

3.5.1. Dual Hub – Single DMVPN Layout.

Dual Hub – Single DMVPN Layout d dang c u hinh tuy nhiên no không mangễ â

l i nhi u thu n l i trong vi c đ nh tuy n nh Dual Hub – Dual DMVPN Layout.a ê â ơ ê ị ê ư



Y t ng đây la ta ch co m t subnet(m t DMVPN) cho t t c cac Hub( đâyươ ơ i ô ô â a ơ

la hai Hub) va t t c cac Spoke k t n i vao subnet nayâ a ê ô

Hinh 3.15. Single DMVPN Layout

Trong tr ng h p nay thi Hub-2 cung la m t Spoke c a Hub-1.ươ ơ ô ủ

V i mô hinh trên thi Hub – 2 ch mang vai trò c a m t “Back up” hub. Khi cơ i ủ ô a

hai Hub cùng ho t đ ng thi ch co Hub – 1 đ c s d ng đ cho traffic đi quaa ô i ươ ư ụ ê

đi u nay la vô cùng lang phi. ê

N u mu n c hai Hub đ u đ c s d ng v i traffic load balancing v i khê ô a ê ươ ư ụ ơ ơ a

năng failover(kh năng ch u l i) thi vi c c u hinh đ nh tuy n sẽ r t kho khăn.a ị ô ê â ị ê â

Vi th cisco khuy n khich vi c s d ng “Dual Hub – Dual DMVPN Layout”ê ê ê ư ụ

trong vi c thi t k DMVPN.ê ê ê



3.5.2. Dual Hub – Dual DMVPN Layout.

Y t ng c a mô hinh nay trên m i Hub qu n ly m t subnet. Spoke k t n i t iươ ủ ô a ô ê ô ơ

c hai subnet nay. M i spoke sẽ c u hinh hai tunnel va đ c phân bi t b i a ô â ươ ê ơ ip

address ..., ip nhrp network−id ..., tunnel key ... va tunnel destination.

Hinh 3.16. Dual DMVPN Layout

V i mô hinh nay thi vi c c u hinh cho traffic load balancing v i kh năngơ ê â ơ a

failover(kh năng ch u l i) thi vi c c u hinh đ nh tuy n sẽ tr nên d danga ị ô ê â ị ê ơ ễ

h n so v i mô hinh “Dual Hub – Single DMVPN Layout”. Vi c c u hinh nh thơ ơ ê â ư ê

nao sẽ đ c noi ph n ti p theo.ươ ơ â ê



3.6. Câu hinh DMVPN.

Đ thi t l p tunnel mGRE va IPSec cho router Hub va Spoke, ta ph i c u hinhê ê â a â

m t IPSec profile dùng m u IPSec policy va c u hinh tunnel mGRE cho vi c maô â â ê

hoa IPSec.

C u hinh IPSec Profileấ

Tr c khi c u hinh m t IPSec Profile, ta ph i đ nh nghĩa m t transform setươ â ô a ị ô

b ng dòng l nh ằ ê crypto IPSec transform-set.

Cac l nh c u hinh IPSec profile:ê â

(1) Router(config)# crypto IPSec profile name

(2) Router(config-crypto-map)# set transform-set

(3) Router(config-crypto-map)# set security association

lifetime { seconds seconds | kilobyte kilobyte }

(4) Router(config-crypto-map)# set identity

(5) Router(config-crypto-map)# set pfs [ group1 | group2 ]

L nh (1) đi vao ch đ c u hinh crypto map đ đ nh nghĩa cac tham s IPSecê ê ô â ê ị ô

đ c dùng cho ma hoa IPSec gi a cac router “Spoke va Hub” va “Spoke vaươ ư

Spoke”. Đ i s ô ô name ch đ nh tên c a IPSec profile.i ị ủ

L nh (2) ch đ nh transform set co th đ c dùng v i IPSec profile. Đ i sê i ị ê ươ ơ ô ô

transform-set-name ch đ nh tên c a transform set.i ị ủ

L nh (3) la m t tùy ch n (Option) ch đ nh s gi i h n th ng nh t đ đ cê ô o i ị ư ơ a ô â ê ươ

dùng v i IPSec profile.ơ



L nh (4) (Option) ghi đè gia tr lifetime toan c c cho IPSec profile. Tùy ch nê ị ụ o

seconds seconds ch đ nh s giây m t SA co hi u l c tr c khi h t h n, tùyi ị ô ô ê ư ươ ê a

ch n kilobyte o kilobyte ch đ nh đ l n traffic co th truy n gi a cac thi t bi ị ô ơ ê ê ư ê ị

ngang hang (peer) IPSec trong th i gian SA co hi u l c. M c đ nh đ i sơ ê ư ặ ị ô ô

seconds la 3600 giây.

L nh (5) (Option) ch đ nh IPSec nên h i PFS (perfect v n chuy n secrecy) khiê i ị ỏ â ê

yêu c u SA m i cho IPSec profile. N u không ch đ nh m c đ nh la group1â ơ ê i ị ặ ị

đ c m . T khoa group1 ch đ nh IPSec dùng 768-bit DH khi th c thi trao đ iươ ơ ừ i ị ư ô

DH m i, group 2 ch đ nh nhom 1024-bit DH. ơ i ị

3.6.1. DMVPN single Hub.

Hinh 3.17.Single Hub.

