Hiện nay, trong môi trường kinh doanh có một lượng rất lớn các thông tin cần phải chuyển tiếp đến nhiều nơi trong cùng một thời gian. Cùng thời điểm đó, các doanh nhân và các nhà nghiên cứu cần lấy một lượng lớn thông tin và thống kê trong cùng một ngày. IP multicast chính là kĩ thuật giúp cho mạng tiết kiệm được băng thông. IP Multicast là một sự thay thế tốt cho quá trình truyền unicast khi mà các công ty cần chuyển thông tin đến nhiều khách hàng trong cùng một thời điểm. Sử dụng IP Multicast có thể giảm tải cho mạng.
VPN là một mạng riêng ảo của người dùng dựa trên các cơ sở hạ tầng của mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần mền, phần cứng hoặc cả hai phần này để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng hiện nay mạng VPN được sử dụng hệ thống mạng công cộng sẵn có như internet để kết nối các văn phòng cũng như nhân viên ở xa.
Thay vì sử dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lí với sự phát triển đó thì các dịch vụ mới lại được thêm vào để phục vụ tốt hơn cho nhu cầu sử dụng.
34 trang |
Chia sẻ: tuandn | Lượt xem: 3074 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Đề tài Giải pháp IP Multicast ứng dụng vào mạng riêng ảo VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TRUNG TÂM CÔNG NGHỆ THÔNG TIN
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
Nội dung: Giải pháp IP Multicast ứng dụng vào mạng riêng ảo VPN
Nơi thực tập: Trung tâm CNTT-CDIT
Người hướng dẫn: Cô Lê Thị Hà
Sinh viên thực hiện: Lê Thị Huê
Hà Nội 11/2011
LỜI CẢM ƠN
Em xin chân thành cảm ơn trung tâm công nghệ thông tin, Trường Học Viện Công Nghệ Bưu Chính Viễn Thông đã tạo điều kiện cho tốt cho em thực hiện báo cáo tốt nghiệp này.
Em xin chân thành cảm ơn cô giáo Lê Thị Hà đã tận tình hướng dẫn, chỉ bảo cho em trong suốt thời gian thực hiện đề tài.
Chúng em xin chân thành cảm ơn quý thầy cô trong khoa đã tận tình giảng dạy, trang bị cho chúng em những kiến thức quý báu trong những năm học vừa qua.
Xin chân thành cảm ơn gia đình, anh chị, bạn bè đã ủng hộ giúp đỡ động viên em trong suốt thời gian học tập và nghiên cứu.
Mặc dù em đã cố gắng hoàn thành báo cáo trong phạm vi và khả năng cho phép nhưng chắc chắn sẽ không tránh khỏi những sai sót rất mong quý thầy cô và các bạn thông cảm. Em kính mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn!
Sinh v
MỤC LỤC
PHẦN A. GIỚI THIỆU ĐƠN VỊ THỰC TẬP
I. CHỨC NĂNG
Trung tâm Công Nghệ Thông Tin CDIT có nhiệm vụ: Nghiên cứu, phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công Nghệ Thông Tin phục vụ ngành Bưu Chính Viễn Thông và xã hội.
II. TỔ CHỨC
Phòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông
Chức năng, nhiệm vụPhòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông là đơn vị nghiên cứu phát triển của Trung tâm có chức năng:
Nghiên cứu đề xuất, phát triển và triển khai các giải pháp và ứng dụng trên mạng viễn thông, bưu chính.
Thực hiện các dịch vụ kỹ thuật trên mạng truyền thông.
Chủ trì việc quản trị phòng LAB và cơ sở hạ tầng truyền thông của Trung tâm.
Hợp tác nghiên cứu khoa học, tiếp nhận và chuyển giao công nghệ trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin.
Tổ chức, tham gia đào tạo, bồi dưỡng theo nhu cầu của Trung tâm, Học viện và Tập đoàn.
Tham gia công tác bảo trì, hỗ trợ kỹ thuật và thực hiện các hoạt động khác trong lĩnh vực công nghệ thông tin và truyền thông theo định hướng của Trung tâm, Học viện và Tập đoàn.
III. CÁC LĨNH VỰC HOẠT ĐỘNG.
Trung tâm Công Nghệ Thông Tin hoạt động trên 5 lĩnh vực chính:
Nghiên cứu khoa học công nghệ.
Phát triển, triển khai công nghệ và sản phẩm.
Sản xuất phần mềm và thiết bị.
Tiếp nhận và chuyển giao công nghệ.
