Dynamic Multipoint VPN (DMVPN) là một giải pháp VPN của Cisco được sử dụng khi yêu cầu khả năng mở rộng cao và độ phức tạp cấu hình tối thiểu để kết nối các văn phòng chi nhánh với một Site HQ Hub trung tâm. DMVPN là một trong những loại VPN có khả năng mở rộng cao nhất và hiệu quả nhất được Cisco hỗ trợ. Nó hầu như chỉ được sử dụng với các cấu trúc liên kết Hub-and-Spoke nơi bạn muốn có các đường hầm VPN Spoke-to-Spoke trực tiếp bên cạnh các đường hầm Spoke-to-Hub. Điều này có nghĩa là các Site Spoke có thể giao tiếp trực tiếp giữa chúng mà không cần phải thông qua Hub. DMVPN chỉ được hỗ trợ trên Bộ định tuyến của Cisco. Nếu bạn muốn thiết kế một giải pháp VPN để kết nối nhiều Site giữa chúng (có thể hơn 10 trang web), thì DMVPN sử dụng bộ định tuyến của Cisco là một lựa chọn lý tưởng. Mặc dù cấu trúc liên kết phổ biến nhất là thiết lập Hub-and-spoke, DMVPN hỗ trợ kết nối lưới đầy đủ vì tất cả các Site có thể giao tiếp giữa chúng mà không cần phải cấu hình các đường hầm VPN tĩnh với nhau. Một số đặc điểm của DMVPN như sau: Bộ định tuyến trung tâm HUB đóng vai trò là máy chủ DMVPN và bộ định tuyến Spoke (tại các văn phòng chi nhánh) đóng vai trò là máy khách DMVPN. Bộ định tuyến HUB phải có địa chỉ IP Public tĩnh trên giao diện WAN của nó. Các bộ định tuyến nhánh Spoke có thể có IP Public tĩnh hoặc động trên mạng WAN. Mỗi site nhánh (Spoke) có một IPSECTunnel cố định với site Trung tâm (Hub). Các đường hầm Spoke-to-Spoke được thiết lập theo yêu cầu bất cứ khi nào có lưu lượng truy cập giữa các site Spoke. Sau đó, các gói có thể bỏ qua site Hub và sử dụng trực tiếp đường hầm spoke-to-spoke. Tất cả các đường hầm đang sử dụng Multipoint GRE với IPSEC NHRP (Next Hop Resolution Protocol) được sử dụng để ánh xạ IP riêng của Giao diện đường hầm với IP Public WAN tương ứng của chúng. NHRP ánh xạ ở trên sẽ được giữ trên bộ định tuyến Máy chủ NHRP (HUB). Mỗi Spoke giao tiếp với Máy chủ NHRP (Hub) và đăng ký địa chỉ IP public và IP Giao diện đường hầm riêng của nó cho bộ định tuyến Hub. Do đó, bộ định tuyến Hub sẽ lưu trữ tất cả ánh xạ cho “Tunnel Interface IP / Public WAN IP” của tất cả các trang Spoke. Khi một spoke cần gửi một gói đến một mạng con đích (private) trên một spoke khác, nó sẽ truy vấn NHRP server để tìm hiểu địa chỉ công cộng (WAN outside) của spoke đích (mục tiêu). Để có khả năng mở rộng tốt hơn, nên chạy giao thức định tuyến động (chẳng hạn như EIGRP) giữa tất cả các bộ định tuyến. DMVPN sử dụng các công nghệ mạng sau GRE đa điểm IPSEC Giao thức phân giải Next-Hop – NHRP Định tuyến tĩnh hoặc động (Static or dynamic routing) Cấu hình DMVPN Trong ví dụ cấu hình Cisco DMVPN này, sẽ trình bày cấu trúc liên kết Hub và Spoke với bộ định tuyến HUB trung tâm hoạt động như một máy chủ DMVPN và 2 bộ định tuyến spoke hoạt động như các máy khách DMVPN. Tất cả các bộ định tuyến thực hiện trong hướng dẫn này là CISCO1921/K9 (các dòng Router mới hơn như ISR 4000 Series hay 8000 Series hoàn toàn tương tự) Bước 1. Cấu hình bộ định tuyến HUB (HUB Router) Bộ định tuyến trung tâm yêu cầu một IP tĩnh được cấu hình trên giao diện WAN kết nối với internet. ! Cấu hình giao diện interface GigabitEthernet0/0 description to Internet-WAN ip address 10.10.10.1 255.255.255.252 ! interface GigabitEthernet0/1 description to LAN ip address 192.168.160.1 255.255.255.0 duplex auto ! Cấu hình giao