C u hinh DMVPN hubấ

Đ c u hinh router hub cho vi c t ng tac mGRE va IPSec (k t h p tunnel v iê â ê ươ ê ơ ơ

IPSec profile) dùng cac dòng l nh sau :ê



(1) Router(config)# interface tunnel number

(2) Router(config-if)# ip address ip-address mask [ secondary ]

(3) Router(config-if)# ip mtu byte

(4) Router(config-if)# ip nhrp authentication string

(5) Router(config-if)# ip nhrp map multicast dynamic

(6) Router(config-if)# ip nhrp network-id number

(7) Router(config-if)# ip nhrp redirect

(8) Router(config-if)# tunnel source { ip-address | type number }

(9) Router(config-if)# tunnel key key-number

(10) Router(config-if)# tunnel mode gre multipoint

(11) Router(config-if)# tunnel protection IPSec profile name

(12) Router(config-if)# bandwidth kbps

(13) Router(config-if)# ip tcp adjust-mss max-segment-size

(14) Router(config-if)# ip nhrp holdtime seconds

(15) Router(config-if)# delay number

L nh (1) c u hinh interface tunnel va đi vao ch đ configuration interface.ê â ê ô

Name ch đ nh s c a interface tunnel va s l ng interface tunnel không gi ii ị ô ủ ô ươ ơ

h n.a

L nh (2) đ t đ a ch IP primary va secondary cho interface tunnel. T t c Hubê ặ ị i â a

va Spoke thu c cùng m ng DMVPN ph i cùng subnet.ô a a



L nh (3) đ t đ l n MTU (maximum transmission unit) c a goi IP đ c g iê ặ ô ơ ủ ươ ư

trên interface.

L nh (4) c u hinh chu i ch ng th c cho interface dùng NHRP. Chu i ch ngê â ô ư ư ô ư

th c NHRP ph i đ t gi ng nhau trên t t c cac Hub va Spoke trong cùng m ngư a ặ ô â a a

DMVPN. String nhi u h n 8 ky t .ê ơ ư

L nh (5) cho phép NHRP t đ ng thêm cac router Spoke t i cac anh xê ư ô ơ a

multicast NHRP.

L nh (6) cai đ t khoa ID cho tunnel. Khi cac tunnel multipoint GRE đ c c uê ặ ươ â

hinh trên cùng m t router chung ph i co khoa ID tunnel ho c đ a ch ngu nô a ặ ị i ồ

duy nh t. Khoa ID tunnel đ c ch a trong m i goi GRE, no không ch a trongâ ươ ư ô ư

b t ky thông đi p NHRP nao. Đ i s â ê ô ô number dùng nh n bi t m ng, â ê a number

g m 32 bit co range t 1 t i 4294967295.ồ ừ ơ

L nh (7) m s ch d n traffic redirect n u traffic đ c chuy n m ch v iê ơ ư i â ê ươ ê a ơ

m ng NHRP (a dùng cho phase 3).

L nh (8) đ t đ a ch source cho interface tunnel.ê ặ ị i

L nh (9) (Option) m m t khoa ID cho interface tunnel. Đ i s ê ơ ô ô ô key-number co

gia tr t 0 t i 4294967295. Key number nên đ c đ t gi ng nhau trên t t cị ừ ơ ươ ặ ô â a

Hub va Spoke trong cùng m ng DMVPN.a

L nh (10) cai đ t ch đ đong goi mGRE cho interface tunnel.ê ặ ê ô

L nh (11) k t h p c ng tunnel v i IPSec profile. Đ i s ê ê ơ ô ơ ô ô name la tên c a IPSecủ

profile, name nay ph i trùng v i a ơ name trong câu l nh ê crypto IPSec profile.

L nh (12) cai đ t gia tr băng thông cho interface. Gia tr m c đ nh la 9, nh ngê ặ ị ị ặ ị ư

nên cai đ t la 1000 ho c l n h n. N u dùng EIGRP không nên cai đ t d iặ ặ ơ ơ ê ặ ươ

1000.



L nh (13) đi u ch nh l i gia tr MSS (maximum segment size) c a goi TCP điê ê i a ị ủ

qua router. Đ i s MSS co gia tr t 500 t i 1460. Nên đ t la 1360 khi s byteô ô ị ừ ơ ặ ô

IP MTU đ c đ t 1400, khi đo cac session TCP cân b ng v i cac goi 1400 byteươ ặ ằ ơ

IP nên cac goi “fit” trong tunnel.

L nh (14) thay đ i s giây ma cac đ a ch NBMA đ c qu ng ba h p l trongê ô ô ị i ươ a ơ ê

cac NHRP response, nên đ t t 300 đ n 600 giây. Th i gian m c đ nh la 7200ặ ừ ê ơ ặ ị

giây (2 gi ). ơ

L nh (15) (Option) dùng đ thay đ i metric đ nh tuy n EIGRP cho cac đ nhê ê ô ị ê ị

tuy n đ c h c trên c ng tunnel, ê ươ o ô number nên đ t la 1000.ặ

C u hinh DMVPN spokeấ

Đ c u hinh cac router Spoke t ng tac mGRE va IPSec v i nhau dùng cacê â ươ ơ

dòng l nh sau đây :ê

(1) Router(config)# interface tunnel number

(2) Router(config-if)# ip address ip-address mask [ secondary ]

(3) Router(config-if)# ip mtu byte

(4) Router(config-if)# ip nhrp authentication string

(5) Router(config-if)# ip nhrp map hub-tunnel-ip-address hub-

physical-ip-address

(6) Router(config-if)# ip nhrp map multicast hub-physical-ip-address

(7) Router(config-if)# ip nhrp nhs hub-tunnel-ip-address

(8) Router(config-if)# ip nhrp network-id number

(9) Router(config-if)# ip nhrp shortcut



(10) Router(config-if)# ip nhrp redirect

(11) Router (config-if)# tunnel source { ip-address | type number }

(12) Router (config-if)# tunnel key key-number

(13) Router(config-if)# tunnel mode gre multipoint

ho cặ Router(config-if)# tunnel destination hub-physical-ip-address

(14) Router(config-if)# tunnel protection IPSec profile name

(15) Router(config-if)# bandwidth kbps

(16) Router(config-if)# ip tcp adjust-mss max-segment-size

(17) Router(config-if)# ip nhrp holdtime seconds

(18) Router(config-if)# delay number

L nh (5) c u hinh anh x đ a ch IP-to-NBMA tĩnh c a đ a ch đich đ c k tê â a ị i ủ ị i ươ ê

n i đ n m ng NBMA. ô ê a

L nh (6) cho phép dùng giao th c đ nh tuy n đ ng gi a Spoke va Hub va g iê ư ị ê ô ư ư

cac goi multicast t i router Hub. Dòng l nh nay không đòi h i trên cac tunnelơ ê ỏ

GRE point-to-point.