Đào tạo và bồi dưỡng nhân lực.
PHẦN B. NỘI DUNG THỰC TẬP
I. GIỚI THIỆU CHUNG
Hiện nay, trong môi trường kinh doanh có một lượng rất lớn các thông tin cần phải chuyển tiếp đến nhiều nơi trong cùng một thời gian. Cùng thời điểm đó, các doanh nhân và các nhà nghiên cứu cần lấy một lượng lớn thông tin và thống kê trong cùng một ngày. IP multicast chính là kĩ thuật giúp cho mạng tiết kiệm được băng thông. IP Multicast là một sự thay thế tốt cho quá trình truyền unicast khi mà các công ty cần chuyển thông tin đến nhiều khách hàng trong cùng một thời điểm. Sử dụng IP Multicast có thể giảm tải cho mạng.
VPN là một mạng riêng ảo của người dùng dựa trên các cơ sở hạ tầng của mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần mền, phần cứng hoặc cả hai phần này để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng hiện nay mạng VPN được sử dụng hệ thống mạng công cộng sẵn có như internet để kết nối các văn phòng cũng như nhân viên ở xa.
Thay vì sử dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lí với sự phát triển đó thì các dịch vụ mới lại được thêm vào để phục vụ tốt hơn cho nhu cầu sử dụng.
Cùng với sự phát triển của của Internet, thông tin trở thành một vũ khí quan trọng trong hoạt động của cá nhân, doanh nghiệp và cả chính phủ. Vì vậy việc chuyển tiếp thông tin tới nhiều nơi trong cùng một thời gian là rất quan trọng, hơn nữa vấn đề bảo mật thông tin cũng là vấn đề vấn đề được đặt lên hàng đầu với các cơ quan, doanh nghiệp.
Thấy được tầm quan trọng của IP Multicast và mạng riêng ảo VPN vì thế e đã lựa chọn đề tài ”Giải pháp IP Multicast ứng dụng vào mạng riêng ảo VPN” với mong muốn được đi sâu nghiên cứu nó và tìm hiểu thêm được những ứng dụng mới thiết thực nhất của IP Multicast trên mạng riêng ảo VPN.
II. NỘI DUNG
CHƯƠNG 1. TỔNG QUAN VỀ IP MULTICAST
Khái niệm
IP Multicast là một trong những công nghệ và tiêu chuẩn tiêu biểu cho phép truyền dẫn đa điểm – đa điểm như các hội nghị truyền hình, quảnng bá âm thanh, hình ảnh trên Internet.
Chức năng
Chức năng chính của IP Multticast là cung cấp khả năng kết nối mạng con thành liên kết mạng để truyền dữ liệu.
Truyền dẫn các gói dữ liệu từ một nguồn tới nhiều đích.
Các ưu nhược điểm
Ưu điểm
Tối ưu băng thông đường truyền
Giảm số kết nối tới server
Tăng băng thông cho hệ thống
Nhược điểm
Bên cạnh những ưu điểm rất nổi bật thì IP Multicast gặp rất nhiều khó khăn trong vấn đề bảo mật.
Thiếu hỗ trợ về quản lí lưu lượng.
Độ tin cậy và bảo mật không cao.
Địa chỉ IP Multicast
Một địa chỉ IP multicast là một địa chỉ IP lớp mạng D trong phạm vi từ 224.0.0.0 đến 239.255.255.255. Một số các địa chỉ này được dành riêng cho mục đích đặc biệt.
Lớp D 28 bit
Hình 1. Mô hình địa chỉ lớp D
Một số địa chỉ dành riêng cho IP Multicast:
Bảng 1. các địa chỉ dành riêng cho IP Multicast và chức năng của chúng
Địa chỉ multicast
Chức năng
244.0.0.0
Địa chỉ cơ sở
224.0.0.1
Tất cả các hệ thống trên mạng con này
224.0.0. 2
Tất cả các Router trên mạng con này
224.0.0. 5
Các DR trong OSPF
224.0.1. 9
Nhóm địa chỉ RIPv2
224.0.1. 24
Nhóm địa chỉ WINS server
Giao thức trong Multicast
Giao thức PIM Dense Mode
PIM (Protocol Independent Multicast) là giao thức multicast hoạt động độc lập với giao thức định tuyến IP unicast. Nó sử dụng thông tin từ bảng định tuyến unicast để thực hiện quá trình kiểm tra Reverse Path Forwarding (RPF) từ đó đưa ra quyết định gửi dữ liệu. PIM có thể cấu hình để hoạt động theo hai cơ chế là dense mode và sparse mode bao gồm các quá trình cơ bản như: tìm kiếm hàng xóm, cắt bỏ và ghép nhánh trên cây phân phối multicast, cơ chế xác nhận.
