GRE Tunnel là gì? Hướng dẫn cấu hình GRE Tunnel Trên Router Cisco


Trong bài viết này chúng ta sẽ tìm hiểu về GRE Tunnel là gì và cách cấu hình GRE Tunnel trên Router Cisco, kèm theo sử dụng công nghệ IPSEC Tunnel để mã hóa dữ liệu trên Tunnel

GRE là gì?

GRE là viết tắt của Generic Routing Encapsulation, là giao thức được phát triển bởi Cisco, cho phép đóng gói nhiều loại giao thức mạng vào các liên kết Point-to-Point. Một GRE Tunnel được sử dụng khi các gói dữ liệu cần được gửi giữa các mạng khác nhau thông qua internet. GRE được cấu hình để tạo một đường hầm ảo giữa hai Router và các gói tin gửi giữa hai mạng nội bộ sẽ được truyền qua GRE Tunnel.

Đáng lưu ý là các gói tin truyền trong GRE Tunnel không được mã hóa. Để bảo vệ dữ liệu, chúng ta cần sử dụng công nghệ IPSEC kết hợp với GRE.

Có Thể Bạn Quan Tâm :   Chỉ định thầu là gì? Trường hợp nào được áp dụng hình thức chỉ định thầu?

IPSEC GRE Tunnel cơ bản tương tự IPSEC VPN Site to Site vì cả hai giao thức đều tạo một tunnel để kết nối hai site và cho phép truyền dữ liệu qua đó. Tuy nhiên, điểm khác biệt chính là GRE Tunnel cho phép truyền gói tin Multicast trong khi IPSEC VPN không hỗ trợ. Trong các mạng lớn sử dụng các giao thức định tuyến như OSPF, EIGRP, chúng ta cần sử dụng GRE Tunnel để truyền gói tin giữa các giao thức này.

Các bước cấu hình

  • Bước 1: Bật giao diện Tunnel và đặt địa chỉ IP cho giao diện này
  • Bước 2: Tạo định tuyến tĩnh để cho phép các mạng nội bộ 2 Site có thể truy cập được lẫn nhau.
  • Bước 3: Cấu hình IPSEC để mã hóa dữ liệu trên Tunnel

Cấu hình GRE Tunnel trên Router Cisco

Trong mô hình bao gồm hai Site là HQ và BR sử dụng NAT để truy cập internet. Site HQ gồm hai VLAN: VLAN10-10.0.0.0/24 và VLAN20-10.0.1.0/24. Site BR gồm một VLAN 172.16.1.0/24. Router HQ có IP Wan là 100.0.0.100 và Router BR có IP Wan là 100.0.0.1. Yêu cầu của bài Lab là cấu hình GRE Tunnel với dải IP 192.168.1.0/24 để cho phép các VLAN giữa hai site HQ và BR có thể truy cập được lẫn nhau.

Bước 1: Tạo GRE Tunnel trên Router HQ

HQ# configure terminal HQ(config)# interface tunnel 0 %LINK-5-CHANGED: Interface Tunnel0, changed state to up HQ(config-if)# ip address 192.168.1.1 255.255.255.0 HQ(config-if)# tunnel mode gre ip HQ(config-if)# tunnel source 100.0.0.100 HQ(config-if)# tunnel destination 100.0.0.1

Có Thể Bạn Quan Tâm :   Indominus Rex có phải là một cô gái không?

Trong phần tunnel source có nhiều tùy chọn như interface, địa chỉ IP… Chúng ta có thể sử dụng các tùy chọn khác nhau. Ngoài ra, MTU mặc định là 1500 byte, nếu bạn sử dụng giao thức PPPoE để kết nối internet, bạn cần cấu hình MTU để tránh fragmenting gói tin.

Bước 2: Tạo GRE Tunnel trên Router BR

Chúng ta tạo Tunnel tương tự trên Router BR

BR# configure terminal BR(config)# interface tunnel 0 %LINK-5-CHANGED: Interface Tunnel0, changed state to up BR(config-if)# ip address 192.168.1.2 255.255.255.0 BR(config-if)# tunnel mode gre ip BR(config-if)# tunnel source 100.0.0.1 BR(config-if)# tunnel destination 100.0.0.100

Bước 3: Cấu hình định tuyến tĩnh để các VLAN giữa hai site có thể kết nối được với nhau

Sau khi cấu hình các interface tunnel trên hai router, chúng ta có thể ping từ địa chỉ IP 192.168.1.1 trên Router HQ đến địa chỉ 192.168.1.2 trên Router BR.

HQ# ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms HQ#

Tuy nhiên, VLAN giữa hai site vẫn chưa thể truy cập được lẫn nhau do router vẫn sử dụng Default route để định tuyến gói tin này. Chúng ta cần tạo thêm định tuyến tĩnh để router đẩy gói tin thông qua GRE Tunnel.

Có Thể Bạn Quan Tâm :   Nhà đầu tư e ngại rủi ro (Risk Averse Investor) là gì? Các chiến lược đầu tư phòng ngừa rủi ro

Cấu hình định tuyến tĩnh trên Router HQ

HQ(config)# ip route 172.16.1.0 255.255.255.0 192.168.1.2

Cấu hình định tuyến tĩnh trên Router BR

BR(config)# ip route 10.0.0.0 255.255.255.0 192.168.1.1 BR(config)# ip route 10.0.1.0 255.255.255.0 192.168.1.1

Bây giờ hai site có thể ping được lẫn nhau thông qua GRE Tunnel

Mã hóa dữ liệu trên GRE Tunnel với IPSEC

Như đã đề cập ở trên, GRE là một giao thức đóng gói nhưng không mã hóa dữ liệu, khiến cho dữ liệu dễ bị bắt capture trên đường truyền. Vì vậy, chúng ta phải kết hợp IPSec để mã hóa dữ liệu trong tunnel.

Bước 1: Cấu hình ISAKMP (IKE)

HQ(config)# crypto isakmp policy 1 HQ(config-isakmp)# encryption 3des HQ(config-isakmp)# hash md5 HQ(config-isakmp)# authentication pre-share HQ(config-isakmp)# group 2

Bước 2: Cấu hình key để xác thực

HQ(config)# crypto isakmp key cnttshop address 100.0.0.1

Bước 3: Tạo chuyển đổi IPSEC

HQ(config)# crypto ipsec transform-set SET1 esp-3des esp-md5-hmac HQ(cfg-crypto-trans)# mode transport

Bước 4: Cấu hình IPSEC

R1(config)# crypto ipsec profile GRE-IPSEC

Bước 5: Gán IPSEC vào VPN Tunnel

R1(config)# interface Tunnel 0 R1(config-if)# tunnel protection ipsec profile GRE-IPSEC

Cấu hình tương tự trên Router BR

BR(config)# crypto isakmp policy 1

Vậy là chúng ta đã hoàn thành cấu hình IPSec GRE Tunnel giữa hai site. Chúng ta có thể sử dụng lệnh show crypto session để kiểm tra

HQ# show crypto session

Chúc bạn thành công!

Back to top button