L nh (7) đ c u hinh NHS tĩnh. ê ê â C u hinh router Hub la NHS. â

L nh (9)ê m chuy n m ch t t trên interface (ơ ê a ă dùng cho phase 3).

L nh (10)ê m s ch d n traffic ơ ư i â redirect n u traffic đ c chuy n m ch v iê ươ ê a ơ

m ng NHRP (a dùng cho phase 3).

L nh (13)ê dùng l nh trên n u traffic d li u co th dùng traffic ê ê ư ê ê spoke-to-spoke

(dùng cho phase 2 tr v sauở ề ), dùng l nh d i n u traffic d li u co th dùngê ươ ê ư ê ê



cac tunnel hub-to-spoke (dùng cho phase 1).

Cac l nh còn l i co ch c năng gi ng nh c u hinh trên Hub.ê a ư ô ư â

Vi d : Ta c u hinh Hub – Spoke cho mô hinh hinh s d ng giao th c đ nhụ â ơ ư ụ ư ị

tuy n OSPF.ê

Đ ch c ch n Hub sẽ la Designated Router (DR) ta c u hinh OSPF priority l nê ă ă â ơ

h n 1 trên Hub va b ng 0 trên spokeơ ằ

Hub: ip ospf priority 2

Spoke: ip ospf priority 0

3.6.2. Dual Hub – Single DMVPN Layout

Hinh 3.18. Dual-Hub-Single Layout.

C u hinh Hub – 1 gi ng nh c u hinh c a Hub trong “DMVPN single Hub”â ô ư â ủ



C u hinh Hub – 2 c b n cung gi ng nh Hub – 1. Ch co m t s khac bi t laâ ơ a ô ư i ô ư ê

trong “Dual Hub – Single DMVPN Layout” Hub – 2 cung cung la Spoke c a Hubủ

– 1, co nghĩa la Hub – 1 la “primary hub” Hub – 2 la “secondary hub” .

Khi đo trong c u hinh c a Hub – 2 co thêm cac l nh:â ủ ê

(1) Router(config-if)# ip nhrp map hub-tunnel-ip-address hub-

physical-ip-address

(2) Router(config-if)# ip nhrp map multicast hub-physical-ip-address

(3) Router(config-if)# ip nhrp nhs hub-tunnel-ip-address

L nh (1) c u hinh anh x đ a ch IP-to-NBMA tĩnh c a đ a ch Hub – 1 đ cê â a ị i ủ ị i ươ

k t n i đ n m ng NBMA. ê ô ê a

L nh (2) cho phép dùng giao th c đ nh tuy n đ ng gi a Spoke va Hub va g iê ư ị ê ô ư ư

cac goi multicast t i router Hub – 1. Dòng l nh nay không đòi h i trên cacơ ê ỏ

tunnel GRE point-to-point.

L nh (3) đ c u hinh NHS tĩnh. C u hinh router Hub – 1 la NHS c a router Hubê ê â â ủ

– 2.

C u hinh cac Spoke c b n gi ng nh c u hinh Spoke trong DMVPN single Hubâ ơ a ô ư â

ch co s khac bi t la Spoke c u hinh Hub – 1 va Hub – 2 đ u la next hopi ư ê â ê

server(NHS).

Vi dụ :

Original:

ip nhrp map multicast 172.17.0.1



ip nhrp map 10.0.0.1 172.17.0.1

ip nhrp nhs 10.0.0.1

New:


ip nhrp map 10.0.0.1 172.17.0.1


ip nhrp map 10.0.0.2 172.17.0.5



N u ta mu n Hub – 1 la primary va Hub – 2 la back up thi ta co th c u hinhê ô ê â

“OSPF cost” trên tunnel interface khac nhau.

Hub1:interface tunnel0...ip ospf cost 10...Hub2:interface tunnel0...ip ospf cost 20

...

Tuy nhiên vi c c u hinh nh trên sẽ d n t i vi c ch co Hub – 1 đ c s d ngê â ư â ơ ê i ươ ư ụ

đ trao đ i traffic. ê ô

Vi c c u hinh đ cho Hub – 1 v a la primary Hub va traffic load balancing v iê â ê ừ ơ

kh năng ch u l i la r t kho. Vi th vi c s d ng “a ị ô â ê ê ư ụ Dual Hub – Dual DMVPN

Layout” la sự lựa chon tôt nhât.



3.6.3. Dual Hub – Dual DMVPN Layout.

Hinh 3.19. Dual Hub- Dual DMVPN Layout

Trong mô hinh nay thi viêc câu hinh Hub – 1 va Hub – 2 cơ ban giông nhau. Điêu

khac biêt la ở môi Hub co môt DMVPN khac nhau.

IP subnet (10.0.0.0/24, 10.0.0.1/24) NHRP network id (100000, 100001) Tunnel key (100000, 100001)

Câu hinh Spoke.

Tai môi Spoke ta đêu phai câu hinh hai p−pGRE tunnel interface, gia trị ip

address ..., ip nhrp network−id ..., tunnel key ... va tunnel destination đê phân

biêt hai tunnel với nhau.

Viêc câu hinh đê traffic load balancing v i kh năng ch u l i trong khi v n coơ a ị ô â

m t primary Hub va m t backup Hub sẽ tr nên d dang h n n u s d ng môô ô ơ ễ ơ ê ư ụ



hinh nay va giao th c đ nh tuy n EIGRP. Đ th c hi n đ c công vi c trên thiư ị ê ê ư ê ươ ê

ta lam theo cac b c c u hinh sau : ươ â

1. C u hinh â delay ơ tunnel interfaces t i m i hub b ng nhau va khac nhau a ô ằ

t i m i spoke. Vi th vi c c u hinh spoke sẽ quy t đ nh đâu la primary a ô ê ê â ê ị

hub,

2. S d ng câu l nh ư ụ ê offset−list <acl> out <offset> <interface> t i spoke a

đ tăng metric c a tunnel k t n i v i backup Hub.ê ủ ê ô ơ

3.6.4. Ki m tra c u hinh DMVPNê ấ

Sau khi câu hinh DMVPN ta cân xac định DMVPN hoat đông đúng chưa bằng cach

xoa cac statistic va cac session DMVPN hoặc debug DMVPN theo cac bước sau :

