qua hạ tầng của một L3 network khác.. – Tạo một đường kết nối trực tiếp ảo giữa Nguồn và Đích Thông qua hạ tầng mạng sẵn có.. – Về logic: Nguồn và Đích coi như kêt nối trực tiếp với nha
Trang 1Quản trị mạng nâng cao
Trang 21 Tổng quan về tunneling
Trang 3 Kỹ thuật đường hầm dùng để vận chuyển giao thức L3
(IPX,IP,IPv6 ) qua hạ tầng của một L3 network khác
– Tạo một đường kết nối trực tiếp (ảo) giữa Nguồn và Đích
Thông qua hạ tầng mạng sẵn có.
– Về logic: Nguồn và Đích coi như kêt nối trực tiếp với nhau
– Bản chất: đóng gói thêm một lớp L3 header vào gói tin ban đầu
Tunneling
Trang 4Đóng gói Tunnel
trong hạ tầng mạng sẵn có
–Loại dữ liệu mà ta cần vận chuyển
Trang 5Generic Route Encapsulation (GRE)
Cơ chế đóng gói Layer3
RFC 1701, 1702, 2784
Sử dụng IP làm Transport protocol
Hỗ trợ vận chuyển nhiều loại giao thức qua hạ tầng IP network
(IPX, IP, IPv6 )
Trang 6GRE Encapsulation
Trang 7Ưu điểm và nhược điểm của GRE
Ưu điểm:
Nhược điểm:
Trang 8Các bước cấu hình GRE
1 Tạo interface tunnel
2 Cấu hình địa chỉ nguồn tunnel
3 Câu hình địa chỉ đích tunnel
4 Đặt địa chỉ logic cho tunnel
Trang 9GRE monitoring and troubleshooting
Trang 10Ví dụ
R1(config)# interface tunnel 0
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)# tunnel source 172.30.1.2
R1(config-if)# tunnel destination 172.30.2.2
R1(config-if)# no shutdown
R1(config-if)# exit
172.30.1.2
172.30.6.2
Internet
B A
Trang 11Sử dụng GRE
1 GRE kết hợp cùng IPSec VPN
– Hỗ trợ gửi multicast, broadcast qua kênh VPN
– Hỗ trợ các giao thức routing động (OSPF,EIGRP,RIP) qua
IPSec VPN
Tunnel Mode
Transport Mode
Encrypted Payload
Encrypted Payload
ESP
ESP
Trang 12 interface tunnel 0
ip add 100.0.0.1 255.255.255.0
tunnel source 120.0.0.1
tunnel destination 123.0.0.2
crypto isakmp policy 10
encrypt 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 cisco123 address 123.0.0.2
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
access-list 116 permit gre host 120.0.0.1 host 123.0.0.2
interface tunnel 0
Ip add 100.0.0.2 255.255.255.0 tunnel source 123.0.0.2
tunnel destination 120.0.0.1
crypto isakmp policy 10 encrypt 3des
hash md5 group 2 authentication pre-share
crypto isakmp key 6 cisco123 address 120.0.0.1
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
access-list 116 permit gre host 123.0.0.2 host 120.0.0.1
Trang 13Sử dụng GRE
2 Tạo tunnel thông các Site
– Hỗ trợ các giao thức routing động (OSPF,EIGRP,RIP) giữa các
Site (thông qua mạng INTERNET)
– Sử dụng static route giữa các Site
Trang 14R1(config)# interface tunnel 0
R1(config-if)# ip address 16.16.16.1 255.255.255.0
R1(config-if)# tunnel source 172.30.1.2
R1(config-if)# tunnel destination 172.30.6.2
R1(config-if)# no shutdown
R1(config)# router ospf 1
R1(config-router)# network 16.16.16.0 0.0.0.255 area 0
R1(config-router)# network 16.0.1.0 0.0.0.255 area 0
172.30.1.2
172.30.6.2
Internet
B A
R6(config)# interface tunnel 0
R6(config-if)# ip address 16.16.16.2 255.255.255.0
R6(config-if)# tunnel source 172.30.6.2