Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Hướng dẫn cài đặt VPN site-to-site trên Cisco IOS dùng GRE tunnels

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Hướng dẫn cài đặt VPN site-to-site trên Cisco IOS dùng GRE tunnels

    Trong trường hợp ta muốn triển khai các ứng dụng multicast hoặc các ứng dụng non-IP (ví dụ ĨPX) trên các kết nối VPN, GRE tunnels phải được dùng. Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì bạn cũng phải dùng GRE tunnels.

    Ưu điểm của GRE là:
    - Hỗ trợ nhiều giao thức.
    - hỗ trợ multicast/broadcast.

    Nhược điểm của GRE tunnels là

    - Không có cơ chế mã hóa.
    - Không có cơ chế hashing
    - Không có cách nào xác thực nguồn gốc của VPN peer.

    Chính vì vậy, ta có thể sử dụng kết hợp IPSec với GRE tunnels để bổ sung cho các khuyết điểm của GRE.

    File Word đính kèm hướng dẫn cấu hình VPN site-to-site. Do IOS 12.3 trở đi đã hỗ trợ giao diện SDM nên bài lab này hướng dẫn cách cấu hình GRE tunnels dùng SDM. Bài lab do Hoàng Khánh / Hà lớp ISCW thực hiện.

    Vài điểm khác biệt so với các cấu hình site-to-site trước đây là:

    - crypto ACL có sự khác biệt (match gre protocols).
    - cách áp dụng crypto map vào cả interface tunnels và interface physical (là interface kết nối trực tiếp ra Internet).

    Mời mọi người tham khảo.Các bạn download về, giải nén thành file Word.
    Attached Files
    Last edited by dangquangminh; 16-01-2007, 10:46 PM.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

  • #2
    Cho em hỏi một chút, khi em đọc về GRE thì thấy nó liên quan nhiều đến DMVPN, không biết có phải bản chất của GRE là VPN động không anh, và như thế thì trên cái này mình sẽ có thể cấu hình BACKUP HUB phải không ạh.

    Em đang nghiên cứu về VPN Monitor trên CiscoWork--RouterMC

    Huy Bắc
    The Mumble Fund
    Hanh trinh noi nhung vong tay.

    Vui long vao:
    http://groups.google.com.vn/group/tinhnguyen_vietnam hoac lien he Nguyen Huy Bac: 093 668 9866
    De cung ket noi.
    Yahoo: huybac_nguyen
    Mail: huybac.nguyen@gmail.com
    Techcombank: 13320037822012
    Vietcombank: 0611001454910

    "Ky thuc tren mat dat von lam gi co duong.
    Nguoi ta di mai thi thanh duong thoi."

    Comment


    • #3
      Hi wlansecure

      VPN, theo định nghĩa trong giáo trình ISCW, là quá trình tạo đường hầm (tunnelling) + đảm bảo tính riêng tư (private) của dữ liệu chảy trong đường hầm đó. VPN=tunnelling + data private (encryption, hashing..)

      Để tạo ra đường hầm (tunnel), ta có các giao thức lớp hai như L2TP, PPTP, L2F...Ở lớp 3, có hai giao thức được dùng là GRE và IPSEC (pha 1).

      GRE là một giao thức cho phép tạo ra các tunnel. Ưu điểm của GRE (so với IPSec) là hỗ trợ nhiều loại giao thức bên trong header GRE của nó. Ví dụ như các GRE tunnels có thể mang các gói tin IPX, IP, Appletalk...Một ưu điểm khác là các giao thức định tuyến động (OSPF/EIGRP) có thể chui bên trong GRE tunnel này.

      Định dạng của một gói tin do GRE đóng gói có dạng như sau:



      Cấu hình GRE tunnels cũng rất đơn giản:

      Cấu hình của GRE tunnels cũng khá đơn giản:

      interface tunnel0
      ip address 192.168.1.1 255.255.255.0
      tunnel source s0/0
      tunnel destination 67.67.67.67
      tunnel mode gre ip


      Theo trên, ta thấy chỉ cần tồn tại hai IP là có thể xây dựng được GRE tunnels.

      Một lý do mà GRE tunnel được sử dụng rất nhiều trong các mô hình VPN HUB-and-SPOKE là bởi vì chỉ cần xây dựng số GRE tunnels tối thiểu, cho các dynamic routing protocol chạy trên các tunnel này là đảm bảo một kết nối đầy đủ giữa các site (spokes). Nếu bạn dùng IPSec, bạn không thể cho các dynamic routing protocol (OSPF/EIGRP) chạy bên trong các IPSec tunnels. Cần nhắc lại là IPSEc chỉ hỗ trợ loại traffic là IP Unicast trong tunnels của nó. Vì vậy, bạn phải thiết lập nhiều IP Sec peer để đảm bảo kết nối.