(1) clear dmvpn session [thiết bị ngang hàng (peer) {nbma | tunnel} ip-address] [ interface {tunnel number}] [vrf vrf-name] [static]

(2) clear dmvpn statistics [thiết bị ngang hàng (peer) {nbma | tunnel} ip-address] [interface {tunnel number}] [vrf vrf-name]

(3) no ip nhrp map …

(4) clear ip nhrp

(5) debug dmvpn {[{condition [unmatched] | [thiết bị ngang hàng (peer) [nbma | tunnel {ip-address}]] | [vrf {vrf-name}] | [interface {tunnel number}]}] | [{error | detail | packet | all} {nhrp | crypto | tunnel | socket | all}]}

(6) debug nhrp

(7) debug nhrp options

(8) debug nhrp rate

(9) debug nhrp error

(10) logging dmvpn [rate-limit seconds]



(11) show crypto IPSec sa [active | standby]

(12) show crypto isakmp sa

(13) show crypto ma

(14) show dmvpn [thiết bị ngang hàng (peer) [nbma | tunnel {ip-address}] | [network {ip-address} {mask}]] [vrf {vrf-name}] [interface {tunnel number}] [detail] [static] [debug-condition]

(15) show ip nhrp [dynamic | static] [interface-type

interface-number]

(16) show ip nhrp traffic

(17) show ip nhrp nhs [detail]

Lênh (1) dùng đê xoa cac session DMVPN.

Lênh (2) dùng đê xoa cac bô đêm (counter) co liên quan DMVPN.

Lênh (3) đê xoa môt entry cache static.

Lênh (4) đê xoa cac entry cache dynamic.

Lênh (5) dùng đê debug cac session DMVPN. Co 3 câp debug DMVPN tư thâp đên

cao la : Error level, Detail level va Packet level.

Lênh (6), (7), (8) xem xét hoat đông cua NHRP

Lênh (9) hiên thị thông tin vê hoat đông NHRP lôi.

Lênh (10) dùng đê mở DMVPN system logging.

Lênh (11) hiên thị cac cai đặt đươc dùng bởi cac SA hiên hanh.

Lênh (12) hiên thị tât ca cac IKE SA hiên hanh tai môt thiêt bị ngang hang (peer).

Lênh (13) hiên thị câu hinh crypto map.



Lênh (14) hiên thị thông tin session cu thê.

Lênh (15) hiên cache NHRP. Tùy chon dynamic va static giới han viêc hiên thi cac

entry dynamic hay static. Môt interface co thê đươc chỉ định tùy y.

Lênh (16) đê xem thông tin traffic NHRP.

Lênh (17) hiên thị chi tiêt thời gian holdtime NHRP.

3.7. Tông kêt.

Viêc hiêu rõ cơ chê hoat đông cũng như sự khac nhau giữa cac phase la rât cân thiêt

khi ta triên khai DMVPN. Đôi với phase 1, DMVPN chỉ đơn gian hoat đông chê đô

hub and spoke, khi đo moi traffic muôn truyên giữa cac Spoke điêu phai đi thông

qua Hub. Vi thê lam tôn băng thông va xư ly trên Hub, nên đây không la giai phap

tôi ưu. DMVPN phase 2 giúp giai quyêt vân đê đo bằng cach cung câp cơ chê thiêt

lâp tunnel trực tiêp giữa cac Spoke giúp truyên traffic spoke-to-spoke trực tiêp

không thông qua Hub. Tuy nhiên cac Spoke hoat đông phase 2 phai chưa tât ca

thông tin định tuyên cho tât ca mang đich trên Spoke khac. Do đo, lam hao tôn tai

nguyên trên Spoke gây kho khăn khi muôn mở rông mang. DMVPN phase 3 giúp

giai quyêt han chê nay, no cung câp tinh năng nâng cao nhằm mở rông mang.

Thông tin định tuyên đươc lưu trên Hub, ở Spoke chỉ truy vân Hub cho cac định

tuyên muôn dùng. Vi thê dễ dang khi ta thêm Spoke đê mở rông mang ma không

lam anh hưởng đên hoat đông cac Spoke khac.


CHƯƠNG 4 THƯC NGHIỆM

CHƯƠNG 4 : THỰC NGHIỆM

4.1. Tông quan.

Môt công ty khi triên khai cơ sở ha tâng mang. Công ty co môt tru sở chinh va

nhiêu chi nhanh va dự định mở thêm nhiêu chi nhanh trong tương lai ở cac tỉnh

khac nhau. Ngoai ra trong môt sô thời gian hê thông mang cua công ty cũng phai

liên kêt với hê thông mang cua đôi tac.

Công ty yêu câu tât ca cac may tinh tai tru sở, chi nhanh va cua cac đôi tac cua công

ty co thê giao tiêp đươc với nhau. Hê thông mang phai hoat đông liên tuc không bị

gian đoan va co đô tin cây cao.

Tư những yêu câu thực tê trên thi giai phap dùng công ngh “Dynamic Multipointê

VPN” v i Dual Hub la gi i phap t t nh t va ti t ki m chi phi nh t.ơ a ô â ê ê â

Hinh 4.1. Topology vât ly.



4.2. Triên khai.

Hinh 4.2. Mô hinh logic.

Mô hinh DMVPN cung câp mang VPN dynamic-mesh ma chỉ cân câu hinh tĩnh

giữa Hub va Spoke. Cac thanh phân cua DMVPN như mGRE, NHRP va IPSec sẽ

đươc giai thich suôt bai lab nay.

4.2.1.L c đ đ a chươ ồ ị ỉ

Môi site co không gian địa chỉ riêng cua no : 192.168.0.0/24 cho site trung tâm (văn

phòng trung tâm), 192.168.1.0/24 va 192.168.2.0/24 cho site 1 va site 2 (2 văn

phòng chi nhanh).

