BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CƠNG NGHỆ THƠNG TIN Tìm hiểu giao thức đường hầm Generic Routing Encapsulation (GRE) Tunnels minh họa THỰC TẬP CƠ SỞ Ngành: Truyền thông mạng máy tính Giáo viên hướng dẫn Sinh viên thực Lớp MSSV : : : : Nguyễn Huỳnh Huy Nguyễn Mai Diễm Hương 61.CNTT-3 61133717 Chương I: TÌM HIỂU VỀ GIAO THỨC ĐƯỜNG HẦM 1.1 Giới thiệu giao thức đường hầm 1.2 PPTP (Point - to - Point Tunneling Protocol) 1.2.1 Nguyên tắc hoạt động PPTP 1.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP 1.2.3 Nguyên lý đóng gói liệu đường hầm PPTP 1.3 L2F (Layout Forwarding) 1.3.1 Nguyên tắc hoạt động L2F .7 1.3.2 Cấu trúc gói L2F 1.4 L2TP (Layer Two Tunneling Protocol) .9 1.4.1 Quá trình xử lý L2TP 1.4.2 Cấu trúc gói liệu L2TP: 11 1.5 IPSec (IP Security Protocol) 11 1.5.1 Cơ chế làm việc IPSec 12 1.5.2 Các chế độ đóng gói liệu IP IPSec 13 1.6 GRE (Generic Routing Encapsulation) 14 1.6.1 Khái niệm GRE 14 1.6.2 Các ưu điểm GRE 15 1.6.3 Phân loại GRE 15 1.6.3.1 Point-to-Point GRE 15 1.6.3.2 Point-to-Multipoint GRE (mGRE) 16 1.6.4 Cơ chế hoạt động GRE 17 CHƯƠNG II: MƠ PHỎNG CHƯƠNG TRÌNH 18 2.1 Các phần mềm sử dụng 18 2.1.1 Cisco Packet Tracer 18 2.1.2 Wireshark 19 2.2 Mô 20 Chương I: TÌM HIỂU VỀ GIAO THỨC ĐƯỜNG HẦM 1.1 Giới thiệu giao thức đường hầm Có nhiều giao thức đường hầm khác công nghệ VPN, việc sử dụng giao thức lên quan đến phương pháp xác thực mật mã kèm Một số giao thức đường hầm phổ biến là: Giao thức tầng hầm chuyển tiếp lớp (L2F) Giao thức đường hầm điểm tới điểm (PPTP) Giao thức tầng hầm lớp (L2TP) GRE IPSec Trước hết ta phân biệt giao thức PPTP(Point - to - Point Tunneling Protocol) L2F(Layer two Forwarding) PPTP giao thức nhiều công ty hợp tác phát triển L2F Cisco phát triển độc lập PPTP L2F phát triển dựa giao thức PPP (Point - to - Point Protocol) PPP giao thức truyền thông nối tiếp lớp 2, sử dụng để đóng gói liệu liên mạng IP hỗ trợ đa giao thức lớp Trên sở PPTP L2F, IETF phát triển giao thức đường ngầm L2TP Hiện giao thức PPTP L2TP sử dụng phổ biến L2F Trong giao thức đường hầm nói trên, IPSec giải pháp tối ưu mặt an toàn liệu gói tin Nó sử dụng phương pháp xác thực mật mã tương đối cao IPSec mang tính linh động hơn, không bị ràng buộc thuật toán xác thực hay mật mã 1.2 PPTP (Point - to - Point Tunneling Protocol) 1.2.1 Nguyên tắc hoạt động PPTP giao thức truy nhập vào Internet mạng IP phổ biến Nó làm việc lớp liên kết liệu mô hình OSI, PPP bao gồm phương thức đóng gói, tách gói IP, truyền chỗ kết nối điểm tới điểm từ máy sang máy khác BP PPTP đóng gói khung liệu giao thực PPP vào IP datagram để truyền qua mạng IP (Internet Intranet) PPTP dùng kết nối TCP (gọi kết nối điều khiển PPTP) để khởi tạo, trì, kết thúc đường ngầm; phiên giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói khung PPP Phần tải tin khung PPP mật mã hoặc/và giải nén PPTP sử dụng PPP để thực chức : Thiết lập kết thức kết nối vật lý Xác định người dùng Tạo gói liệu PPP PPTP tồn mạng IP PPTP khách PPTP chủ mạng PPTP khách đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP Khi kết nối thực có nghĩa người dùng xác nhận Đó giai đoạn chọn PPP, nhiên ln cung cấp ISP Việc xác thực trình thiết lập kết nối dựa PPTP sử dụng chế xác thực kết nối PPP Một số chế xác thực sử dụng : Giao thức xác thực mở rộng EAP (Extensible Authentication Protocol) Giao thức xác thực có thử thách bắt tay CHAP (Challenge Handshake Authentication Protocol) Giao thức xác nhận mật PAP (Password Authentication Protocol) Giao thức PAP hoạt động nguyên tắc mật gửi qua kết nối dạng văn đơn giản khơng có bảo mật CHAP giao thức thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, chống lại công quay lại cách sử dụng giá trị bí mật khơng thể đốn giải Khi PPP thiết lập kết nối, PPTP sử dụng quy luật đóng gói PPP để đóng gói gói truyền đường hầm Để dự ưu điểm kết nối tạo PPP, PPTP định nghĩa hai loại gói điểu khiển liệu, sau gán chúng vào hai kênh riêng kênh điều khiển kênh liệu PPTP tách kênh điều khiển kênh liệu thành luồng điều khiển với giao thức điều khiển truyền liệu TCP luồng liệu với giao thức IP Kết nối TCP tạo máy khách máy chủ sử dụng để truyền thơng báo điều khiển Các gói liệu liệu thơng thường người dùng Các gói điều khiển đua vào theo chu kì để lấy thông tin trạng thái kết nối quản lý báo hiệu ứng máy khách PPTP máy chủ PPTP Các gói điều khiển dùng để gửi thông tin quản lý thiết bị, thông tin cấu hình hai đầu đường hầm Kênh điều khiển yêu cầu cho việc thiết lập đường hầm máy khách máy chủ PPTP Máy chủ PPTP Server có sử dụng giao thức PPTP với giao diện nối với Internet giao diện khác nối với Intranet, phần mềm client nằm máy người dùng từ xa máy chủ ISP 1.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP Kết nối điều khiển PPTP kết nối địa IP máy khách PPTP địa máy chủ Kết nối điều khiển PPTP mang theo gói tin điều khiển quản lý sử dụng để trì đường hầm PPTP Các tin bao gồm PPTP yêu cầu phản hồi PPTP đáp lại phải hồi định kì để phát lỗi kết nối máy trạm máy chủ PPTP Các gói tin kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP tin điều khiển PPTP tiêu đề, phần cuối lớp liên kết liệu Hình 1.1: Gói liệu kết nối điều khiển PPTP 1.2.3 Nguyên lý đóng gói liệu đường hầm PPTP a Đóng gói khung PPP: Dữ liệu đường ngầm PPTP đóng gói thơng qua nhiều mức Hình 1.2: Gói liệu đường hầm PPTP Phần tải khung PPP ban đầu mật mã đóng gói với phần tiêu đề PPP để tạo khung PPP Khung PPP sau đóng gói với phần tiêu đề phiên sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyến chung), giao thức cung cấp chế chung cho phép đóng gói liệu để gửi qua mạng IP Đối với PPTP, phần Tiêu đề GRE sửa đổi số điểm sau: Một bit xác nhận sử dụng để khẳng định có mặt trường xác nhận 32 bit Trường Key thay trường độ dài Payload 16 bit trường số gọi 16 bit Trường số gọi thiết lập PPTP client trình khởi tạo đường ngầm PPTP Một trường xác nhận dài 32 bit thêm vào b Đóng gói IP: Phẩn tải PPP GRE sau đóng gói với tiêu đề IP chứa thơng tin địa nguồn đích thích hợp cho máy khách náy chủ PPTP c Đóng gói lớp liên kết liệu: Để truyền qua mạng LAN WAN, gói tin IP cuối