Hình 2. Mô hình giao thức PIM Dense Mode
Giao thức định tuyến IGMP (Internet group menbership protocol)
Giao thức IGMP phát triển từ giao thức Host Membership Protocol. IGMP phát triển từ IGMPv1 (RFC 1112) đến IGMPv2 (RFC 2236) và phiên bản cuối cùng IGMPv3 (RFC 3376). Các thông điệp IGMP được đóng gói trong IP datagram với trường protocol number bằng 2, trong đó trường TTL (Time To Live) có giá trị bằng 1. Các gói IGMP chỉ được truyền trong LAN và không được tiếp tục chuyển sang LAN khác do giá trị TTL của nó. Hai mục đích quan trọng nhất của IGMP là:
Thông báo cho router multicast biết rằng có một máy muốn nhận dữ liệu từ một nhóm multicast.
Thông báo cho router biết có một máy muốn rời nhóm multicast .
Giao thức IGMP cho phép các trạm có thể đăng kí tham gia hay rời bỏ một nhóm.
Hình 3. Giao thức định tuyến IGMP
Giao thức định tuyến PIM-SM (Protocol independent multicast - Sparse Mode)
PIM Sparse Mode (PIM-SM) dùng một giải pháp khác. Cây Multicast không mở rộng đến router cho đến khi nào một host đã tham gia vào một nhóm. Cây Multicast được xây dựng bằng các thành viên ở các nút lá và mở rộng ngược về gốc.
Các hoạt động của PIM-SM xoay quanh một cây chia sẻ một chiều
Giao thức PIM-SM người dùng có thể nhận dữ liệu multicast thông qua cây đường đi ngắn nhất SPT.
PIM chỉ sử dụng một thông điệp đơn Join/Prune cho chức năng làm sáng tỏ quá trình tham gia hay cắt bỏ nhánh.
PIM-SM hỗ trợ khả năng cho phép router DR ở chặng cuối (là router kết nối trực tiếp với các máy nhận dữ liệu) có thể chuyển từ cây chia sẻ sang cây SPT cho một nguồn multicast.
Hình 4. Giao thức định tuyến PM-SM
Truyền dẫn Multicast
IP Multicast dùng để truyền dẫn các gói dữ liệu IP từ một nguồn đến nhiều đích trong một mạng LAN hay WAN. Các host tham gia vào một nhóm Multicast và các ứng dụng chỉ gửi một bản sao của thông tin cho một địa chỉ nhóm. Thông tin này chỉ gửi đến những điểm muốn nhận được lưu lượng đó. Việc gửi bản tin Unicast và Broadcast là các trường hợp đặc biệt của phương pháp Multicast. Truyền Multicast cải thiện đáng kể về hiệu suất, thường sử dụng băng thông nhỏ hơn truyền đơn trên mạng.
Truyền dẫn Unicast
Truyền dẫn Unicast là truyền dẫn điểm - điểm. Nhiều host muốn nhận thông tin từ một bên gửi thì bên gửi đó phải truyền nhiều gói tin đến các bên nhận. Điều này sẽ dẫn đến gia tăng băng thông khi có quá nhiều bên nhận và không hiệu quả về nguồn và bộ đệm.
Hình 5. Mô hình truyền dấn Unicast
Truyền dẫn Broadcast
Kiểu truyền dẫn này cho phép truyền gói tin từ một địa điểm tới tất cả các host trên một mạng con mà không quan tâm đến việc một số host không có nhu cầu nhận nó. Kiểu truyền dẫn này được coi là một sát thủ băng thông do việc sử dụng tài nguyên băng thông không hề hiệu quả.
Hình 6. Mô hình truyền dẫn broadcast
Mô hình truyền dẫn Multicast
Đây là phương pháp truyền dẫn đa điểm, trong đó chỉ các host có nhu cầu nhận dữ liệu mới tham gia vào nhóm. Điều này hạn chế tối đa sự lãng phí băng thông trên mạng, hơn nữa còn nhờ cơ chế gửi gói dữ liệu Multicast mà băng thông được tiết kiệm triệt để.
