Hướng dẫn cài đặt VPN site-to-site trên Cisco IOS dùng GRE tunnels

[dangquangminh]

Trong trường hợp ta muốn triển khai các ứng dụng multicast hoặc các ứng dụng non-IP (ví dụ ĨPX) trên các kết nối VPN, GRE tunnels phải được dùng. Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì bạn cũng phải dùng GRE tunnels.

Ưu điểm của GRE là:
- Hỗ trợ nhiều giao thức.
- hỗ trợ multicast/broadcast.

Nhược điểm của GRE tunnels là

- Không có cơ chế mã hóa.
- Không có cơ chế hashing
- Không có cách nào xác thực nguồn gốc của VPN peer.

Chính vì vậy, ta có thể sử dụng kết hợp IPSec với GRE tunnels để bổ sung cho các khuyết điểm của GRE.

File Word đính kèm hướng dẫn cấu hình VPN site-to-site. Do IOS 12.3 trở đi đã hỗ trợ giao diện SDM nên bài lab này hướng dẫn cách cấu hình GRE tunnels dùng SDM. Bài lab do Hoàng Khánh / Hà lớp ISCW thực hiện.

Vài điểm khác biệt so với các cấu hình site-to-site trước đây là:

- crypto ACL có sự khác biệt (match gre protocols).
- cách áp dụng crypto map vào cả interface tunnels và interface physical (là interface kết nối trực tiếp ra Internet).

Mời mọi người tham khảo.Các bạn download về, giải nén thành file Word.

[wlansecu]

Cho em hỏi một chút, khi em đọc về GRE thì thấy nó liên quan nhiều đến DMVPN, không biết có phải bản chất của GRE là VPN động không anh, và như thế thì trên cái này mình sẽ có thể cấu hình BACKUP HUB phải không ạh.

Em đang nghiên cứu về VPN Monitor trên CiscoWork--RouterMC

Huy Bắc

[dangquangminh]

Hi wlansecure

VPN, theo định nghĩa trong giáo trình ISCW, là quá trình tạo đường hầm (tunnelling) + đảm bảo tính riêng tư (private) của dữ liệu chảy trong đường hầm đó. VPN=tunnelling + data private (encryption, hashing..)

Để tạo ra đường hầm (tunnel), ta có các giao thức lớp hai như L2TP, PPTP, L2F...Ở lớp 3, có hai giao thức được dùng là GRE và IPSEC (pha 1).

GRE là một giao thức cho phép tạo ra các tunnel. Ưu điểm của GRE (so với IPSec) là hỗ trợ nhiều loại giao thức bên trong header GRE của nó. Ví dụ như các GRE tunnels có thể mang các gói tin IPX, IP, Appletalk...Một ưu điểm khác là các giao thức định tuyến động (OSPF/EIGRP) có thể chui bên trong GRE tunnel này.

Định dạng của một gói tin do GRE đóng gói có dạng như sau:



Cấu hình GRE tunnels cũng rất đơn giản:

Cấu hình của GRE tunnels cũng khá đơn giản:

interface tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source s0/0
tunnel destination 67.67.67.67
tunnel mode gre ip

Theo trên, ta thấy chỉ cần tồn tại hai IP là có thể xây dựng được GRE tunnels.

Một lý do mà GRE tunnel được sử dụng rất nhiều trong các mô hình VPN HUB-and-SPOKE là bởi vì chỉ cần xây dựng số GRE tunnels tối thiểu, cho các dynamic routing protocol chạy trên các tunnel này là đảm bảo một kết nối đầy đủ giữa các site (spokes). Nếu bạn dùng IPSec, bạn không thể cho các dynamic routing protocol (OSPF/EIGRP) chạy bên trong các IPSec tunnels. Cần nhắc lại là IPSEc chỉ hỗ trợ loại traffic là IP Unicast trong tunnels của nó. Vì vậy, bạn phải thiết lập nhiều IP Sec peer để đảm bảo kết nối.

GRE vẫn có những yếu điểm của nó. Ví dụ GRE không có các cơ chế để bảo vệ dữ liệu. Đối với các chức năng này, GRE phải quay sang nhờ IPSEc. Thành ra là, ta hay gặp GRE over IPSec trong các mô hình hub-and-spoke.