đóng gói với tiêu đề phần cuối lớp liên kết liệu giao diện vật lý đầu Ví dụ, gói tin IP gửi qua giao diện Ethernet, gói với phần tiêu đề Ethernet Nếu gói tin IP gửi qua đường truyền WAN điểm tới điểm (ví dụ đường điện thoại tương tự ISDN), đóng gói với phần tiêu đề đuôi giao thức PPP d Sơ đồ đống gói giao thức PPTP: Q trình đóng gói PPTP từ máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem mô theo hình Hình 1.3: Sơ đồ đóng gói PPTP Q trình thực hiện: Các gói tin IP, IPX khung NetBEUI đưa tới giao diện ảo giao thức giao thức tướng ứng(giao diện ảo kết nối VPN) sử dụng đặc tả giao diện thiết bị mạng NDIS(Network Driver Interface Specification) NDIS đưa liệu tới NDISWAN, nơi thực mã hóa nén liệu, cung cấp Tiêu đề PPP Phần Tiêu đề PPP bao gồm trường mã số giao thức PPP(PPP Protocol ID Field), khơng có trường Flags FCS(Frame Check Squence – trường chuỗi kiểm tra khung) Giả định trường địa điều khiển thỏa thuận giao thức điều khiển đường truyền LCP (Link Control Protocol) trình kết nối PPP NDISWAN gửi liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong tiêu đề GRE, trường số gọi đặt giá trị thích hợp xác định đường hầm Giao thức PPTP sau gửi gói vừa hình thành tới giao thức TCP/IP TCP/IP đóng gói liệu đường hầm PPTP với phần tiêu đề IP, sau gửi kết tới giao diện đại diện cho kết nối quay số tới ISP cục NDIS NDIS gửi gói tin tới NDISWAN, cung cấp tiêu đề đuôi PPP NDISWAN gửi khung PPP kết tới cổng WAN tương ứng đại diện cho phần cứng quay số (ví dụ, cổng khơng đồng cho kết nối modem) 1.3 L2F (Layout Forwarding) 1.3.1 Nguyên tắc hoạt động L2F Giao thức chuyển tiếp L2F đóng gói gói tin lớp 2, sau truyền chúng qua mạng Hệ thống sử dụng L2F gồm thành phần sau: Máy trạm truy nhập mạng NAS(Network Access Server): Hướng lưu lượng đến máy khách xa (Remote client) Home Gateway Đường hầm(Tunnel): Định hướng đường NAS Home Gateway Một đường hầm gồm số kết nối Home Gateway: Ngang hang với NAS, phần tử cửa ngõ thuộc mạng riêng Kết nối(Connection): Là kết nối PPP đường hầm Điểm đích(Destianation): Là điểm kết thúc đâu xa đường hầm Trong trường hợp Home Gateway đích Hình 1.4: Mơ hình hệ thống sử dụng L2F Hoạt động L2F bao gồm: thiết lập kết nối, định đường hầm phiên làm việc Quá trình hoạt động giao thức L2F trình tương đối phức tạp Một người sử dụng xa quay số tới hệ thống NAS khởi đầu kết nối PPP tới ISP Hệ thống NAS máy trạm trao đổi gói giao thức điều khiển liên kết LCP (Link Control Protocol) NAS sử dụng sở liệu cục liên quan tới điểm tên miền hay xác thực RADIUS để định xem người sử dụng có hay không yêu cầu dịch vụ L2F Nếu người sử dụng yêu cầu L2F trình tiếp tục, NAS thu nhận địa Gateway đích Một đường hầm thiết lập từ NAS tới Gateway đích chúng có chưa có đường hầm Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại cơng kẻ thứ ba Một kết nối PPP tạo đường hầm, điều có tác động kéo dài phiên PPP tạo người sử dụng xa tới Home Gateway Kết nối thiết lập theo quy trình sau: Home Gateway tiếp nhận lựa chọn tất thông tin xác thực PAP/CHAP thoả thuận đầu cuối