diện đường hầm, về cơ bản là một đường hầm GRE nâng cao (Multipoint GRE) interface Tunnel1 description DMVPN Tunnel ip address 172.16.1.1 255.255.255.0 < — Chọn một mạng con IP riêng cho các đường hầm no ip redirects ip nhrp authentication nhrp1234 < —xác thực được sử dụng để cập nhật giữa các bộ định tuyến ip nhrp network-id 1 < — nhận dạng mạng phải giống nhau trên tất cả các bộ định tuyến load-interval 30 keepalive 5 10 tunnel source GigabitEthernet0/0 < — nguồn của đường hầm là giao diện WAN tunnel mode gre multipoint < — chỉ định đường hầm là đường hầm mGRE tunnel protection ipsec profile protect-gre < — mã hóa lưu lượng đi qua đường hầm này bằng ipsec ip mtu 1440 < — Giảm MTU để cho phép hoạt động từ mGRE và IPSEC ip nhrp map multicast dynamic < — Cho phép chuyển tiếp lưu lượng phát đa hướng qua đường hầm. ! Cấu hình IPSEC trên HUB crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key isakmp1234 address 0.0.0.0 0.0.0.0 —> chấp nhận kết nối từ bất kỳ nguồn nào để chứa các spoke động ! ! crypto ipsec transform-set TS esp-3des esp-md5-hmac mode tunnel ! ! crypto ipsec profile protect-gre – > hồ sơ được thêm vào đường hầm mGRE để mã hóa set security-association lifetime seconds 86400 set transform-set TS ! cấu hình định tuyến tĩnh trên HUB (định tuyến động được khuyến nghị cho các mạng lớn hơn) ip route 192.168.164.0 255.255.255.0 172.16.1.2 < — Có thể truy cập mạng LAN từ xa thông qua IP đường hầm từ xa ip route 192.168.161.0 255.255.255.0 172.16.1.3 < — Có thể truy cập mạng LAN từ xa thông qua IP đường hầm từ xa Bước 2 . Định cấu hình Bộ định tuyến Spoke Một trong các bộ định tuyến có IP được gán DHCP trên mạng WAN và bộ còn lại có IP WAN tĩnh. Spoke 1 (IP động gán từ DHCP) interface GigabitEthernet0/0 description WAN to Internet ip address dhcp duplex auto speed auto interface GigabitEthernet0/1 description To LAN ip address 192.168.164.1 255.255.255.0 duplex auto speed auto interface Tunnel1 ip address 172.16.1.2 255.255.255.0 < — trong cùng mạng con với tất cả các đường hầm khác no ip redirects ip nhrp map multicast dynamic < — Cho phép chuyển tiếp lưu lượng phát đa hướng qua đường hầm. tunnel source GigabitEthernet0/0 < — nguồn là giao diện WAN tunnel mode gre multipoint tunnel protection ipsec profile protect-gre ip nhrp authentication nhrp1234 ip nhrp map 172.16.1.1 10.10.10.1 – > ánh xạ địa chỉ IP đường hầm của HUB sang IP WAN của HUB phải là địa chỉ tĩnh ip nhrp network-id 1 ip nhrp nhs 172.16.1.1 — > cấu hình máy khách NHRP với địa chỉ IP của máy chủ NHRP của nó ip nhrp registration no-unique – > nếu bản đồ NHRP được thực hiện cho IP này, một bản đồ khác sẽ không được phép ip nhrp map multicast 10.10.10.1 < — Chỉ gửi lưu lượng phát đa hướng đến Hub. Hub sẽ nhận tất cả lưu lượng phát đa hướng (ví dụ: các bản cập nhật giao thức định tuyến) và sau đó gửi các bản cập nhật tới tất cả các bộ định tuyến Spoke. ip mtu 1440 load-interval 30 keepalive 5 10 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key isakmp1234 address 0.0.0.0 0.0.0.0 < — Các bộ định tuyến Spoke cũng phải cho phép các kết nối từ bất kỳ IP nào để hình thành các đường hầm IPSEC VPN với các Spoke khác. ! ! crypto ipsec transform-set TS esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile protect-gre set security-association lifetime seconds 86400 set transform-set TS ip route 