LỜI MỞ ĐẦU

Lý do chính thức thúc đẩy phát triển VPN là để tiết kiệm chi phí. Các tập đoàn,
các công ty, các tổ chức có các văn phòng làm việc ở khắp nơi trên thế giới nhưng
mạng máy tính của các văn phòng cùng tập đoàn hay tổ chức lại muốn kết nối với
nhâu để trao đổi công việc hằng ngày. Để có được kết nối mạng máy tính này, họ
phải thuê một đường truyền riêng để kết nối giữa các văn phòng hoặc kết nối vào
mạng internet. Như vậy Internet và hình thái mạng VPN được hình thành từ đây.

Mỗi văn phòng có mạng máy tính cục bộ (site) muốn kết nối điểm-tới-điểm
(point-to-point) cần thuê một đường truyền riêng (leased line) để kết nối với một văn
phòng khác. Nếu một site lại cần kết nối đến nhiều site khác (hay nhiều site kết nối
nhiều site any-to-any, full-mesh là mỗi site lại kết nối với site còn lại, có n site và 1
site cần kết nối với các site còn lại thì cần n-1 leased line. Giá mỗi leased line phụ
thuộc vào khỏang cách và tốc độ của leased line.

Chắc hẳn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối
mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh.
VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá
nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải
thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ
liệu này, phổ biến nhất là IPSec. Trong bài viết này, em xin giới thiệu đến các bạn
và thầy cô một kỹ thuật mới có liên quan đếm VPN đó là Dynamic Multipoint VPN.
Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VPN dạng site-to-site,
tức là kết nối giữa cho nhánh (branch) và trung tâm (central). Dynamic là động, có
nghĩa là kết nối này hoàn toàn tự động. Để hiểu rõ hơn về DMVPN, chúng ta sẽ đi
vào việc nghiên cứu triển khai hệ thống mạng DMVPN này.
 CHƯƠNG 1: TỔNG QUAN

1.Giới thiêụ công nghê ̣ VPN

1.1 ̣ sử hiǹ h thành và phát triể n của ma ̣ng VPN
Lich

VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ
nhiề u năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra
một dạng mới nhất. VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm
80 và được biết như Software Defined Networks (SDN). Thế hệ thứ hai của VPN ra
đời từ sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số ISDN
(Integrated Services Digital Network) từ đầu những năm 90. Hai công nghệ này cho
phép truyền những gói dữ liệu qua các mạng chia sẽ chung.

Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và
chậm tiến triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và
ATM (Asynchronous Tranfer Mode). Thế hệ thứ ba của VPN đã phát triển dựa theo
2 công nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch
kênh ảo, theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó,
chúng sẽ mang những con trỏ, trỏ đến các mạch ảo nơi mà dữ liệu nguồn và đích sẽ
được giải quyết.
 1.2 Đinh
̣ ngiã VPN

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet)
để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung
tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra
các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa
điểm hoặc người sử dụng ở xa.

Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp
sự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không
an toàn. VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ
liệu.

Hình 1: Mô hình VPN thông thường

1.2.1 Nguyên tắc hoạt động của VPN

Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ
bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công
cộng như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính
trên mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên
kết điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nếu bị chặn trên
mạng chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa.
Đó là một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư
bằng cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo
mật (security procedures). VPN có thể sử dụng để kết nối giữa một máy tính tới một
mạng riêng hoặc hai mạng riêng với nhau.

Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách
đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải
mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.

Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử
dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta
sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.

 Internet Protocol Security (IPSec)

 Point-to-Point Tunneling Protocol (PPTP)
 Layer2 Tunneling Protocol (L2TP)
 Secure Socket Layer (SSL)
.

1.2.2 Các chức năng, ưu và nhươ ̣c điể m của VPN

1.2.2.1 Các chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).

 Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
 xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.
 Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
 Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu
có lấy được thì cũng không đọc được.
1.2.2.2 Ưu và nhươ ̣c điể m của VPN
Ưu điểm
 Giảm thiểu chi phí triển khai.
 Giảm chi phí quản lý.
 Cải thiện kết nối.
 An toàn trong giao dịch.
 Hiệu quả về băng thông.
 Dễ mở rộng, nâng cấp.

Với những ưu điể m trên cho thấ y sự vươ ̣t trô ̣i của VPN về mă ̣t chi phítriể n khai
và đáp ứng đươ ̣c tính bảo mâ ̣t so với dịch vu ̣ thuê kênh riêng Leased Line chi phí
thuê kênh riêng rấ t tố n kém nên không sử du ̣ng phổ biế n như VPN.

Nhược điểm
 Phụ thuộc trong môi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa.
1.2.3 Các kiểu VPN trên Router Cisco, Fix, ASA

VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:

 Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xách
tay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới các tài
nguyên mạng.
 Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
 Ðược điều khiển truy cập tài nguyên mạng khi cần thiết của khách hàng,
nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh.

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia
ra làm 2 phân loại chính sau:

 VPN truy cập từ xa (Remote-Access).

 VPN điểm-nối-điểm (Site-to-Site).
1.2.4 VPN truy cập từ xa

Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kết nối người dùng-đến-
LAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặc
các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng
của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi
nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác.

Trong hình minh hoạ 1 ở trên cho thấy kết nối giữa văn phòng chính và văn
phòng tại nhà hoặc nhân viên di động là loại VPN truy cập từ xa

Thuận lợi chính của VPN truy cập từ xa:

 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
  Sự cần thiết hổ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã
được tạo điều kiện thuận lợi bởi ISP.
 Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối
với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
 Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với
kết nối trực tiếp đến những khoảng cách xa.
 VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ
truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng
thời đến mạng.