      GRE vẫn có những yếu điểm của nó. Ví dụ GRE không có các cơ chế để bảo vệ dữ liệu. Đối với các chức năng này, GRE phải quay sang nhờ IPSEc. Thành ra là, ta hay gặp GRE over IPSec trong các mô hình hub-and-spoke.

      Nếu Huy Bắc cảm thấy OK với phần này thì báo nhé. Sau đó sẽ chuyển sang thảo luận phần back-up hub.

      Chúc vui vẻ
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment


      • #4
        Trong file Word đính kèm là một bài thực hành khác, minh hoạt cách sử dụng GRE tunnels trong việc dự phòng cho kết nối leased line.

        - Một GRE tunnels sẽ được tạo giữa router HO và router Branch.
        - Giao thức định tuyến động EIGRP sẽ được dùng giữa các routers.
        - Metric của EIGRP sẽ đuợc thao tác sao cho EIGRP ưu tiên đường đi thông qua leased line. Thao tác này được thực hiện thông qua cấu hình thông số delay của các interface serials và interface tunnels. Delay của serial là 100. Delay của interface tunnel là 500 (ms).
        - Khả năng dự phòng dựa vào đặc tính của các giao thức IGP, trong trường hợp này là EIGRP. Nếu đường leased line bị sự cố, router branch sẽ nhận thấy còn một đường đi khác về mạng HO thông qua tunnels.

        Mời các bạn tham khảo. Cấu hình này chỉ minh họa phần dự phòng. Để dùng được trong thực tế, các bạn phải thêm vào cấu hình phần mã hóa.
        Attached Files
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          OKI, em đã hiểu,
          (tại em đang làm VPN Monitor bằng CiscoWork, mà thấy nó hỗ trợ GRE nhiều quá, trong khi cơ quan em thì toàn IPSec, site-to-site, nên muốn tìm hiểu về nó)
          The Mumble Fund
          Hanh trinh noi nhung vong tay.

          Vui long vao:
          http://groups.google.com.vn/group/tinhnguyen_vietnam hoac lien he Nguyen Huy Bac: 093 668 9866
          De cung ket noi.
          Yahoo: huybac_nguyen
          Mail: huybac.nguyen@gmail.com
          Techcombank: 13320037822012
          Vietcombank: 0611001454910

          "Ky thuc tren mat dat von lam gi co duong.
          Nguoi ta di mai thi thanh duong thoi."

          Comment


          • #6
            Mình cấu hình để 2 mạng ping đc nhau rồi. Nhưng làm thế nào để biết gói dữ liệu đã đc mã hóa chưa
            version 12.4
            service timestamps debug datetime msec
            service timestamps log datetime msec
            no service password-encryption
            !
            hostname R1
            !
            boot-start-marker
            boot-end-marker
            !
            !
            no aaa new-model
            !
            !
            no ip cef
            !
            !
            crypto isakmp policy 1
            authentication pre-share
            crypto isakmp key vpnsharekey hostname 2.0.0.1
            !
            !
            crypto ipsec transform-set TRANS_VPN esp-des esp-sha-hmac
            !
            crypto map CMAP_VPN 1 ipsec-isakmp
            set peer 2.0.0.1
            set transform-set TRANS_VPN
            match address ACL_VPN
            !
            !
            interface Tunnel0
            ip unnumbered FastEthernet1/1
            tunnel source FastEthernet1/0
            tunnel destination 2.0.0.1
            crypto map CMAP_VPN
            !
            interface FastEthernet0/0
            no ip address
            shutdown
            duplex half
            !
            interface FastEthernet1/0
            description to_INTERNET
            ip address 1.0.0.1 255.0.0.0
            ip nat outside
            ip virtual-reassembly
            duplex auto
            speed auto
            crypto map CMAP_VPN
            !
            interface FastEthernet1/1
            description to_LAN
            ip address 11.0.0.1 255.0.0.0
            ip nat inside
            ip virtual-reassembly
            duplex auto
            speed auto
            !
            ip route 0.0.0.0 0.0.0.0 1.0.0.2
            ip route 22.0.0.0 255.0.0.0 Tunnel0
            !
            no ip http server
            no ip http secure-server
            !
            ip nat inside source route-map RMAP_NAT interface FastEthernet1/0 overload
            !
            !
            ip access-list extended ACL_VPN
            permit gre host 1.0.0.1 host 2.0.0.2
            ip access-list extended NAT
            permit ip 11.0.0.0 0.255.255.255 any
            deny ip 11.0.0.0 0.255.255.255 22.0.0.0 0.255.255.255
            no cdp run
            !
            route-map RMAP_NAT permit 10
            match ip address NAT
            !
            !
            control-plane
            !
            !
            gatekeeper
            shutdown
            !
            !
            line con 0
            stopbits 1
            line aux 0
            stopbits 1
            line vty 0 4
            login
            !
            !
            end

            Comment


            • #7
              cho mình hỏi tại sao phải apply crypto map cho cả interface tunnel và interface internet. Theo mình nghĩ chỉ cần cho tunnel thôi chứ.

