Cho em hỏi một chút, khi em đọc về GRE thì thấy nó liên quan nhiều đến DMVPN, không biết có phải bản chất của GRE là VPN động không anh, và như thế thì trên cái này mình sẽ có thể cấu hình BACKUP HUB phải không ạh.

Em đang nghiên cứu về VPN Monitor trên CiscoWork--RouterMC

Huy Bắc

Hi wlansecure

VPN, theo định nghĩa trong giáo trình ISCW, là quá trình tạo đường hầm (tunnelling) + đảm bảo tính riêng tư (private) của dữ liệu chảy trong đường hầm đó. VPN=tunnelling + data private (encryption, hashing..)

Để tạo ra đường hầm (tunnel), ta có các giao thức lớp hai như L2TP, PPTP, L2F...Ở lớp 3, có hai giao thức được dùng là GRE và IPSEC (pha 1).

GRE là một giao thức cho phép tạo ra các tunnel. Ưu điểm của GRE (so với IPSec) là hỗ trợ nhiều loại giao thức bên trong header GRE của nó. Ví dụ như các GRE tunnels có thể mang các gói tin IPX, IP, Appletalk...Một ưu điểm khác là các giao thức định tuyến động (OSPF/EIGRP) có thể chui bên trong GRE tunnel này.

Định dạng của một gói tin do GRE đóng gói có dạng như sau:



Cấu hình GRE tunnels cũng rất đơn giản:

Cấu hình của GRE tunnels cũng khá đơn giản:

interface tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source s0/0
tunnel destination 67.67.67.67
tunnel mode gre ip

Theo trên, ta thấy chỉ cần tồn tại hai IP là có thể xây dựng được GRE tunnels.

Một lý do mà GRE tunnel được sử dụng rất nhiều trong các mô hình VPN HUB-and-SPOKE là bởi vì chỉ cần xây dựng số GRE tunnels tối thiểu, cho các dynamic routing protocol chạy trên các tunnel này là đảm bảo một kết nối đầy đủ giữa các site (spokes). Nếu bạn dùng IPSec, bạn không thể cho các dynamic routing protocol (OSPF/EIGRP) chạy bên trong các IPSec tunnels. Cần nhắc lại là IPSEc chỉ hỗ trợ loại traffic là IP Unicast trong tunnels của nó. Vì vậy, bạn phải thiết lập nhiều IP Sec peer để đảm bảo kết nối.

GRE vẫn có những yếu điểm của nó. Ví dụ GRE không có các cơ chế để bảo vệ dữ liệu. Đối với các chức năng này, GRE phải quay sang nhờ IPSEc. Thành ra là, ta hay gặp GRE over IPSec trong các mô hình hub-and-spoke.

Nếu Huy Bắc cảm thấy OK với phần này thì báo nhé. Sau đó sẽ chuyển sang thảo luận phần back-up hub.

Chúc vui vẻ

Trong file Word đính kèm là một bài thực hành khác, minh hoạt cách sử dụng GRE tunnels trong việc dự phòng cho kết nối leased line.

- Một GRE tunnels sẽ được tạo giữa router HO và router Branch.
- Giao thức định tuyến động EIGRP sẽ được dùng giữa các routers.
- Metric của EIGRP sẽ đuợc thao tác sao cho EIGRP ưu tiên đường đi thông qua leased line. Thao tác này được thực hiện thông qua cấu hình thông số delay của các interface serials và interface tunnels. Delay của serial là 100. Delay của interface tunnel là 500 (ms).
- Khả năng dự phòng dựa vào đặc tính của các giao thức IGP, trong trường hợp này là EIGRP. Nếu đường leased line bị sự cố, router branch sẽ nhận thấy còn một đường đi khác về mạng HO thông qua tunnels.

Mời các bạn tham khảo. Cấu hình này chỉ minh họa phần dự phòng. Để dùng được trong thực tế, các bạn phải thêm vào cấu hình phần mã hóa.