Môi router Spoke co đươc địa chỉ IP public môt cach tự đông tư ISP, chỉ Hub co địa

chỉ public tĩnh cô định.



Network Addresses

central site 192.168.0.0/24

site 1 192.168.1.0/24

site 2 192.168.2.0/24

DMVPN 1 10.0.0.0/24

DMVPN 2 10.0.1.0/24

link subnet between Hub – 1 va Internet 172.16.0.0/30

link subnet between Hub – 2 va Internet 172.16.0.4/30

link between SpokeA and Internet 172.16.0.8/30

link between SpokeB and Internet 172.16.0.12/30

Bang 4.1 Lươc đô đia chi.

4.2.2.Multipoint Generic Router Encapsulation – mGRE

Router Hub – 1

Interface tunnel 0Ip /mask 10.0.0.1/26

Source IP S0/1

Dest IP -

Tunnel type GRE multipoint

Bang 4.2. Câu hinh Tunnel Hub – 1.

Router Hub – 2


Source IP S0/1

Dest IP -


Bang 4.3. Câu hinh Tunnel Hub – 2.



Router Spoke – 1


Source IP S1/0

Dest IP -


Interface tunnel 1 Ip /mask 10.0.1.2/26

Source IP S1/0

Dest IP -


Bang 4.4. Câu hinh Tunnel Spoke – 1.

Router Spoke – 2


Source IP S0/1

Dest IP -


Interface tunnel 1 Ip /mask 10.0.1.3/26

Source IP S0/1

Dest IP -


Bang 4.5. Câu hinh Tunnel Spoke – 2.

Khi sư dung GRE hoat đông ở chê đô point-to-point thi Hub phai co n tunnel point-to-point GRE, vi thê sẽ gây kho khăn cho người quan trị mang bởi vi tât ca cac địa chỉ IP cua Spoke phai đươc biêt trước. Còn đôi với cac Spoke chỉ co thê tao tunnel đên Hub ma không thê tao tunnel trực tiêp giữa cac Spoke. Hơn nữa, cac giai phap truyên thông tiêu thu rât nhiêu tai nguyên CPU va bô nhớ bởi vi môi tunnel sẽ tao ra IDB (Interface Descriptor Block) riêng.

Phương an thay thê cho point-to-point la multipoint GRE (mGRE), khi đo môt interface đơn sẽ thay thê cho tât ca cac tunnel GRE cua cac spoke, no chỉ dùng môt IDB, câu trúc bô nhớ interface va quan ly xư ly interface đươc lưu trữ trên Hub.



Môi spoke câu hinh hai tunnel p-pGRE riêng biêt.

Hub – 1:

interface Tunnel 0

ip address 10.0.0.1 255.255.255.0

!! Gói mGRE sẽ được đóng gói ra ngoài interface vật lý

tunnel source Serial0/1

!! Mở mGRE

tunnel mode gre multipoint

!! Key nhận dạng tunnel, khớp với NHRP network-id

tunnel key 1

Hub – 2:

interface Tunnel 0

ip address 10.0.0.1 255.255.255.0

!! Gói mGRE sẽ được đóng gói ra ngoài interface vật lý


!! Mở mGRE


!! Key nhận dạng tunnel, khớp với NHRP network-id

tunnel key 2

Spoke – 1:

interface Tunnel 0

ip address 10.0.0.2 255.255.255.0





tunnel key 1

interface Tunnel 1

ip address 10.0.1.2 255.255.255.0



tunnel key 2

Spoke – 1:

interface Tunnel 0

ip address 10.0.0.3 255.255.255.0



tunnel key 1

interface Tunnel 1

ip address 10.0.1.3 255.255.255.0



tunnel key 2

4.2.3.Đ nh tuy n tĩnh (static routing)ị ê

Hub – 1 :

ip route 0.0.0.0 0.0.0.0 172.16.0.1

ip route 10.0.0.0 255.255.255.0 Serial0/1



Hub – 2 :

ip route 0.0.0.0 0.0.0.0 172.16.0.5

ip route 10.0.1.0 255.255.255.0 Serial0/1

spoke – 1:

!! Chuyển tất cả các traffic tới next-hop là ISP

ip route 0.0.0.0 0.0.0.0 172.16.0.9

spoke – 2:

!! Chuyển tất cả các traffic tới next-hop là ISP

ip route 0.0.0.0 0.0.0.0 172.16.0.13

4.2.4.Đ nh tuy n đ ng (dynamic routing)ị ê ộ

Môi Spoke co môt subnet riêng cân đươc quang ba cho tât ca cac Spoke khac.Vi thê

ta cân sư dung môt giao thưc định tuyên đông đê phân phat thông tin định tuyên. Ở

đây ta sư dung giao thưc EIGRP.

Cac hub phai câu hinh quang ba mGre cua minh va cac mang 192.168.0.0/24.

Cac tunnel hub phai tăt split-horizon.

Tât ca cac spoke đêu phai câu hinh hai mGRE va cac mang đằng sau cac spoke.

Đê Hub – 1 la primary hub, Hub – 2 la secondary hub va traffic load balancing với

kha năng chịu lôi thi ta câu hinh định tuyên theo cac bước sau.

