dynamic multipoint vpn

dynamic multipoint vpn

TRUONG DH CONG NGHE THONG TIN - KHOA MANG MAY TINH & TRUYEN THONG

Chắc hăn bạn đã từng nghe qua khái niệm về VPN Đó là giải pháp để kết nối mạng

giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN áo, khi đó cá nhân (host) được xem như là một host trong mạng LAN Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa Có nhiều giao thức để mã hóa dữ liệu này, phô biến nhất là IPSec Trong bài viết này, tôi xin giới thiệu đến các bạn một kỹ thuật mới

có liên quan đến VPN đó là Dynamic Multipoint VPN Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VNP dạng site-to-site, tức là kết nối giữa chỉ nhánh

(branch) và trung tâm (central) Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động Để hiểu rỏ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ

thống mạng DMVPN này

Phân 1: Tổng quan

Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai Đó là hub-and-spoke và spoke-and-spoke Đề hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke

là gì Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công

ty Con Spoke chi chi nhánh, văn phòng Nhìn vào hình 1.1 minh họa cho điều đó, Hub chính

là phần Central Site, còn Spoke chính là phần Branches

Hình 1 1: Mô hình triển khai DMVPN

Cũng trên hình 1.1, chúng ta thấy rõ đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong S1te-to-Srte Khái niệm mới chính

là ở chỗ Spoke-and-Spoke, là kết nối giữa các chỉnh nhánh với nhau

Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site, hoặc một Site

đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nỗi giữ nhiều Hub đến nhiều Spoke, điều này lý giải tai sao né cd thém chit Multipoint

Có một vài tên gọi mà các bạn nên lưu tâm đến đề tránh nhằm lẫn Khi nói dén Hub va Spoke

la y dang noi dén router thực hiện chức năng DMVPN ở trung tâm và chỉ nhánh Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có

ở đó, Hub và Spoke nằm ở Central và Branch

Các thành phần cúa DMVPN

Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mang doanh nghiệp, sử dụng DMVPN để kết nối các văn phòng chi nhánh

Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke Ở hai phía phải có những

thiết bị hỗ trợ tốt trong việc †ạo kết nối DMVPN Có nhiều giải pháp dé chúng ta lựa chon, nhưng phổ biến nhất vẫn là Router của Cisco

Nhìn vào mô hình ở hình 1.1, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nối thông qua Cloud Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP) Có

nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp Cloud này có thê là Frame-

Reply, ATM, Leased Lines

Kỹ thuật thiết kế

Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:

e Dual hub-dual DMVPN cloud

e Dual hub-single DMVPN cloud

Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau Bạn có thể dùng giao thức mGRE hoặc PPP hoặc là ca hai dé cau hình giao tiếp với các router này, chúng phải có cùng subnct

Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub da DMVPN cloud va da hub một

DMVPN cloud No dugc minh hga như trong hình 1.2 và 1.3

Campus

Hub 2 (Backup)

Hinh 1 2: Dual DMVPN Cloud Topology

Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các

Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet Nó duy trì kết nối thường xuyên hơn Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc Giữa Hubl và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con) Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thông mạng bên trong Giải

pháp này được biết đến với khả năng Failover, tức là hạn chế sự có, luôn duy trì kết ni.

Campus

| Hub 1 Q2

Branch SS Branch SS | <n Seo 7 |

Branch subnet Branch subnet Branch subnet

Hinh 1.3: Single DM VPN Cloud Topology

M6 hinh thir hai, dual hub singel DMVPN cloud, ban chi co mét đường mạng để kết nối tất

ca cdc hub va branch Tr DMVPN Cloud ban thay ching ta co hai kết nối về hai hub Giải pháp này được biết đến với khả năng load balaneed

DMVPN cloud hé trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE interface

Dual DMVPN Cloud Topology

V6i Dual Cloud ching ta sẽ thảo luận cho hai model triển khai:

Hinh 1 4: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model

Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet Một DMVPN cloud được

gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua Mỗi branch có chứa hai interface p2p GRE kết nói đến mỗi Hub riêng lẽ Trong model triển khai này không có tumnel nào giữa các branch Giao tiếp nội bộ giữa các branch được cung cấp thông qua hub Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng

để xác định đâu là primary hub

Kién tric hé thong cia trung tam (system headend)

Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:

e Single Tier

e Dual Tier

Single Tier

Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong một

CPU cua router

Hub Site 1

Branch Offices

\ See LLỊ

Ngướợc

Hub Site 2 -==== Secondary DMVPN Tunnel

eẰ<<<< |Psec Tunnel

Hinh 1.5: Single Tier Headend Architecture

Hình 1.5 là giai phap dual cloud véi model hud-and-spoke Tat ca cdc Headend déu cé tunnel mGRE va Crypto duoc gdp chung lai trong mét multiple GRE tunnel, dé phuc vụ cho các luồng dữ liệu của branch Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thé gin

một thông điệp để báo cho giao thức định tuyến đang duoc sir dung tai branch như EIGRP,

OSPF, bat ké đường nào được chọn trong cloud (cloud path — đường kết nối giữa các router trong cloud)

Dual Tier

Với kiến tric dual tier, mGRE va Crypto khéng cing ton tai trong clung CPU cua router

Hinh 1 6: Dual Tier Headend Architecture

Hình 1.6 là gidi phap dual DMVPN cloud với model hub-and-spoke Ở đây mGRE va Crypto

tại headend nằm riêng lẽ nhau nhau, chúng phục vụ cho nhau và cho multiple mŒGRE tunnel

để chuyên luồng lưu lượng mạng cho branch Đầu cuối của VPN tumnel, Crypto sẽ nhận dữ liệu gửi từ branch và sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho các giao thức

định tuyến tại branch như EIGRP hoặc OSPF

Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thức của tunnel Đồng

thời nó còn kiêm theo nhiều chức năng khác như Eirewall Địa chỉ ip mặt ngoài của roufer có thể là tĩnh hoặc động, và nó phải được “map” trong bản đồ của router Hành động này có nghĩa là: Một Inteface mặt ngoài của roufer có dia chi ip public của riêng nó, và một tunnel cũng có ïp (public hoặc privafe), nó phải ảnh xạ để biết tunnel nay duoc chuyén ra interface tương Ứng

Spoke-and-Spoke

Cũng giống như Hub-and-spoke, trong model này cũng có hai Hub ở trung tâm, mỗi hub có một hoặc nhiều tunnel kết nói đến tất cả các chi nhánh Giao tiếp giữa các Branch được thực

hiện thông qua Hub, trờ khi nó có một đường kết nói được tạo ra giữa hai Spoke Đó chính là

sự khác biệt của trường hợp này Tunnel giữa Spoke and Spoke được gọi là dynamic, nó phải nằm trong một single DMVPN cloud hoặc cùng một subnet Tunnel của spoke-and-spoke thì không ở giữa hai DMVPN cloud

Hub Site 1

Branch Offices

Hub Site 2 ==*=* Secondary DMVPN Tunnel

Hình 1 7: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model

Kién tric hé thong trung tam

Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel riêng, và phải đi qua DMVPN Cloud Giao thức thường xuyên thấy giữa các tunnel nay 14 IPSec Dé giao tiếp với

hệ thống trung tâm, chúng †a có giao thức Single Tier, trong đó các chức năng của mGRE và Crypto duoc g6i gon trong m6t router

Single DM VPN Cloud Topology

Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE Và chúng cũng phải có cùng subnet để thực hiện giao tiếp nội bộ Mô hình này không được khuyến cáo vì chúng

không khả dụng và không chống lỗi được Với kiểu triển khai Spoke-and-Spoke thì việc trién khai theo Single DMVPN nay can duge can nhac ky

Hai headend phải được cấu hình DMVPN giống nhau, có địa chi IP cing mét subnet Khi do chúng sẽ hồ trợ cho chúng ta chức năng load balanced giữa hai trung tâm

- Mô hình triển khai dành cho:

e Hub-and-Spokc: Giữa trung tâm và chi nhánh Trong Hub-and-Spoke có hai kiến trúc dành cho cloud

o_ Dual Cloud: Có nhiều subnet

©_ Smple Cloud: Có một subnet

Trong cả hai kiến trúc thi 6 trung tam (header) cé thể triển khai theo hai giải pháp:

o Single Tier: hai giao thic mGRE va Crypto trén cùng một roufer

o Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau

e Spoke-and-Spoke: gifta các chi nhánh với nhau

Phan 2: Cac van dé khi trién khai

DMVPN

Co ché tunnel va dia chi ip

Bạn có thê đã nghe thấy ở đâu đó người ta nói rằng: “VPN tạo tunnel để kết nói giao tiếp lại”

