Tải bản đầy đủ (.ppt) (28 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

VPN động đa điểm

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (864.17 KB, 28 trang )

© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI
1
VPN động đa điểm
Dynamic Multipoint VPN
Quản trị mạng nâng cao
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
2
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Nội dung
1. Tổng quan về DM-VPN
2. Đường hầm đa điểm mGRE
3. Giao thức phân giải địa chỉ next-hop
NHRP
4. Các bước thiết lập DM-VPN
5. Cấu hình mẫu
6. Dual HUB DM-VPN
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
3
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Dynamic Multipoint VPN (DMVPN)

Thiết lập kênh IPSec VPN trong đó:

Hoạt động theo mô hình VPN đa điểm (multipoint)

Tạo thành tập hợp các mGRE Tunnel giữa các Peer

Hỗ trợ mã hóa các gói tin unicast, multicast và hỗ trợ các giao
thức định tuyến động



Hỗ trợ VPN với các Peer đầu xa dùng IP động

Hỗ trợ NAT-T

Tự động thiết lập tunnel VPN giữa spoke-spoke
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
4
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Đường hầm GRE (GRE tunnel)

GRE tunnel là đường hầm point-to-point

Mỗi GRE tunnel là một network riêng
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
5
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Đường hầm đa điểm GRE (mGRE)

Đường hầm đa điểm GRE (multipoint GRE – mGRE)

Một nguồn xuất phát

Có nhiều đích (multiple tunnel destination)

Lợi ích:


Nâng cao khả năng mở rộng khi có nhiều site

Đơn giản hóa mô hình logic
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
6
Advanced knowledge Bachkhoa Networking Academy
BKACAD
mGRE
H c vi n m ng Bách Khoa - www.bkacad.comọ ệ ạ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
7
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Đặc điểm của mGRE tunnel

Một interface tunnel

Kết nối được với nhiều site (destination)

Tạo thành một mạng Non-broadcast Multil-access (NBMA)

Hỗ trợ gửi gói tin Multicast/broadcast

Giúp cấu hình site trung tâm trở nên đơn giản hơn

Hỗ trợ các site chi nhánh sử dụng IP động

Cần thêm giao thức Phân giải địa chỉ Nexthop (NHRP)


Hỗ trợ VPN làm việc cùng NAT
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
8
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Tổng quan về NHRP

Giao thức phân giải địa chỉ next-hop

Next Hop Resolution Protocol

Phân giải đia chỉ IP thật (public) thành địa chỉ IP VPN

Địa chỉ IP VPN:

Địa chỉ logic đích (destination) của mGRE

Địa chỉ next-hop tới các site khác của kênh VPN
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
9
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Tính năng của NHRP

Map địa chỉ IP

Next-Hop Client đăng ký với Next-hop Server


Phân giải địa chỉ IP Public  địa chi IP VPN

Định tuyến: Destination  VPN IP next-hop

NHRP: VPN IP next-hop  IP public
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
10
Advanced knowledge Bachkhoa Networking Academy
BKACAD
NHRP
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
11
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Quá trình đăng ký Hub-Spoke (NHRP)
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
12
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Tự động thiết lập Spoke-Spoke tunnel
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
13
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Spoke-Spoke tunnel

H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
14
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Các bước thiết lập DM-VPN

HUB đóng vai trò Next-hop-server

SPOKE đóng vai trò Next-hop-client
1.Các SPOKE sử dụng NHRP thông báo với HUB
2.Các SPOKE cần biết được địa chỉ IP public của HUB
3.Các SPOKE gửi thông tin mapping tới HUB:
1. Logical IP address
2. Mapping Logical address to VPN IP address
4.HUB lưu tất cả các mapping từ các SPOKE
5.Các SPOKE thiết lập GRE tunnel tới HUB (point-to-point GRE
tunnel)
6.(Optional) SPOKE có thể thiết lập tunnel tới các SPOKE khác
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
15
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Tùy chọn 1: không dùng Spoke-Spoke tunnel
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
16
Advanced knowledge Bachkhoa Networking Academy
BKACAD

Cấu hình tùy chọn 1
R1 (HUB)
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 123
ip nhrp holdtime 60
no ip split-horizon eigrp 123
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile
PRO
router eigrp 123
no auto-summary
network 10.0.0.0 0.255255.255
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address
0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 20 3
crypto ipsec transform-set HQtrans
esp-aes esp-md5-hmac
mode transport
crypto ipsec profile PRO
set transform-set HQtrans

H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
17
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình tùy chọn 1
R2,3 (SPOKE)
Interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 150.1.1.1
ip nhrp map 10.0.0.1 150.1.1.1
ip nhrp nhs 10.0.0.1
ip nhrp network-id 123
ip nhrp registration timeout 30
ip nhrp holdtime 60
tunnel source Loopback0
tunnel destination 150.1.1.1
tunnel key 123
tunnel protection ipsec profile
PRO
router eigrp 123
no auto-summary
network 10.0.0.0 0.255.255.255
eigrp stub connected
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2

crypto isakmp key cisco123 address
0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 20 3
crypto ipsec transform-set S2 esp-
aes esp-md5-hmac
mode transport
crypto ipsec profile PRO
set transform-set S2
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
18
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Tùy chọn 2: dùng Spoke-to-Spoke tunnel
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
19
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình tùy chọn 2
R1 (HUB)
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 123
ip nhrp holdtime 60
no ip split-horizon eigrp 123
no ip next-hop-self eigrp 123
tunnel source Loopback0

tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile
PRO
router eigrp 123
no auto-summary
network 10.0.0.0 0.255255.255
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address
0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 20 3
crypto ipsec transform-set HQtrans
esp-aes esp-md5-hmac
mode transport
crypto ipsec profile PRO
set transform-set HQtrans
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
20
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình tùy chọn 2
R2,3 (SPOKE)
Interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip nhrp authentication cisco

ip nhrp map multicast 150.1.1.1
ip nhrp map 10.0.0.1 150.1.1.1
ip nhrp nhs 10.0.0.1
ip nhrp network-id 123
ip nhrp registration timeout 30
ip nhrp holdtime 60
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile
PRO
router eigrp 123
no auto-summary
network 10.0.0.0 0.255.255.255
eigrp stub connected
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address
0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 20 3
crypto ipsec transform-set S2 esp-
aes esp-md5-hmac
mode transport
crypto ipsec profile PRO
set transform-set S2
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI

21
Advanced knowledge Bachkhoa Networking Academy
BKACAD
DMVPN với 2 HUB (DUAL HUB)
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
22
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình HUB1
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
23
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình HUB2
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
24
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình Spoke A
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ
© 2008 Cisco Systems, Inc. All rights reserved.BSCI
25
Advanced knowledge Bachkhoa Networking Academy
BKACAD
Cấu hình Spoke B
H c vi n CNTT Bách Khoa - www.bkacad.comọ ệ

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×