OKI, em đã hiểu,
(tại em đang làm VPN Monitor bằng CiscoWork, mà thấy nó hỗ trợ GRE nhiều quá, trong khi cơ quan em thì toàn IPSec, site-to-site, nên muốn tìm hiểu về nó)

Mình cấu hình để 2 mạng ping đc nhau rồi. Nhưng làm thế nào để biết gói dữ liệu đã đc mã hóa chưa
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
no ip cef
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key vpnsharekey hostname 2.0.0.1
!
!
crypto ipsec transform-set TRANS_VPN esp-des esp-sha-hmac
!
crypto map CMAP_VPN 1 ipsec-isakmp
set peer 2.0.0.1
set transform-set TRANS_VPN
match address ACL_VPN
!
!
interface Tunnel0
ip unnumbered FastEthernet1/1
tunnel source FastEthernet1/0
tunnel destination 2.0.0.1
crypto map CMAP_VPN
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
description to_INTERNET
ip address 1.0.0.1 255.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CMAP_VPN
!
interface FastEthernet1/1
description to_LAN
ip address 11.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 1.0.0.2
ip route 22.0.0.0 255.0.0.0 Tunnel0
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map RMAP_NAT interface FastEthernet1/0 overload
!
!
ip access-list extended ACL_VPN
permit gre host 1.0.0.1 host 2.0.0.2
ip access-list extended NAT
permit ip 11.0.0.0 0.255.255.255 any
deny ip 11.0.0.0 0.255.255.255 22.0.0.0 0.255.255.255
no cdp run
!
route-map RMAP_NAT permit 10
match ip address NAT
!
!
control-plane
!
!
gatekeeper
shutdown
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end

cho mình hỏi tại sao phải apply crypto map cho cả interface tunnel và interface internet. Theo mình nghĩ chỉ cần cho tunnel thôi chứ.

Khi mình apply crypto map cho cả interface vật lý thì đầu bên kia báo là gói tin nhận được ko phải IPSec. Còn bỏ crypto map ở interface vật lý đi thì lại bình thường.

anh ơi, anh có thể chỉ cho em cách cấu hình GRE mà không sử dụng SDM được không anh. Nếu được thì cám ơn anh nhiều.

cấu hình GRE bằng CLI:

interface tunnel 0
ip add 192.168.10.1 255.255.255.0
tunnel source 192.168.1.1 255.255.255.0 #ip address của cổng interface thực tế (có thể là serial)
tunnel destination 192.168.2.1 255.255.255.0 #ip address trên interface thực ở bên đầu bên kia (có thể là serial)
no shutdown

bạn chỉ cần thực hiện những bước trên là có thể toạn dc GRE tunnel

to mt37:
bạn có thể post cấu hình cụ thể lên cho mọi ng xem dc không? như vậy sẽ dể biết sai hay thiếu chỗ nào hơn!

tunnel thực ra chỉ là một interface ảo (nó chạy dựa trên interface thật) thôi nếu chỉ apply trên nó không thì sẽ không đủ, mà phải apply cho cả công vật lý nữa!

Mấy anh cho em hỏi, cấu hình như vậy thì đã có ipsec chưa, vì em dùng wireshark để bắt gói mà không thấy nó mã hóa gì hết. Cám ơn trước nhé.
Đây là Router RA, RB cấu hình cũng tương tự như vậy
-----------------------
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 172.30.2.2
!
!
crypto ipsec transform-set mine esp-des
!
crypto map lee 10 ipsec-isakmp
set peer 172.30.2.2
set transform-set mine
match address 110
!
!
!
!
interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial1/0
ip address 172.30.1.2 255.255.255.0
serial restart-delay 0
crypto map lee
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
ip route 0.0.0.0 0.0.0.0 Serial1/0
!
!
ip http server
no ip http secure-server
!
access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

_ dùng wireshake bắt gói ở đâu vậy bạn?
_ bạn nên dùng extended ping để kích hoạt tunnel, chứ đừng dùng ping thường.

mình có 2 PC nối với SW, mình cấu hình monitor port trên switch để bắt gói từ PC1. Mình dùng telnet để test chứ không có ping. Mà mình cấu hình như vậy thì có mã hóa hay chưa vậy bạn. Mình mới tìm hiểu về VPN nên cũng gà lắm, mong bạ chỉ giáo. Cảm ơn nhiều.

anh Minh ơi.
Anh post lại cái Link này đc ko? e ko load đc. Load về tòan 0 byte :D