              Comment


              • #8
                Khi mình apply crypto map cho cả interface vật lý thì đầu bên kia báo là gói tin nhận được ko phải IPSec. Còn bỏ crypto map ở interface vật lý đi thì lại bình thường.

                Comment


                • #9
                  anh ơi, anh có thể chỉ cho em cách cấu hình GRE mà không sử dụng SDM được không anh. Nếu được thì cám ơn anh nhiều.

                  Comment


                  • #10
                    cấu hình GRE bằng CLI:

                    interface tunnel 0
                    ip add 192.168.10.1 255.255.255.0
                    tunnel source 192.168.1.1 255.255.255.0 #ip address của cổng interface thực tế (có thể là serial)
                    tunnel destination 192.168.2.1 255.255.255.0 #ip address trên interface thực ở bên đầu bên kia (có thể là serial)
                    no shutdown

                    bạn chỉ cần thực hiện những bước trên là có thể toạn dc GRE tunnel

                    to mt37:
                    bạn có thể post cấu hình cụ thể lên cho mọi ng xem dc không? như vậy sẽ dể biết sai hay thiếu chỗ nào hơn!
                    Nguyễn Vũ Minh

                    CCNA
                    CCSP in progress
                    Cisco Information Security Specialist
                    Cisco Firewall Specialist

                    Comment


                    • #11
                      Originally posted by mt37 View Post
                      cho mình hỏi tại sao phải apply crypto map cho cả interface tunnel và interface internet. Theo mình nghĩ chỉ cần cho tunnel thôi chứ.
                      tunnel thực ra chỉ là một interface ảo (nó chạy dựa trên interface thật) thôi nếu chỉ apply trên nó không thì sẽ không đủ, mà phải apply cho cả công vật lý nữa!
                      Nguyễn Vũ Minh

                      CCNA
                      CCSP in progress
                      Cisco Information Security Specialist
                      Cisco Firewall Specialist

                      Comment


                      • #12
                        Mấy anh cho em hỏi, cấu hình như vậy thì đã có ipsec chưa, vì em dùng wireshark để bắt gói mà không thấy nó mã hóa gì hết. Cám ơn trước nhé.
                        Đây là Router RA, RB cấu hình cũng tương tự như vậy
                        -----------------------
                        crypto isakmp policy 10
                        hash md5
                        authentication pre-share
                        crypto isakmp key cisco address 172.30.2.2
                        !
                        !
                        crypto ipsec transform-set mine esp-des
                        !
                        crypto map lee 10 ipsec-isakmp
                        set peer 172.30.2.2
                        set transform-set mine
                        match address 110
                        !
                        !
                        !
                        !
                        interface FastEthernet0/0
                        ip address 10.0.1.1 255.255.255.0
                        duplex auto
                        speed auto
                        !
                        interface FastEthernet0/1
                        no ip address
                        shutdown
                        duplex auto
                        speed auto
                        !
                        interface Serial1/0
                        ip address 172.30.1.2 255.255.255.0
                        serial restart-delay 0
                        crypto map lee
                        !
                        interface Serial1/1
                        no ip address
                        shutdown
                        serial restart-delay 0
                        !
                        interface Serial1/2
                        no ip address
                        shutdown
                        serial restart-delay 0
                        !
                        interface Serial1/3
                        no ip address
                        shutdown
                        serial restart-delay 0
                        !
                        ip route 0.0.0.0 0.0.0.0 Serial1/0
                        !
                        !
                        ip http server
                        no ip http secure-server
                        !
                        access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
                        !
                        !
                        !
                        !
                        control-plane
                        !
                        !
                        !
                        !
                        !
                        !
                        !
                        !
                        !
                        !
                        line con 0
                        line aux 0
                        line vty 0 4
                        login
                        !
                        !
                        end

                        Comment


                        • #13
                          _ dùng wireshake bắt gói ở đâu vậy bạn?
                          _ bạn nên dùng extended ping để kích hoạt tunnel, chứ đừng dùng ping thường.
                          Nguyễn Vũ Minh

                          CCNA
                          CCSP in progress
                          Cisco Information Security Specialist
                          Cisco Firewall Specialist

                          Comment


                          • #14
                            mình có 2 PC nối với SW, mình cấu hình monitor port trên switch để bắt gói từ PC1. Mình dùng telnet để test chứ không có ping. Mà mình cấu hình như vậy thì có mã hóa hay chưa vậy bạn. Mình mới tìm hiểu về VPN nên cũng gà lắm, mong bạ chỉ giáo. Cảm ơn nhiều.

                            Comment


                            • #15
                              Mời mọi người tham khảo.Các bạn download về, giải nén thành file Word.
                              Attached Files
                              File Type: zip VPN over GRE (Routing Protocol OSPF).zip‎ (1.93 MB, 1330 views)
                              anh Minh ơi.
                              Anh post lại cái Link này đc ko? e ko load đc. Load về tòan 0 byte :D

                              Comment

                              Working...
                              X