Và bạn nhìn thấy một hình minh họa dưới đây:

Site to Site VPN Văn phòng từxa (pH

“ra, Máy chủ truy cập

Mạ IP

x TÊỂ văn phòng chính

Hình 2 1: Mô hình VPN với cơ chế Tunnel

Như vậy tumnel là một cơ chế, mà người ta gọi là đường ống, nó có chức năng che dấu đi dữ

liệu A nào đó bằng một lớp đữ liệu B khác Mô hình là vậy để chúng ta dễ hiểu, thực chất

công việc này trong truyền thông là gắn thêm vào dữ liệu một header riêng, để biết rằng đó là gói dữ liệu theo định dạng của B

Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn để được đề cập đến chính là dia chi IP Ban than gói dữ liệu gửi từ A, đã có địa chi ip của riêng nó và của đích mà nó cần đến Khi được tunnel hóa đi, nó mang thêm vào một địa chỉ ip nguồn và dich cia tunnel Người ta gọi đây là ip tunnel, và giao tiếp giữa hai ip tunnel này gọi là Tunnel Interface Như vậy, giữa hai đầu của tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợ cáp mạng nối hai

điểm cần giao tiếp với nhau

địa chỉ ip public, và thông qua tunnel nó được gửi đến đầu nhận có địa chỉ ip public Tại đầu

nhận gói dữ liệu được tháo ra để lấy đữ liệu bên trong và trả vào cho mạng private

Giao thức GRE

Làm thé nao để có được tunnel? Như đã đề cap, tunnel thirc chất là gan thêm mot header theo định dạng quy định vào trong gói tin cần gửi Như vậy định dạng quy định này là gì? Câu trả lời rằng nó là những giao thức đóng gói dữ liệu trong tunnel Một vài giao thức có thé kể tên nhu PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing Encapsulation) Tat ca giao thirc nay déu sé

gắn vào gói tin cần gửi những đữ liệu của riêng nó, và phía đầu nhận phải hiểu để bóc gói

(Discapsulation) cho dung

Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề là không thể định

tuyến Khi cơ chế tunnel được tạo ra, hai site kết nối với nhau thì chúng có thể nằm trong cùng một mạng LAN, và phía sau chúng có thể là hàng loạt các mạng LAN khác Hai router

giữa vai trò đầu cuối của VPN (nơi tạo ra tunnel) phải chịu trách nhiệm gửi cập nhật định

tuyến bên trong mạng cho nhau Chúng ta đều biết rằng, cập nhật định tuyến này gửi theo

broadcast, ma đa phần môi trường mang public khong cho phép gói tin broadcast di qua GRE sé giai quyét van dé nay

GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng non-broadcast (mạng không cho phép broadcast) GRE cung cấp một cơ chế đóng gói tất cả các giao thức của tầng mạng, gửi đến cho những giao thức của tầng mạng khác GRE sử dụng để truyền tải các gói tin IP từ mạng private này đến mạng private khác, thông qua internet GRE tunnel cũng cho phép các giao thực định tuyến hoạt động khi nó chuyên tiếp từ mạng private đến các router khác trén mang internet GRE cũng đóng gói dữ liệu muliicast để chuyển qua internet

GRE không cung cấp cơ chế mã hoá, do đó nó cần IPSEC dé mã hoá đữ liệu trên đường truyền Một gói tin khi cần chuyển ra mạng public thông qua GRE, nó sẽ được đóng gói theo

chuẩn của GRE, bằng cách thêm vào GRE header, có độ dài 32 đến 160 bits

bao nhiêu, bằng giao thức ARP Tuy nhiên, giao thức ARP không thể hoạt động, vì ở đây

đang dùng cơ chế tunnel, nó không cho phép gói tin của ARP chạy qua dé tim MAC Vi thé NHRP (Next Hop Resolution Protocol) ra doi

NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm những vấn đề

mạng NBMA (Non-Broadcast Multiple Access) Với NHRP, các hệ thống học địa chỉ của các

hệ thống khác được có định đến mạng NBMA một cách linh động Cho phép các mạng này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian

NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu trên hệ thống

mạng NBMA NHRP không phải là giao thức dò đường Đó chỉ là một giải pháp kỹ thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá trình chuyển dữ liệu sang các địa chỉ kiểu Mạng NBMA trái ngược lại với mạng phát tán Trên hệ thống mạng phát tán, nhiều máy tính cũng như các thiết bị cùng dùng chung một cáp mạng hay các thiết bị truyền thông khác Khi một máy tính truyền đi các fame thông tin, tất cả các nút trên mạng cùng “lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên frame mới thật sự nhận được các frame nay Bởi vậy, các frame gọi là được phát tan Mang kiểu NBMA sử dụng các mạch

hướng kết nối để phân phối các frame hay cell từ đầu nầy đến đầu kia của mạch Không có

trạm nào khác liên quan đến mạch nay ngoại trừ 2 nút cuối của nó Các dịch vụ chuyên đữ liệu trong IP phi kết nối (connectionless) không phải luôn luôn phù hợp với các liên kết hướng kết nối của ATM

Tunnel Protection Mode

Tiêu biểu vẫn là IPSec, chúng ta có thể cấu hình crypto theo kiểu dynamic hoặc static ở cả hai dau router header va branch.Trong cac phién ban IOS 13 (hoặc lớn hơn) hỗ trợ hầu hết các cấu hinh cua IPSec Cũng từ phiên bản 13 này, khái niệm IPSec profile được giới thiệu IPSec Proñle được áp dụng cho hầu hết các kết nối, chúng ta không cần phải sử dụng nhiều ACL cho mỗi interface Tuy nhiên, chỉ có những subnet nào được cấu hình giao tiếp và được

phép giao tiếp với IPSec thì mới sử dụng được profile này

Sứ dụng giao thức định tuyến

Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến động đề định tuyến

từ headen đến branch Việc sử dụng các giao thức định tuyến động có nhiều lợi thế hơn đóng góp trực tuyến bằng IPSec (IPSec Direct Encapsulation) Trong VPN, giao thức định tuyến phải đảm bảo cùng một lợi ích so với mạng truyền thống, nó bao gồm:

e Thong tin vé topology cla mang

e Thông báo thay đi trong cấu trúc của topology

e Trang thai diéu khién từ xa của mỗi đối tượng

Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN bao gồm EIGRP, OSPE, RIPv2, và ODR (chỉ dùng trong hub-and-spoke) Giao thức EIGRP được khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến động này duy trì định tuyến theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ nhanh chóng của nó EIGRP

cung cấp một loạt các tùy chọn đề tổng hợp địa chỉ (summarization) và quảng bá định tuyến

mặc dinh (default route)

Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng, nhưng không

được thảo luận rất chỉ tiết ODR có thể không được sử dụng trong mô hình triển khai spoke-

to-spoke vi ODR không hỗ trợ chia tach tunnel (split tunneling)

Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó tác động này phải được xem xét khi tăng kích thước mạng

C4n nhac sir dung Crypto

IPSec hồ trợ hai cơ chế mã hoa 1a transport va tumnel V6i co ché transport thi chi ma hóa

phân đỡ liệu (payload), còn phần header có chứa địa nguồn và đích thì không được mã hóa

Với cơ chế tunnel thì cả phần dữ liệu và header đều được mã hóa, giúp bảo vệ thông tin trong phần header Cơ chế transport còn thêm vào 20 byte đệm trong tông kích thước gói tin Cả hai cơ chế này đều được sử dụng để triển khai trong DMVPN

Nếu crypfo tunnel được sử dụng cho NAT hoặc PAT thì bắt buộc phải dùng cơ chế tunnel

Mặc khác, trong triển khai DMVPN, nếu triển khai dual tier với cả GRE tunnel va crypto tunnel thì cũng bắt buộc phải dùng cơ chế tunnel trong IPSec

IKE Call Admission Control

Trước đây phiên bản IOS 12.3 không có một chương trình nào điều khiển và giới hạn số

lượng và tốc độ khởi tạo các yêu cầu chứng thực của ISAKMP (giao thức dùng đề quản lý

khóa và khởi tạo kết nối), đều đó dẫn đến sự quá tải của router và làm tràn ngậm băng thông

mạng

IKE Call Admission Control (CAC) được giới thiệu trong phiên bản 12.3 đã giới hạn được số lượng chứng thực của ISAKMP cho phép đến và đi từ một router Bằng cách giới hạn số lượng crypto động được tạo ra, chúng †a có thé ngăn chặn không cho router bị tràn ngậm các yêu cầu ISAKMP được tạo ra Việc giới hạn này còn phụ thuộc vào nên tản công nghệ, mô