Nếu Huy Bắc cảm thấy OK với phần này thì báo nhé. Sau đó sẽ chuyển sang thảo luận phần back-up hub.

Chúc vui vẻ

[dangquangminh]

Trong file Word đính kèm là một bài thực hành khác, minh hoạt cách sử dụng GRE tunnels trong việc dự phòng cho kết nối leased line.

- Một GRE tunnels sẽ được tạo giữa router HO và router Branch.
- Giao thức định tuyến động EIGRP sẽ được dùng giữa các routers.
- Metric của EIGRP sẽ đuợc thao tác sao cho EIGRP ưu tiên đường đi thông qua leased line. Thao tác này được thực hiện thông qua cấu hình thông số delay của các interface serials và interface tunnels. Delay của serial là 100. Delay của interface tunnel là 500 (ms).
- Khả năng dự phòng dựa vào đặc tính của các giao thức IGP, trong trường hợp này là EIGRP. Nếu đường leased line bị sự cố, router branch sẽ nhận thấy còn một đường đi khác về mạng HO thông qua tunnels.

Mời các bạn tham khảo. Cấu hình này chỉ minh họa phần dự phòng. Để dùng được trong thực tế, các bạn phải thêm vào cấu hình phần mã hóa.

[wlansecu]

OKI, em đã hiểu,
(tại em đang làm VPN Monitor bằng CiscoWork, mà thấy nó hỗ trợ GRE nhiều quá, trong khi cơ quan em thì toàn IPSec, site-to-site, nên muốn tìm hiểu về nó)

[mt37]

Mình cấu hình để 2 mạng ping đc nhau rồi. Nhưng làm thế nào để biết gói dữ liệu đã đc mã hóa chưa
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
no ip cef
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key vpnsharekey hostname 2.0.0.1
!
!
crypto ipsec transform-set TRANS_VPN esp-des esp-sha-hmac
!
crypto map CMAP_VPN 1 ipsec-isakmp
set peer 2.0.0.1
set transform-set TRANS_VPN
match address ACL_VPN
!
!
interface Tunnel0
ip unnumbered FastEthernet1/1
tunnel source FastEthernet1/0
tunnel destination 2.0.0.1
crypto map CMAP_VPN
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
description to_INTERNET
ip address 1.0.0.1 255.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CMAP_VPN
!
interface FastEthernet1/1
description to_LAN
ip address 11.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 1.0.0.2
ip route 22.0.0.0 255.0.0.0 Tunnel0
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map RMAP_NAT interface FastEthernet1/0 overload
!
!
ip access-list extended ACL_VPN
permit gre host 1.0.0.1 host 2.0.0.2
ip access-list extended NAT
permit ip 11.0.0.0 0.255.255.255 any
deny ip 11.0.0.0 0.255.255.255 22.0.0.0 0.255.255.255
no cdp run
!
route-map RMAP_NAT permit 10
match ip address NAT
!
!
control-plane
!
!
gatekeeper
shutdown
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end

[mt37]

cho mình hỏi tại sao phải apply crypto map cho cả interface tunnel và interface internet. Theo mình nghĩ chỉ cần cho tunnel thôi chứ.

[mt37]

Khi mình apply crypto map cho cả interface vật lý thì đầu bên kia báo là gói tin nhận được ko phải IPSec. Còn bỏ crypto map ở interface vật lý đi thì lại bình thường.

[hquangphan]

anh ơi, anh có thể chỉ cho em cách cấu hình GRE mà không sử dụng SDM được không anh. Nếu được thì cám ơn anh nhiều.

[stupid_boy]

cấu hình GRE bằng CLI:

interface tunnel 0
ip add 192.168.10.1 255.255.255.0
tunnel source 192.168.1.1 255.255.255.0 #ip address của cổng interface thực tế (có thể là serial)
tunnel destination 192.168.2.1 255.255.255.0 #ip address trên interface thực ở bên đầu bên kia (có thể là serial)
no shutdown

bạn chỉ cần thực hiện những bước trên là có thể toạn dc GRE tunnel

to mt37:
bạn có thể post cấu hình cụ thể lên cho mọi ng xem dc không? như vậy sẽ dể biết sai hay thiếu chỗ nào hơn!