người sử dụng NAS Home Gateway chấp nhận kết nối hay thoả thuận lại LCP xác thực lại người sử dụng Khi NAS tiếp nhận lưu lượng liệu từ người sử dụng, đóng gói lưu lượng vào khung L2F hướng chúng vào đường hầm Tại Home Gateway khung L2F tách bỏ liệu đóng gói hướng tới mạng doanh nghiệp hay người dùng Khi hệ thống thiết lập điểm đích, đường hầm phiên kết nối, ta phải điều khiển quản lý lưu lượng L2F cách: Ngăn cản tạo đích đến, đường hầm phiên Đóng mở lại tất hay chọn lựa điểm đích, đường hầm phiên, có khả kiểm tra tổng UDP Thiết lập thời gian rỗi cho hệ thống lưu giữ sở liệu vào đường hầm kết nối 1.3.2 Cấu trúc gói L2F Hình 1.5: Khn dạng gói L2F Trong đó:  F: Nếu bit thiết lập trường Offset có mặt  K: Nếu bit thiết lập trường Key có mặt  P: Thiết lập độ ưu tiên (Priority) cho gói  S: Nếu bit thiết lập trường Sequence có mặt  Reserved: ln đặt 00000000  Version: Phiên L2F dùng để tạo gói bit ln 111  Protocol: Xác thực giao thức đóng gói L2F  Sequence: số chuỗi đưa tiêu đề L2F có bit S =  Multiplex ID: Nhận dạng kết nối riêng đường hầm (tunnel)  Client ID: Giúp tách đường hầm điểm cuối  Length: chiều dài gói (tính byte) không bao gồm phần Checksum  Offset: Xác định số byte trước tiêu đề L2F, liệu tải tin bắt đầu Trường Offset có bit F =  Key: Trường trình bày bit K thiết lập Đây phần q trình nhận xác thực Trường Key có bit K =  Checksum: Kiểm tra tổng gói Trường Checksum có bit C = 1.4 L2TP (Layer Two Tunneling Protocol) 1.4.1 Quá trình xử lý L2TP Kết nối Dial-up Người sử dụng IS NAS LAC Gửi yêu cầu a)Xác nhận Chế độ giao vận thêm vào gói tin IP lượng byte định, dung lượng tăng khơng đáng kể Kiểu Transport co ưu điểm thêm vao goi IP ban đầu số it byte Nhưng chế độ thiết bị mạng phát va đọc IP địa nguồn va đích gói tin thực số xử lý (ví dụ phân tích lưu lượng) dựa thông tin IP header Tuy nhiên mật mã ESP thiết bị mạng liệu cụ thể bên gói tin IP Và theo khuyến cáo IETF chế độ truyền tải nên sử dụng đầu cuối sử dụng cơng nghệ mã hóa bảo mật IPSec Chế độ Tunnel: Tồn gói tin IP mã hóa và/hoặc chứng thực Sau đo no đong goi vao gói tin IP với tiêu đề IP Chế độ tunnel sử dụng để tạo VPN phục vụ cho việc liên lạc mạng (ví dụ định tuyến để liên kết trang web), liên lạc máy chủ mạng (ví dụ truy cập người sử dụng từ xa), máy chủ (ví dụ chat cá nhân) AH- kiểu Tunnel Authenticated ESP- kiểu Tunnel Encrypted Authenticated Hình 1.11: Gói tin IP chế độ Tunnel Trong trường hợp dùng giao thức ESP: giao thức lam cơng việc mã hoa (encryption), xác thực (authentication), bảo đảm tính toan vẹn liệu (integrity protection) Sau đong goi xong ESP, thơng tin va mã hố va giải mã nằm ESP Header Các thuật toán mã hoá sử dụng giao thức như: DES, 3DES, AES, thuật toán hash như: MD5 SHA-1 Trong trường hợp dùng giao thức AH: AH lam cơng việc xác thực (Authentication), va đảm bảo tính toan vẹn liệu Giao thức AH khơng co tính mã hố liệu 1.6 GRE (Generic Routing Encapsulation) 1.6.1 Khái niệm GRE Generic routing encapsulation (GRE) giao thức sử dụng để thiết lập kết nối point-to-point cách trực tiếp node