hình mạng, ứng dụng và luồng đữ liệu truyền tải qua mạng Nếu bạn chỉ định một giới hạn IKE CAC ít hơn số lượng hiện tại của hoạt động IKE SA, một lời cảnh báo được hiển thị,

nhưng ISAKMP SA không chấm dứt Một yêu cầu ISAKMP SA mới bị từ chối cho đến khi

bộ đếm ISAKMP SA hoạt động là dưới mức giới hạn cấu hình

CAC cung cấp hai phương pháp tiếp cận để hạn chế IKE SA có thể dùng để triển khai trong mạng DMVPN Đầu tiên, CAC bình thường là một giám sát tài nguyên toàn cục, thăm đò phản hồi để đảm bảo rằng tất cả các quá trình bao gồm IKE không làm quá tải CPU của

router hoặc bộ nhớ đệm Người dùng có thể câu hình một giới hạn tài nguyên, đại diện bởi

một tỷ lệ phần trăm tài nguyên hệ thống từ 0 đến 100 Nếu người dùng xác định một giới hạn tài nguyên là 90%, sau đó IKE CAC loại bỏ các yêu cầu ISAKMP SA hệ thống tiêu thụ đến 90% hiệu suất Tính năng này rat CÓ giá trị trên các bộ định tuyến headend, có thể phân loại

và mã hóa các gói dữ liệu trong các công cụ mã hoá phần cứng với tốc độ dòng Điều này

hữu ích trên các bộ định tuyến khi triển khai theo mô hình hub-and-spoke, bởi vì các bộ định

tuyến chỉ nhánh thường đạt ngưỡng trước khi được nạp đầy đủ với ISAKMP SA

Cách tiếp cận thứ hai cho phép người sử dụng cấu hình một giới hạn xác thực IKE ISAKMP 5A (KE CAC) Khi giới hạn này được đạt tới, IKE CÁC loại bỏ tất cả các yêu cầu ISAKMP

SA mới Các Yêu cầu then chốt của IPsec SA lại luôn được cho phép vì để bảo tồn tính toàn vẹn của phiên hiện tại Chức năng này chủ yếu nhắm vào các bộ định tuyến ở chỉ nhánh trong một mô hình triển khai spoke-to-spoke Bằng cách cấu hình một giới hạn số lượng các dynamic tunnel có thể được tạo ra, người sử dụng có thê ngăn chặn một bộ định tuyến không

bị tràn ngập nếu nó đột nhiên tràn ngập các yêu cầu SA Ý tưởng CAC IKE phụ thuộc rất

nhiều vào các nên tảng cụ thể và công nghệ crypfo, cấu trúc liên kết mạng, và những thiết lập

được triển khai

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_call_ addmsn_ike.html

Phan 3: Demo cau hinh

Lab 1: IPsec + GRE Hub and Spoke

Trong bài lab này chúng ta sử dụng mô hình mạng như sau:

! Khởi tạo cryto với khóa là cisco47

crypto isakmp policy 1

authentication pre-share

crypto isakmp key 6 cisco47 address 0.0.0.0 0.0.0.0

! Lựa chọn phương thức mã hóa là DES va MD5, tiếp cận theo kiểu transport

crypto ipsec transform-set trans esp-des espb-md5-hmac

mode transport

'Tao cryto map có tên là vpnmapl

crypto map vpnmapl local-address FastEthernet1/0

access-list 101 permit gre host 172.17.0.1 host 172.17.0.2

access-list 102 permit gre host 172.17.0.1 host 172.17.0.3

Spoke I

crypto map vpnmapl local-address FastEthernet1/0

crypto map vpnmapl local-address FastEthernet1/0

Kiém tra

Dung lénh show ip route trén Hub, chung thấy rằng đã định tuyến cho mạng

192.168.1.0/24 va 192.168.2.0/24 qua interface la Tunnel1 10.0.0.2 va Tunnel2 10.0.0.6

C 192.168.0.0/24 is directly connected, Loopbackl

ID Interface IP-Address State Algorithm Encrypt Decrypt

Dung lénh show crypto isakmp sa để xem trạng thái của isakmp

HUB#sShow crypto isakmp sa

Lab 2: IPsec + mGRE Hub and Spoke

Trong bai lab nay chung ta st’ dung mGRE dé cau hình cho VPN Thực hién bai lab

theo sơ đồ mạng sau:

192 168.0.0/2

omens =P Sec Encrypted