192.168.160.0 255.255.255.0 172.16.1.1 < –Route for HUB ip route 192.168.161.0 255.255.255.0 172.16.1.3 < –Route for other Spoke site Spoke 2 (IP tĩnh gán trên cổng WAN) interface GigabitEthernet0/0 description TO Internet ip address 10.10.10.9 255.255.255.252 duplex auto speed auto interface GigabitEthernet0/1 description To: LAN ip address 192.168.161.1 255.255.255.0 duplex auto speed auto interface Tunnel1 ip address 172.16.1.3 255.255.255.0 < – trong cùng mạng con với tất cả các đường hầm khác no ip redirects ip nhrp map multicast dynamic < — cho phép chuyển tiếp lưu lượng phát đa hướng qua đường hầm. tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile protect-gre ip nhrp authentication nhrp1234 ip nhrp map 172.16.1.1 10.10.10.1 – > ánh xạ địa chỉ IP đường hầm của HUB sang IP WAN của HUB phải là địa chỉ tĩnh ip nhrp network-id 1 ip nhrp nhs 172.16.1.1 — > cấu hình máy khách NHRP với địa chỉ IP của máy chủ NHRP của nó ip nhrp registration no-unique – > nếu bản đồ NHRP được thực hiện cho IP này, một bản đồ khác sẽ không được phép ip nhrp map multicast 10.10.10.1 < — chỉ gửi lưu lượng phát đa hướng đến Hub. Hub sẽ nhận tất cả lưu lượng phát đa hướng (ví dụ: cập nhật giao thức định tuyến) và sau đó gửi cập nhật tới tất cả các bộ định tuyến Spoke. ip mtu 1440 load-interval 30 keepalive 5 10 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key isakmp1234 address 0.0.0.0 0.0.0.0 < — các bộ định tuyến Spoke cũng phải cho phép các kết nối từ bất kỳ IP nào để hình thành các đường hầm IPSEC VPN với các Spoke khác. ! ! crypto ipsec transform-set TS esp-3des esp-md5-hmac mode tunnel ! !crypto ipsec profile protect-gre set security-association lifetime seconds 86400 set transform-set TS ip route 192.168.160.0 255.255.255.0 172.16.1.1 < –Route for HUB ip route 192.168.164.0 255.255.255.0 172.16.1.2 < –Route for other Spoke site Bước 3 – Xác minh DMVPN trên HUB show dmvpn Legend: Attrb –> S – Static, D – Dynamic, I – Incomplete N – NATed, L – Local, X – No Socket T1 – Route Installed, T2 – Nexthop-override C – CTS Capable # Ent –> Number of NHRP entries with same NBMA peer NHS Status: E –> Expecting Replies, R –> Responding, W –> Waiting UpDn Time –> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel1, IPv4 NHRP Details Type:Hub, NHRP Peers:2, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb —– ————— ————— —– ——– —– 1 10.10.10.5 (peer public IP) 172.16.1.2 (peer tunnel IP ) UP 07:51:19 D 2 10.10.10.9 172.16.1.3 UP 09:41:33 D show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 10.10.10.5 10.10.10.1 QM_IDLE 1011 ACTIVE —— > kết nối IPsec giữa các bộ định tuyến 10.10.10.9 10.10.10.1 QM_IDLE 1012 ACTIVE HUB# ping 192.168.164.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.164.1, timeout is 2 seconds: .!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms HUB# ping 192.168.161.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.161.1, timeout is 2 seconds: .!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms Lưu ý: Bạn có thể sử dụng định tuyến tĩnh hoặc giao thức định tuyến động để cho phép liên lạc trong đám mây DMVPN. Trong hướng dẫn này đã sử dụng định tuyến tĩnh nhưng đối với các mạng lớn hơn, bạn nên dùng định tuyến động, chẳng hạn như EIGRP. Chúc các bạn thành công. Bài viết liên quan: Tìm hiểu Dynamic Multipoint VPN (DMVPN) - VPN đa điểm động