mạng Đây phương pháp 14 đơn giản hiệu để chuyển liệu thông qua mạng public network, Internet GRE cho phép hai bên chia sẻ liệu mà họ chia sẻ với thông qua mạng public network GRE đóng gói liệu chuyển trực tiếp tới thiết bị mà de-encapsulate gói tin định tuyến chúng tới đích cuối Gói tin định tuyến chúng tới đích cuối GRE cho pháp switch nguồn đích hoạt động kết nối ảo point-to-point với thiết bị khác (bởi outer header áp dụng với GRE suốt với payload đóng gói bên trong) Ví dụ: GRE tạo tunnel cho phép giao thức định tuyến RIP OSPF chuyển tiếp gói tin từ switch tới switch khác thơng qua mạng Internet Hơn nữa, GRE tunnel đóng gói liệu truyền multicast để truyền thông qua Internet 1.6.2 Các ưu điểm GRE Cho phép đóng gói nhiều giao thức truyền thơng qua giao thức backbone (IP protocol) Cung cấp cách giải cho mạng bị hạn chế hop (hạn chế số hop di chuyển tối đa mạng) Kết nối mạng gián tiếp Yêu cầu tài nguyên giải pháp tunnel khác (ví dụ Ipsec VPN) 1.6.3 Phân loại GRE GRE giao thức đóng gói gói tin lớp network GRE cung cấp khả định tuyến mạng riêng (private network) thông qua môi trường Internet cách sử dụng địa IP định tuyến GRE truyền thống point-to-point, mGRE mở rộng khái niệm việc cho phép tunnel đến nhiều điểm đích, mGRE tunnel thành phần DMVPN 1.6.3.1 Point-to-Point GRE Đối với tunnel GRE point-to-point router spoke (R2 & R3) cấu hình tunnel đến HUB (R1) ngược lại, router HUB phải cấu hình hai tunnel, đến R2 đến R3 Mỗi tunnel cần địa IP Giả sử mơ hình mở rộng thành nhiều spoke, R1 cần phải cấu hình phức tạp tốn khơng gian địa IP Đây mơ hình Point-to-Point GRE: 15 Hình 1.12: Point-to-Point GRE Trong tunnel GRE point-To-point, điểm đầu cuối xác định truyền liệu Tuy nhiên, có vấn đề phát sinh địa đích multicast (chẳng hạn 224.0.0.5) GRE point-to-point khơng thực Để làm việc phải cần đến mGRE 1.6.3.2 Point-to-Multipoint GRE (mGRE) Như vậy, mGRE giải vấn đề đích đến địa multicast Đây tính mGRE dùng để thực thi Multicast VPN Cisco IOS Tuy nhiên, mGRE, điểm cuối chưa xác định nên cần giao thức để ánh xạ địa tunnel sang địa cổng vật lý Giao thức gọi NHRP (Next Hop Resolution Protocol) 16 Hình 1.13: Point-to-Multipoint (mGRE) Đối với mGRE Tunnel router có Tunnel cấu hình subnet logical 1.6.4 Cơ chế hoạt động GRE Để tạo kênh truyền, GRE thực việc đóng gói gói tin tương tự giao thức IPSec hoạt động Tunnel mode Trong q trình đóng gói, GRE thêm header vào gói tin, header cung cấp thơng số cần thiết dùng để truyền gói tin thơng qua mơi trường trung gian GRE chèn 24 byte vào đầu gói tin, 20 byte IP header dùng để định tuyến, byte GRE header Ngồi GRE cịn tùy chọn thêm 12 byte mở rộng để cung cấp tính tin cậy như: checksum, key chứng thực, sequence number 17 Hình 1.14: Định dạng packet đóng gói với GRE Cấu trúc gói tin đóng gói thêm GRE header GRE Hai byte phần header GRE flag 2-byte Phần bày chứa cờ dùng để định tính tùy chọn GRE - Bit (checksum): Nếu bit bật lên (giá trị 1) thỉ phần checksum thêm vào sau trường Protocol type GRE header - Bit (key): Nếu bit bật lên phần Key tính