1.2.4 VPN điểm nối điểm

VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này
có thể dựa trên Intranet hoặc Extranet.

VPN Intranet

Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa
điểm đều đã có một mạng LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để
kết nối các mạng cục bộ vào một mạng riêng thống nhất.

Trong hình minh họa 1.1 ở trên, kết nối giữa Văn phòng chính và Văn phòng từ
xa là loại VPN Intranet.

Thuận lợi của Intranet VPN:

 Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn
cầu, các trạm ở một số remote site khác nhau.
 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
  Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu
chi phí cho việc thực hiện kết nối mạng Intranet.
Bất lợi của Intranet VPN:
 Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình truyền thông trên mạng
công cộng (Internet) nên tồn tại những nguy cơ tấn công, như tấn công bằng
từ chối dịch vụ (denial-of-service) vẫn còn là một mối đe doạ an toàn thông
tin.
 Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.

VPN Extranet

Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như:
một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng Extranet VPN
để kết nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm
việc trong một môi trường có chia sẻ tài nguyên.

Trong hình minh họa 1ở trên, kết nối giữa Văn phòng chính với Đối tác kinh
doanh là VPN Extranet

Thuận lợi của Extranet VPN:

 Do hoạt động trên môi trường Internet nên chúng ta có thể lựa chọn nhà
phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu
của tổ chức.
  Bởi vì một phần kết nối được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm
chi phí bảo trì khi thuê nhân viên bảo trì.
 Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.

Bất lợi của Extranet VPN:

 Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn
tại.
 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.

Ngoài ra, VPN còn nghiên cứu và phát triển các ứng dụng, giao thức mới
vào DMVPN cho phép mở rộng những mạng IPSec VPN.

2. Công nghệ DM VPM (Dynamic Multipoint VPN)

Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-
and-spoke và spoke-and-spoke. Đề hiểu được hai khái niệm này, trước tiên bạn nên
hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng
WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào
minh họa dưới cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần
Branches.
 Hình 1.1: Mô hình triển khai DMVPN

Cũng trên hình trên chúng ta thấy rõ đường màu xanh chính là kết nói giữa
Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-
and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong
Stfe-to-Srte. Khải nệm mới chính là ở chỗ Spoke-and-Spoke, là kết nối giữa các
chinh nhánh với nhau.

Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nói một Client đến một Site, hoặc
một S1te đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn,
đó là kết nói giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ
Mu/tipoini. Có một vài tên gọi mà các bạn nên lưu tâm đến đề tránh nhằm lẫn. Khi
nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung
tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central
và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke năm ở Central và Branch.

Các thành phần của DMVPN Chúng ta sẽ cùng thảo luận về các thành phần cần
thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN đề kết nói các
văn phòng chi nhánh.

Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải
có những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp đề
chúng ta lựa chọn, nhưng phô biến nhất vẫn là Router của Cisco.

Nhìn vào mô hình ở dưới, chúng ta nhận thấy rằng, để kết nối được giữa Hub và
Spoke nó phải kết nói thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ
internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud
này có thể là Frame- Reply, ATM, Leased Lmes.

 Kỹ thuật thiết kế Trong thiết kế DMVPN, có hai topology được đưa ra

bàn luận:
 Dual hub-dual DMVPN cloud e
 Dual hub-single DMVPN cloud

Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu
hình định tuyến để giao tiếp với nhau. Bạn có thê dùng giao thức mGRE hoặc PPP
hoặc là cả hai để cầu hình giao tiếp với các router này, chúng phải có cùng subnct.
Như vậy hai kỹ thuật đề cập ở trên có thê hiểu là đa hub đa DMVPN cloud và đa hub
một DMVPN cloud. Nó được minh họa như hình dưới.
 Hình 1.2: Dual DMVPN Clound Topology

Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết
nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy
trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng
trong trường hợp Hub 1 gặp chút trục trặc. Giữa Hubl và Hub 2 được khuyến cáo kết
nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net
được chia mạng con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao
tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng
Failover, tức là hạn chế sự có, luôn duy trì kết nối.
  Hình 1.3: Single DMVPN Cloud Topology

Mô hình thứ hai, dual hub singel DMVPN cloud, bạn chỉ có một đường mạng đề
kết nói tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết nói
về hai hub. Giải pháp này được biết đến với khả năng load balanced. DMVPN cloud
hỗ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong hub-
and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p
hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch
đều có mGRE mterfacce. Dual DMVPN Cloud Topology Với Dual Cloud chúng †a
sẽ thảo luận cho hai model triên khai:

 Hub-and-spoke
  Spoke-to-spoke
 Hub-and-Spoke

Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hubl
và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch.

 Hình 1.4: Dual DMYVPN Cloud Topology—Hub-and-Spoke

Deployment Model

Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN
cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của
Branch đi qua. Mỗi branch có chứa hai interface p2p GRE kết nối đến mỗi Hub riêng
lề. Trong model triển khai này không có tunnel nào giữa các branch. Giao tiếp nội
bộ giữa các branch được cung cấp thông qua hub. Thông số metric của giao thức
định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là primary hub.

Kiến trúc hệ thống của trung tâm (system headend)

Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:

 Single Tier
 Dual Tier
 Simgle Tier

Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Cryptfo cùng tồn tại
trong một CPU của router.
 Hình 1.5: Single Tier Headend Architecture

Hình trên là giải pháp dual cloud với model hud-and-spoke. Tắt cả các Headend
đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel,
để phục vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại
trung tâm, headend có thê gửi một thông điệp để báo cho giao thức định tuyến đang
được sử dụng tại branch như EIGRP, OSPF, bất kế đường nào được chọn trong cloud
(cloud path — đường kết nối giữa các router).

Dual Tier