Hình 7. Mô hình truyền dẫn Multicast
CHƯƠNG 2. GIỚI THIỆU MẠNG RIÊNG ẢO VPN
Khái niệm
Mạng riêng ảo (VPN) là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với chính sách quản lí và bảo mật giống như mạng cục bộ. Mạng riêng ảo mở rộng phạm vi của các mạng LAN mà không bị hạn chế về mặt địa lý. Các hãng thương mại có thể dùng VPN để cung cấp quyền truy nhập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.
VPN = tunnelling + data private (encryption, hashing..)
chức năng
VPN cung cấp ba chức năng chính đó là:
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.
Tính toàn vẹn
Đảm bảo dữ liệu không bị thay đổi hay có sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật
Người gửi mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Đảm bảo không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được.
Các ưu nhược điểm của VPN
Ưu điểm
Tiết kiệm chi phí đầu tư và chi phí thường xuyên. Tổng giá thành khi sở hữu một mạng VPN được thu nhỏ do phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống.
Tính linh hoạt không những được thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng.
Khả năng mở rộng và phát triển do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khai VPN. Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu. Khả năng ứng dụng của VPN là rất lớn và sẽ phát triển rất mạnh trong tương lai. Ngoài ra VPN còn một số ưu điểm như giảm thiểu các hỗ trợ kĩ thuật và yêu cầu về thiết bị…
Nhược điểm
Vấn đề an ninh VPN tiềm ẩn nhiều rủi ro an ninh khó lường trước và do đó sự an toàn sẽ không là tuyệt đối.
Độ tin cậy và sự thực thi VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu. Trong VPN có các khoá ứng dụng làm việc mà không đòi hỏi VPN.
Mã hóa và thuật toán phức tạp do mã hóa và thuật toán phức tạp dẫn tới tốc độ xử lí máy chủ chậm gây tắc nghẽn và mất thông tin.
Phân loại mạng VPN
Dựa trên nhu cầu cơ bản hiện nay thì mạng VPN thường được phân chia làm 3 loại sau:
Remote Access VPN
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa diểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Hình 8. Remote Acess VPN
Các thành phần chính
Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.
hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng
những người dùng từ xa chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet.
Thuận lợi của Remote Acess VPN
Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.
Việc quay số nhanh từ những khoảng cách xa được loại trừ, thay vào đó sẽ là các kết nối cục bộ.
Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
Một số bất lợi của VPNs:
Remote Access VPNs không đảm bảo được chất lượng phục vụ.
khả năng mất dữ liệu và bị thất thoát là rất cao.
Gây khó khăn cho quá trình xác nhận và nén dữ liệu IP chậm (Do độ phức tạp của thuật toán mã hóa, protocol overhead tăng đáng kể).
Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn thì sẽ rất chậm.
Site-to-Site VPN
Sử dụng mật mã dành riêng cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet.
Hình 9. Site To Site VPN
LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. Đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.
Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách giữa chúng.
Extranet
Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh: chẳng hạn như khách hàng, nhà cung cấp, đối tác của những người giữ vai trò quan trọng trong tổ chức…mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet khó triển khai do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị.
Hình 10. Mô hình Extranet
Thuận lợi của Extranet
Dễ triển khai, quản lý và chỉnh sửa thông tin.
Giảm chi phí bảo trì.
Một số bất lợi của Extranet:
sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp.
Quality of Service (QoS) cũng không được đảm bảo thường xuyên.
Giao thức bảo mật IPSEC
Giao thức IPSEC đảm bảo tính tin cậy, toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. IPSEC định nghĩa hai loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề Authetication Header (AH) , hai là đóng gói bảo mật tại Encapsulating Security Payload (ESP). IPSEC sử dụng giao thức Internet Key Exchange (IKE) để thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi thông tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế đem lại thông tin an toàn trên mạng diện rộng.
Xác thực tiêu đề AH
AH là một trong những giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho tiêu đề gói dữ liệu cũng như chứng thực người sử dụng. Nó đảm bảo chống phát lại và chống xâm nhập trái phép như một số tùy chọn.
AH có hai chế độ Transport và Tunnel. Tunnel AH tạo ra tiêu đề IP cho mỗi gói còn ở chế độ Transport AH không tạo ra tiêu đề IP mới. Hai chế độ AH luôn đảm bảo tính toàn vẹn, chứng thực toàn bộ gói dữ liệu.
Encapsulating Security Payload (ESP)
ESP là giao thức IPSec cung cấp tính bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn dữ liệu các gói tin IP, nó cũng cung cấp chức năng bảo vệ chống lại các cuộc tấn công replay.