1. C u hinh â delay ơ tunnel interfaces t i m i hub b ng nhau va khac nhau a ô ằ

t i m i spoke. Vi th vi c c u hinh spoke sẽ quy t đ nh đâu la primary a ô ê ê â ê ị

hub,

2. S d ng câu l nh ư ụ ê offset−list <acl> out <offset> <interface> t i spoke a

đ tăng metric c a tunnel k t n i v i backup Hub.ê ủ ê ô ơ



Hub – 1:

interface Tunnel 0

delay 1000

no ip split-horizon eigrp 1

tunnel key 100000

router eigrp 1

!! quảng bá mạng mGRE

network 10.0.0.0 0.0.0.255

!! quảng bá mạng cục bộ

network 192.168.0.0

Hub – 2:

interface Tunnel 0

delay 1000

no ip split-horizon eigrp 1

tunnel key 100001

router eigrp 1


network 10.0.1.0 0.0.0.255


network 192.168.0.0

Spoke – 1:

interface Tunnel 0

delay 1500



tunnel key 100000

interface Tunnel 1

delay 1000

tunnel key 100001

router eigrp 1

offset−list 1 out 12800 Tunnel1


network 10.0.0.0 0.0.0.255

network 10.0.1.0 0.0.0.255


network 192.168.1.0

Spoke – 1:

interface Tunnel 0

delay 1500

tunnel key 100000

interface Tunnel 1

delay 1000

tunnel key 100001

router eigrp 1



offset−list 1 out 12800 Tunnel1


network 10.0.0.0 0.0.0.255

network 10.0.1.0 0.0.0.255


network 192.168.2.0

4.2.5. Next Hop Resolution Protocol – NHRP

Trên môi công tunnel, NHRP phai đươc mở va đươc nhân biêt. Đê nghị rằng

network-id NHRP khớp với khoa tunnel. Cac phân tham gia NHRP co thê không

băt buôc đê đươc chưng thực.

Do NHRP la môt giao thưc client-server, server (Hub) không cân biêt cac client

(Spoke), tuy nhiên cac client phai biêt đươc server. Nên cac Spoke cai đặt Hub la

NHS môt cach rõ rang va cai anh xa địa chỉ IP tunnel sang địa chỉ IP trên công vât

ly s1/0 cua Hub môt cach tĩnh. Đồng thời cac Spoke phai anh xa viêc chuyên tiêp

multicast tới địa chỉ IP tunnel cua Hub.

Hub – 1:

interface Tunnel 0

ip nhrp authentication cisco

ip nhrp map multicast dynamic

ip nhrp network-id 100000

Hub – 2:

interface Tunnel 0

ip nhrp authentication cisco1

ip nhrp map multicast dynamic




Spoke – 1:

interface Tunnel 0



ip nhrp map 10.0.0.1 172.16.0.1



interface Tunnel 1



ip nhrp map 10.0.1.1 172.16.0.5



Spoke – 1:

interface Tunnel 0



ip nhrp map 10.0.0.1 172.16.0.1



interface Tunnel 1





ip nhrp map 10.0.1.1 172.16.0.5



4.2.6. IPSec VPN

Chỉ môt điêu cân lam sau khi cai đặt IPSec cac tham sô phase 1 va phase 2 la định

nghĩa profile IPSec va gan no tới công tunnel mGRE.

PHASE 1

Các tham số IKE

IKE seq 1

Authentication pre-shared

Encryption 3des

DH 2

Hash Sha

Lifetime 86400

Preshared Key cisco

Addr. -

PHASE 2

Profile MyIPSecProfile

Transform set MyTransform esp-3des esp-sha-hmac -

Mode Transport

!! IKE phase1 - ISAKMP

crypto isakmp policy 1

encryption 3des

hash md5

authentication pre-share



group 2

crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0

!! IKE phase2 - IPSec

crypto IPSec transform-set MyTransform esp-3des esp-sha-hmac

mode transport

!! định nghĩa profile IPSec

crypto IPSec profile MyIPSecProfile

set transform-set MyTransform

Hub – 1 :

!! đóng gói IPSec bên trong mGRE

interface Tunnel 0

tunnel protection IPSec profile IPSecProfile

Hub – 2 :


interface Tunnel 0


Spoke – 1 :


interface Tunnel 0


interface Tunnel 1


Spoke – 2 :




interface Tunnel 0


interface Tunnel 1


4.3. Kiêm tra câu hinh

4.3.1. Ki m tra c u hinh Hub.ê ấ

Trước hêt, phai bao đam rằng cac interface s0/0 va tunnel la up/up bằng dòng lênh

sh ip interface brief :

Hub_1#sh ip int br

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 192.168.0.1 YES NVRAM up up

Serial0/0 172.16.0.1 YES NVRAM up up

Tunnel0 10.0.0.1 YES NVRAM up up

Dùng lênh sh ip nhrp đê kiêm tra xem tât ca cac Spoke đã đăng ky thông tin anh xa IP tunnel sang IP NBMA cho Hub thông qua giao thưc NHRP chưa.

Hub_1#sh ip nhrp

10.0.0.2/32 via 10.0.0.2, Tunnel0 created 00:10:41, expire 01:49:18

Type: dynamic, Flags: unique registered

NBMA address: 172.16.0.9


Type: dynamic, Flags: unique registered




Dùng lênh sh ip route đê kiêm tra.

Hub_1#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.0.2 to network 0.0.0.0

172.16.0.0/30 is subnetted, 1 subnets

C 172.16.0.0 is directly connected, Serial0/0


C 10.0.0.0 is directly connected, Tunnel0

C 192.168.0.0/24 is directly connected, FastEthernet0/0

D 192.168.1.0/24 [90/2944000] via 10.0.0.2, 00:04:18, Tunnel0

D 192.168.2.0/24 [90/2944000] via 10.0.0.3, 00:04:16, Tunnel0

S* 0.0.0.0/0 [1/0] via 172.16.0.2



Dùng lênh ping đê kiêm tra lai kêt qua.

Hub_1#ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 128/144/172 ms

4.3.2. Ki m tra c u hinh spokeê ấ

Ki m tra b ng đ nh tuy n c a spoke.ê a ị ê ủ

SPOKE_2#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.16.0.14 to network 0.0.0.0


C 172.16.0.12 is directly connected, Serial0/0






D 192.168.0.0/24 [90/2969600] via 10.0.1.1, 00:11:58, Tunnel1

[90/2969600] via 10.0.0.1, 00:11:58, Tunnel0

D 192.168.1.0/24 [90/3328000] via 10.0.0.2, 00:11:58, Tunnel0

C 192.168.2.0/24 is directly connected, Loopback0

S* 0.0.0.0/0 [1/0] via 172.16.0.14

Khi Spoke 1 mu n giao ti p v i m ng con c a Spoke 2 (dùng l nh ô ê ơ a ủ ê ping t i ơ192.168.2.1), no ki m tra b ng đ nh tuy n c a no va th y r ng đ a ch ê a ị ê ủ â ằ ị i192.168.2.1 co th đi đ n thông qua đ a ch ip next-hop 10.0.0.3. Dùng l nh ê ê ị i êdebug nhrp va debug nhrp packet đ ki m tra qua trinh tim phân gi i cho ip ê ê a10.0.0.3 nay.

