Tải bản đầy đủ (.doc) (2 trang)
  1. Trang chủ
    2. >>
  2. Thể loại khác
    3. >>
  3. Tài liệu khác

Hướng dẫn cài đặt VPN site-to-site trên Cisco IOS dùng GRE tunnels pps

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (85.52 KB, 2 trang )

Trong trường hợp ta muốn triển khai các ứng dụng multicast hoặc các ứng dụng non-IP
(ví dụ ĨPX) trên các kết nối VPN, GRE tunnels phải được dùng. Ngoài ra, khi bạn muốn
chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì bạn cũng
phải dùng GRE tunnels.
Ưu điểm của GRE là:
- Hỗ trợ nhiều giao thức.
- hỗ trợ multicast/broadcast.
Nhược điểm của GRE tunnels là
- Không có cơ chế mã hóa.
- Không có cơ chế hashing
- Không có cách nào xác thực nguồn gốc của VPN peer.
Chính vì vậy, ta có thể sử dụng kết hợp IPSec với GRE tunnels để bổ sung cho các
khuyết điểm của GRE.
File Word đính kèm hướng dẫn cấu hình VPN site-to-site. Do IOS 12.3 trở đi đã hỗ trợ
giao diện SDM nên bài lab này hướng dẫn cách cấu hình GRE tunnels dùng SDM. Bài
lab do Hoàng Khánh / Hà lớp ISCW thực hiện.
Vài điểm khác biệt so với các cấu hình site-to-site trước đây là:
- crypto ACL có sự khác biệt (match gre protocols).
- cách áp dụng crypto map vào cả interface tunnels và interface physical (là interface kết
nối trực tiếp ra Internet).
Mời mọi người tham khảo.Các bạn download về, giải nén thành file Word.
VPN, theo định nghĩa trong giáo trình ISCW, là quá trình tạo đường hầm (tunnelling) +
đảm bảo tính riêng tư (private) của dữ liệu chảy trong đường hầm đó. VPN=tunnelling +
data private (encryption, hashing )
Để tạo ra đường hầm (tunnel), ta có các giao thức lớp hai như L2TP, PPTP, L2F Ở lớp
3, có hai giao thức được dùng là GRE và IPSEC (pha 1).
GRE là một giao thức cho phép tạo ra các tunnel. Ưu điểm của GRE (so với IPSec) là hỗ
trợ nhiều loại giao thức bên trong header GRE của nó. Ví dụ như các GRE tunnels có thể
mang các gói tin IPX, IP, Appletalk Một ưu điểm khác là các giao thức định tuyến động
(OSPF/EIGRP) có thể chui bên trong GRE tunnel này.
Định dạng của một gói tin do GRE đóng gói có dạng như sau:


Cấu hình GRE tunnels cũng rất đơn giản:
Cấu hình của GRE tunnels cũng khá đơn giản:
interface tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source s0/0
tunnel destination 67.67.67.67
tunnel mode gre ip
Theo trên, ta thấy chỉ cần tồn tại hai IP là có thể xây dựng được GRE tunnels.
Một lý do mà GRE tunnel được sử dụng rất nhiều trong các mô hình VPN HUB-and-
SPOKE là bởi vì chỉ cần xây dựng số GRE tunnels tối thiểu, cho các dynamic routing
protocol chạy trên các tunnel này là đảm bảo một kết nối đầy đủ giữa các site (spokes).
Nếu bạn dùng IPSec, bạn không thể cho các dynamic routing protocol (OSPF/EIGRP)
chạy bên trong các IPSec tunnels. Cần nhắc lại là IPSEc chỉ hỗ trợ loại traffic là IP
Unicast trong tunnels của nó. Vì vậy, bạn phải thiết lập nhiều IP Sec peer để đảm bảo kết
nối.
GRE vẫn có những yếu điểm của nó. Ví dụ GRE không có các cơ chế để bảo vệ dữ liệu.
Đối với các chức năng này, GRE phải quay sang nhờ IPSEc. Thành ra là, ta hay gặp GRE
over IPSec trong các mô hình hub-and-spoke.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×