Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Dmvpn

    🚀 Tóm tắt ý tưởng chính của DMVPN:

    🔐 1. IPSec + GRE Tunnel theo mô hình Hub-and-Spoke
    • Các chi nhánh (spokes) thiết lập tunnel IPSec đến thiết bị trung tâm (hub).
    • Tunnel GRE được sử dụng bên trong IPSec để hỗ trợ dynamic routing (EIGRP, BGP...).
    • Gói tin được đóng gói GRE trước, sau đó được mã hóa bằng IPSec Tunnel mode.
    📍 2. Mô hình định tuyến động (Dynamic Routing)
    • BGP hoặc EIGRP được dùng trên các tunnel GRE để trao đổi thông tin định tuyến (prefixes).
    • Điều này giúp mạng có thể mở rộng dễ dàng khi thêm chi nhánh mới.
    🔁 Cách hoạt động của DMVPN (Phase 1, 2, 3):

    Giai đoạn khởi đầu (Phase 1):
    • Spoke-to-Hub: mỗi chi nhánh thiết lập tunnel đến Hub.
    • Mọi traffic đều đi qua Hub (cả spoke-to-spoke).
    • Static tunnel hoặc dynamic tunnel chỉ đến Hub.
    Phase 2 – Spoke-to-Spoke Direct Tunnel:
    • Hub làm nhiệm vụ giới thiệu (NHRP – Next Hop Resolution Protocol): khi hai Spoke muốn liên lạc, Hub chỉ dẫn địa chỉ của nhau.
    • Sau đó, Spoke tự tạo tunnel GRE + IPSec trực tiếp.
    Phase 3 – Scalable Spoke-to-Spoke:
    • Tối ưu hóa định tuyến, dùng routing summaries tại Hub, giúp giảm số lượng route.
    • Hỗ trợ spoke-to-spoke mà không cần cập nhật route toàn cục.
    • Hiệu quả hơn cho mạng lớn.
    🌐 Điểm nổi bật của DMVPN so với VPN truyền thống:
    Tunnel Cấu hình tĩnh (static) Cấu hình động (on-demand)
    Kết nối spoke-to-spoke Qua Hub Có thể trực tiếp spoke-to-spoke
    Hỗ trợ dynamic routing Giới hạn Toàn diện (EIGRP, BGP, OSPF...)
    Khả năng mở rộng Kém Cao (rất nhiều branch)
    Tối ưu hóa traffic Không tốt Có (giao tiếp trực tiếp)
    📦 Các thành phần chính trong DMVPN:
    • Hub Router (ASR, ISR): Trung tâm điều phối và làm điểm kết nối ban đầu.
    • Spoke Routers: Các chi nhánh. Kết nối ban đầu về Hub, sau đó có thể kết nối spoke-to-spoke.
    • NHRP (Next Hop Resolution Protocol): Giao thức cho phép một Spoke hỏi Hub: "IP thật (WAN) của Spoke kia là gì?" để thiết lập đường hầm trực tiếp.
    • mGRE (Multipoint GRE): Cho phép một interface tạo nhiều tunnel GRE đến nhiều Spoke mà không cần cấu hình nhiều subinterface.
    • IPSec: Bảo vệ toàn bộ GRE bằng cách mã hóa tunnel.
    🎯 Ứng dụng thực tế:
    • Mạng WAN nhiều chi nhánh: Công ty có 100+ chi nhánh muốn kết nối an toàn, nhưng không muốn cấu hình thủ công từng tunnel.
    • SD-WAN truyền thống: Cisco IWAN, hay vEdge cổ điển cũng từng dùng kiến trúc dựa trên GRE/IPSec giống DMVPN.
    • Triển khai nhanh: Thêm chi nhánh mới chỉ cần cấu hình WAN IP về Hub, các phần còn lại có thể tự động hóa. Click image for larger version Name: DMVPN.png Views: 25 Size: 30.8 KB ID: 431011
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X