Spoke_1#debug nhrp

NHRP protocol debugging is on

SpokeA#debug nhrp packet

NHRP activity debugging is on

Đâu tiên Spoke A sẽ thư gưi goi request NHRP resolution trực tiêp đên Spoke B

thông qua 10.0.0.3. Nhưng qua trinh đong goi thât bai do Spoke A chưa biêt anh xa

cho ip tunnel nay.

Spoke_1#

NHRP: Attempting to send packet via DEST 10.0.0.3

NHRP: Send Resolution Request via Tunnel0 vrf 0, packet size: 81

src: 10.0.0.2, dst: 10.0.0.3



(M) flags: "router auth src-stable", reqid: 994



src NBMA: 172.16.0.9





NHRP: Encapsulation failed for destination 10.0.0.3 out Tunnel0

Sau đo, Spoke A sẽ gưi goi request NHRP resolution tới Hub đê hỏi vê địa chỉ ip

NBMA (ip public) ma tương ưng với địa chỉ ip tunnel 10.0.0.3.

Spoke_1#

NHRP: Attempting to send packet via NHS 10.0.0.1

NHRP: Encapsulation succeeded. Tunnel IP addr 172.16.0.5

NHRP: Send Resolution Request via Tunnel0 vrf 0, packet size: 81

src: 10.0.0.2, dst: 10.0.0.1



(M) flags: "router auth src-stable", reqid: 994

src NBMA: 172.16.0.9





NHRP: 81 byte out Tunnel0



Hub sẽ gưi goi reply NHRP resolution tới Spoke A do đã biêt thông tin anh xa cho

10.0.0.3. Goi reply chưa anh xa cho địa chỉ 10.0.0.3 la 172.16.0.13, thông tin anh xa

nay nằm trong vùng CIE.

Hub_1#

NHRP: Send Resolution Reply via Tunnel0 vrf 0, packet size: 109

src: 10.0.0.1, dst: 10.0.0.2



(M) flags: "router auth dst-stable unique src-stable", reqid: 994

src NBMA: 172.16.0.9





client NBMA: 172.16.0.13

client protocol: 10.0.0.3

NHRP: 109 byte out Tunnel0

Spoke 1 nhân goi reply sẽ lưu thông tin anh xa tim đươc vao bang NHRP cua minh.

Lúc nay, Spoke 1 co thê gưi traffic trực tiêp tới Spoke 2.

SPOKE_1#sh ip nhrp

10.0.0.1/32 via 10.0.0.1, Tunnel0 created 00:46:43, never expire

Type: static, Flags: authoritative used





Type: dynamic, Flags: router



PHÂN KÊT LUÂN

PHẦN KẾT LU NÂ


PHÂN KÊT LUÂN

KẾT LUẬN

Hiên nay DMVPN la giai phap hang đâu dùng đê xây dựng cac mang IPSec VPN

lớn va nhỏ. No cung câp viêc câu hinh dễ dang va kha năng dễ mở rông hơn cho

mang NBMA. DMVPN la sự kêt hơp hoan hao cua 3 giao thưc IPSec, mGRE va

NHRP nhằm lam cho DMVPN thực sự đông, giúp thực hiên viêc chuyên mach theo

cach tôi ưu nhât va giai quyêt môt sô vân đê hiên nay như cac router tram co địa chỉ

IP public đông...

Đê tai đã trinh bay đươc cac khai niêm tông quan vê DMVPN, cac lơi thê cua no so

với mang VPN thông thường. Đồng thời, đê tai cũng đã giai thich tông quan cac

giao thưc hoat đông chinh cua DMVPN. Đo la cơ chê giúp bao mât cho tunnel cua

IPSec dựa trên viêc thỏa thuân cac thông sô bao mât, cơ chê hoat đông multipoint

cua GRE đê lam giam câu hinh cân thiêt va tiêt kiêm không gian địa chỉ, cơ chê

phân giai thông tin anh xa cua NHRP đê xây dựng cac đường chuyên mach tăt.

Trong đo, NHRP la giao thưc chinh trong DMVPN giúp xây dựng hê thông mang

môt cach tự đông. Ngoai ra, đê tai cũng trinh bay cơ ban qua trinh hoat đông va sự

khac nhau giữa cac phase trong DMVPN. Giúp hiêu sâu hơn vê ban chât cũng như

cac lơi thê cua cac phase sau so với cac phase trước.

Tuy nhiên, DMVPN la môt lãnh vực rông va hiên vẫn đang đươc phat triên. Vi thê,

còn rât nhiêu khia canh ma nhom chưa co thê tim hiêu hêt đươc, chưa đi sâu vao

đặc tinh QoS cua DMVPN, ưng dung DMVPN với NAT, kha năng dự phòng với

nhiêu Hub, cũng như viêc triên khai DMVPN trên Linux. Hướng phat triên tiêp theo

cua DMVPN cũng nhằm muc đich cung câp tinh năng thuân tiên hơn cho viêc mở

rông mang VPN ma không lam anh hưởng đên toan mang, nhưng đồng thời vẫn

đam bao đươc cac vân đê như chât lương dịch vu, kha năng dự phòng va tinh linh

đông cua hê thông.


PHÂN KÊT LUÂN

Mặt khac, do những yêu tô khach quan va chu quan, đê tai không tranh khỏi những

thiêu sot. Qua đê tai nay, nhom hy vong sẽ năm băt đươc những kiên thưc nên tang

vê công nghê DMVPN nhằm tao tiên đê cho viêc hoc tâp va nghiên cưu sau nay. Vi

công nghê mới luôn phat triên không ngưng va mang tinh kê thưa, nên viêc câp nhât

kiên thưc đê lam chu công nghê la điêu hêt sưc cân thiêt trong thời đai công nghê

thông tin bùng nô như ngay nay.