ESP cũng có hai chế độ Transport và Tunnel. Tunnel ESP tạo ra tiêu đề cho mỗi gói IP còn Transport ESP dùng lại tiêu đề của gói IP gốc. Hai chế độ này đảm bảo tính toàn vẹn và bảo mật dữ liệu.
Chế độ mã hóa
Sử dụng IPsec cung cấp bảo mật cao để bảo vệ gói mức IP. Chế độ mã hóa có hai chế độ:
Chế độ transport chỉ mã hóa phần payload của mỗi gói tin nhưng bỏ đi phần header không quan tâm tới.
Chế độ tunnel mã hóa cả phần header và payload để cung cấp sự thay đổi bảo mật nhiều hơn của gói tin.
Hình 11. chế độ mã hóa Tunnel và transport
Trao đổi mã khóa IKE (Internet Key Exchange)
Sử dụng giao thức IPsec phải có sự trao đổi khóa giữa hai điểm kết cuối. Có hai phương pháp chuyển giao khóa là khóa bằng tay và khóa bằng giao thức IKE. Giao thức IKE có những khả năng sau:
Cung cấp giải thuật, giao thức và khóa cho hai bên.
Đảm bảo ngay từ lúc ban đầu
Quản lí các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận
Đảm bảo các khóa được chuyển một cách bảo mật.
CHƯƠNG 3. MÔ HÌNH ỨNG DỤNG CỦA IP MULTICAST TRÊN VPN
Triển khai.
Khi muốn triển khai các ứng dụng multicast trên các kết nối VPN thì GRE tunnels phải được dùng. Ngoài ra, khi muốn chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì cũng phải dùng GRE tunnels. Một số đặc điểm chung của GRE tunnel:
GRE tunnel giống IPsec Tunnel vì gói tin gốc được bọc bên ngoài 1 lớp "vỏ"
GRE là stateless, và không cung cấp điều khiển luồng (flow control)
GRE thêm ít nhất và header 24 byte, trong đó IP header mới 20 byte.
GRE hỗ trợ đa giao thức nên hỗ trợ bất kỳ giao thức lớp 3 nào chạy qua đường hầm (IP, IPX, Apple Talk...)
GRE cần thiết cho IP Multicast/ broadcast
Mục đích
Cấu hình 1 tunnel GRE giữa R1 và R3
Cấu hình giao thức định tuyến EIGRP trên router
Cấu hình định tuyến qua các interface tunnel
Mô hình
Hình 12. Mô hình GRE Tunnel
Cách cấu hình
Bước 1. Cấu hình các Interface loopback và Interface vật lý trên các Route
Bước 2: Cấu hình EIGRP có AS là 1
Bước 3: Cấu hình GRE tunnelTrong phần này sử dụng một tunnel giữa các router và sau đó định tuyến giữa các remote site sử dụng tunnel interface. 1 tunnel GRE là 1 interface logic thực hiện 2 kết nối điểm tới điểm, ở đó thông tin sẽ được mã hóa. Từ mode config, cấu hình tunnel number là 0 trên cả 2 router. Tiếp theo cấu hình IP Address với subnet-mask giống như bất cứ interface khác. Địa chỉ Ip này sẽ được sử dụng trong tunnel giữa R1 và R3Cuối cùng gán 1 địa chỉ nguồn và 1 địa chỉ đích cho tunnel. Lưu lượng sẽ được mã hóa qua serial và khi tới đích nó sẽ được giải mã.
Bước 4: Định tuyến bằng EIGRP có AS bằng 2 qua tunnel
Định tuyến IP Multicast trên GNS3
GNS3 (Graphical Network Simulator) Là chương trình mã nguồn mở miễn phí tạo ra các sơ đồ mạng (gồm các thiết bị Router, Ethernet Switch, Frame Relay Switch, PIX Firewall, PC, cloud…) trên môi trường đồ họa. Đặc biệt, GNS3 được sử dụng trên nền chương trình Dynamips Router Simulator cho phép các thiết bị chạy hệ điều hành IOS thật của Cisco. Lợi ích của GNS3 là chạy hệ điều hành IOS thật nên tập lệnh đầy đủ và Môi trường đồ họa dễ sử dụng
Mô hình
Hình 13. Mô hình Lab Multicast
Các bước thực hiện:
Bước 1: Cấu hình địa chỉ IP trên các Router và các Interface, loopback, các host (Interface loopback) thực hiện gửi các gói IGMP đến các Router để thông báo xin gia nhập nhóm.
Bước 2: Cấu h