PHÂN CUÔI KHOA LUÂN

PHẦN CUỐI KHÓA LUẬN



THUẬT NGỮ VIẾT TẮT

3DES (Triple DES)

ACL (Acess Control List)

AES (Advanced Encryption Standard)

AH (Authentication Header)

ARP (Address Resolution Protocol)

ATM (Asynchronous Transfer Mode)

CEF (Cisco Express Vân chuyêning)

CHAP (Challenge Handshake

Authentication Protocol)

CIE (Client Information Entry)

CPU (Central Processing Unit)

DES (Data Encryption Standard)

DNS (Domain Name System)

DH (Diffie-Hellman)

DMVPN (Dynamic Multipoint

Virtual Private Network)

DPD (Dead thiêt bị ngang hang (peer)

detection)

EIGRP (Enhanced Interior Gateway

Routing Protocol)

ESP (Encapsulating Security Payload)

FIB (Vân chuyêning Information

Base)

GRE (Generic Routing

Encapsulation)

HTTPS (Hypertext Transfer Protocol

over Secure Socket Layer)

HMAC (Hash-based Message

Authentication Code)

ID (Identification)

IDB (Interface Descriptor Block)

IKE (Internet Key Exchange)

IP (Internet Protocol)

IPSec (Internet Protocol Security)

ISAKMP (The Internet Security

Association and Key Management

Protocol)



IETF (Internet Engineering Task

Force)

IPv4 (Internet Protocol version 4)

ISP (Internet Service Provide)

IOS (Internetwork Operating System)

L2F (Layer 2 Vân chuyên Protocol)

L2TP (Layer 2 Tunnel Protocol)

mGRE (multipoint Generic Routing

Encapsulation)

MSS (maximum segment size)

MPLS (Multiprotocol Label

Switching)

MPPE (Microsoft Point-to-Point

Encryption)

MTU (Maximum Transfer Unit)

NBMA (Nonbroadcast Multiaccess)

NetBIOS (Network Basic

Input/Output System)

NHC (Next Hop Client)

NHS (Next Hop Server)

NHRP (Next Hop Resolution

Protocol)

NAT (Network Address Translation)

NAS (Network Attached Storage)

ODR (On-Demand Routing )

OSI (Open Systems Interconnection

Reference Model)

OTP (one-time password)

OSPF (Open Shortest Path First)

PAT (Port Address Translation)

PFS (perfect vân chuyên secrecy)

PPTP (Point-to-Point Tunneling

Protocol)

RIB (Routing Information Base)

RIP (Routing Information Protocol)

RFC (Request For Comment)

RSA (Rivest, Shamir, and Adelman)

SVC (Switched Virtual Circuit)

SSL (Secure Sockets Layer)

S/KEY (secure key)



SA (Security Association)

SHA-1 (Secure Hash Algorithm – 1)

TLS (Transport Layer Security)

TCP/IP (Transmission Control

Protocol/Internet Protocol)

UDP (User Datagram Protocol)

VPN (Virtual Private Network)

VPDN (Virtual Private Dialup

Network)

Xauth (Extended Authentication)



TÀI LIỆU THAM KHẢO

[1]. http://cciethebeginning.wordpress.com/tag/dmvpn/

[2]. http://www.cisco.com/go/dmvpn

[3]. http://tools.ietf.org/html/rfc2332

[4]. http://vnpro.com

[5].http://blog.internetworkexpert.com/2008/08/02/dmvpn-explained/

[6].http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_nhrp.html

[7].http://www.cisco.com/en/US/docs/ios/12_4/ip_addr/configuration/guide/

hadnhrp_ps6350_TSD_Products_Configuration_Guide_Chapter.html

[8].http://www.search.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/

ftgreips.htm

[9]. Nguyễn Bao Quôc, Nguyễn Quang Minh, Tìm hiểu công nghệ VPN và cài đặt

trên thiết bị Cisco, khoa luân tôt nghiêp 2007

[10]. Jon C.Snader, VPNs Illustrated - Tunnels, VPNs, and IPSec, Addison Wesley

Professional, 2005, chapter 5

[11]. Brian Morgan, CCIE No.6865 and Neil Lovering, CCIE No. 1772, CCNP

ISCW Official Exam Certification Guide, Cisco Press, 197 - 443

[12]. Greg Bastien, Sara Nasseh and Christian Abera Degu, CCSP SNRS Exam

Certification Guide, Cisco Press,2005, chapter 19- 22

[13]. Mark Lewis - CCIE No. 6280, Comparing, Designing and Deploying VPNs,

Cisco Press, 2006, chapter 1, 4

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO 120

http://www.search.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftgreips.htm

http://www.search.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftgreips.htm

http://www.cisco.com/en/US/docs/ios/12_4/ip_addr/configuration/guide/hadnhrp_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/12_4/ip_addr/configuration/guide/hadnhrp_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_nhrp.html

http://blog.internetworkexpert.com/2008/08/02/dmvpn-explained/

http://vnpro.com/

http://tools.ietf.org/html/rfc2332

http://www.cisco.com/go/dmvpn

http://cciethebeginning.wordpress.com/tag/dmvpn/


[14]. James Henry Carmouche - CCIE No. 6085, IPSec Virtual Private Network

Fundamentals, Cisco Press, 2006, chapter 1- 4

[15]. Vijay Bollapragada, Mohamed Khalid, Scot Wainner, IPSec VPN Design,

Cisco Press, 2005, chapter 1-2

[16]. Richard Deal, The Complete Cisco VPN Configuration Guide, Cisco Press,

2005, chapter 1-5

[17]. Anne Henmi, Firewall Policies and VPN Configurations, Syspress, 267-270

TÌM HIỂU DMVPN VÀ CÀI ĐẶT THỬ NGHIỆM TRÊN ROUTER CISCO 121

dmvpn baocao final

Documents

encapsulating

chng nn tng

ng bt buc

chng hot ng

tm hiu dmvpn

send resolution

interface

tunnel source