chứng thực áp dụng, dạng password dạng clear text Khi thiết bị tạo nhiều tunnel đến nhiều thiết bị đích key dùng để xác định thiết bị đích - Bit (Sequence number): Khi bit bật phần sequence number thêm vào GRE header Hai byte phần Protocol Type giao thức lớp gói tin ban đầu GRE đóng gói truyền qua kênh truyền Khi gói tin qua tunnel thêm GRE header sau tới đầu bên kênh truyền, gói tin loại bỏ GRE header để trả lại gói tin ban đầu CHƯƠNG II: MƠ PHỎNG CHƯƠNG TRÌNH 2.1 Các phần mềm sử dụng 2.1.1 Cisco Packet Tracer Cisco Packet Tracer phần mềm giả lập mạng dùng học tập sử dụng thiết bị mạng (router/switch) Cisco Nó hãng Cisco cung cấp miễn phí cho trường lớp, sinh viên giảng dạy/ theo học chương trình mạng Cisco Sản phẩm cung cấp công cụ để nghiên cứu nguyên tắc mạng kỹ làm việc với hệ thống Cisco 18 Hình 2.1: Phần mềm Cisco Packet Tracer 2.1.2 Wireshark Hình 2.2: Phần mềm Wireshark Wireshark phân tích gói mạng (network packet analyzer ) Một network packet analyzer cố gắng nắm bắt network packets cố gắng hiển thị liệu chi tiết tốt 19 Bộ phân tích gói mạng sử dụng thiết bị đo lường dùng để kiểm tra xảy bên cáp mạng (network cable), không khác chức vơn kế thợ điện sử dụng để kiểm tra xảy bên cáp điện Trước đây, công cụ thường bán phí cao tốn kém, độc quyền, hai Tuy nhiên với đời wireshark tất điều thay đổi Wireshark có lẽ phần mềm phân tích gói tin có mã nguồn mở tốt Sử dụng Wireshark nhằm mục đích sau: - Network administrators sử dụng wireshark để khắc phục cố mạng - Các kỹ sư Network security sử dụng Wireshark để kiểm tra vấn đề bảo mật - Các kỹ sư QA (Quality Assurance) sử dụng wireshark để xác minh network applications - Các developers sử dụng Wireshark để gỡ lỗi triển khai giao thức 2.2 Mô - Xây dựng mơ hình mơ hoạt động GRE Cisco Packet Tracer, bao gồm: thiết bị mạng: Route 4331, Switch, Máy server, Máy client Hình 2.3: Mơ hình hệ thống Cisco Packet Tracer 20 Giải thích mơ hình: Mơ hình thực q trình trao đổi gói tin qua đường hầm GRE máy server máy client  Phần 1: Định cấu hình Cấu hình SiteA Bước 1: Các chế độ cấu hình Router> (Chế độ người dùng) Router>enable (Vào chế độ Privileged EXEC Mode-bắt đầu cho phép cấu hình) Router>#config (Vào chế độ Configuration Mode) Bước 2: Cấu hình đặt tên IP cho Router Router(config)#hostname SiteA (Đặt tên cho router) SiteA(config)#int s0/1/0 (Vào giao diện cần cấu hình) SiteA(config-if)#ip address 11.1.1.0 255.255.255.252 (Khai báo IP Subnet mark) SiteA(config-if)#no shutdown SiteA(config-if)#int gi0/0/0 SiteA(config-if)#ip address 10.1.1.1 255.255.255.0 SiteA(configif)#no shutdown SiteA(config-if)#^Z (Ctrl+z) SiteA#wr (Lưu cấu hình chạy RAM vào NVRAM) Bước 3: Cấu hình đường mặc định hướng tới ISP SiteA#config SiteA(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.2 Cấu hình ISP Bước 1: Các chế độ cấu hình Router> (Chế độ người dùng) Router>enable (Vào chế độ Privileged EXEC Mode-bắt đầu cho phép cấu hình) 21 Router>#config (Vào chế độ Configuration Mode) Bước 2: Cấu hình đặt tên IP cho Router Router(config)#hostname ISP (Đặt tên cho router) ISP(config)#int s0/1/0 ( Vào giao diện cần cấu hình) ISP(config-if)#ip address 11.1.1.2 255.255.255.252 (Khai báo IP Subnet mark) ISP (config-if)#no shutdown ISP (config-if)#int gi0/0/0 ISP (config-if)#ip address 12.1.1.2 255.255.255.252 ISP (config-if)#no shutdown ISP (config-if)#^Z (Ctrl+z) ISP #wr (Lưu cấu hình chạy RAM vào NVRAM) Cấu hình SiteB Bước 1: Các chế độ cấu hình Router> (Chế độ người dùng) Router>enable (Vào chế độ Privileged EXEC Mode-bắt đầu cho phép cấu hình) Router>#config (Vào chế độ Configuration Mode) Bước 2: Cấu hình đặt tên IP cho Router Router(config)#hostname SiteB (Đặt tên cho router) SiteB(config)#int s0/1/0 (Vào giao diện cần cấu hình) SiteB(config-if)#ip address 12.1.1.0 255.255.255.252 (Khai báo IP Subnet mark) SiteB(config-if)#no shutdown SiteB(config-if)#int gi0/0/0 SiteB(config-if)#ip address 20.1.1.1 255.255.255.0 SiteB(configif)#no shutdown SiteB(config-if)#^Z (Ctrl+z) SiteB#wr (Lưu cấu hình chạy RAM vào NVRAM) Bước 3: Cấu hình đường mặc định hướng tới ISP 22 SiteB#config SiteB(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2  Phần 2: Định cấu hình đường hầm GRE router SiteA router SiteB Cấu hình SiteA: Bước 1: Định cấu hình giao diện đường hầm GRE router SiteA SiteB dạng giao diện WAN SiteA#config SiteA(config)#int tunnel SiteA(config-if)#ip address 192.168.1.1 255.255.255.252 SiteA(config-if)#tunnel source serial 0/1/0 SiteA(config-if)#tunnel destination 12.1.1.1 Bước 2: Xác minh trạng thái đường hầm GRE 0, giao thức đường hầm, nguồn điểm đến đường hầm SiteA#sh int tunnel 23 Bước 3: Thực ping router SiteA SiteB SiteA#ping 192.168.1.2 Bước 4: Thực traceroute để xác định đường dẫn đến đường hầm SiteA#traceroute 192.168.1.2 Cấu hình SiteB: Bước 1: Định cấu hình giao diện đường hầm GRE router SiteA SiteB dạng giao diện WAN SiteB#config SiteB(config)#int tunnel SiteB(config-if)#ip address 192.168.1.2 255.255.255.252 SiteB(config-if)#tunnel source serial 0/1/0 SiteB(config-if)#tunnel destination 11.1.1.1 Bước 2: Xác minh trạng thái đường hầm GRE 0, giao thức đường hầm, nguồn điểm đến đường hầm SiteB#sh int tunnel 24 Bước 3: Thực ping router SiteA SiteB SiteB#ping 192.168.1.1 Bước 4: Thực traceroute để xác định đường dẫn đến đường hầm SiteB#traceroute 192.168.1.1  Phần 3: Định cấu hình định tuyến qua đường hầm GRE Cấu hình SiteA: 25 Bước 1: Cấu hình EIGRP AS 100 router SiteA SiteB ip mạng muốn quảng bá, mạng LAN SiteA#config SiteA(config)#router eigrp 100 SiteA(config-router)#network 192.168.1.0 0.0.0.3 (0.0.0.3 mặt nạ đại diện cho 255.255.255.252) SiteA(config-router)#network 10.1.1.0 0.0.0.255 SiteA(config-router)#no auto-summary (Không tự ghép dãi địa IP thành dải lớn) Bước 2: Xác nhận cấu hình EIGRP SiteA#sh ip ei neighbors (Câu lệnh đầy đủ show ip eigrp neighbors) Bước 3: Xác minh bảng định tuyến IPv4 SiteA#sh ip route Cấu hình SiteB: 26 Bước 1: Cấu hình EIGRP AS 100 router SiteA SiteB ip mạng muốn quảng bá, mạng LAN SiteB#config SiteB(config)#router eigrp 100 SiteB(config-router)#network 192.168.1.0 0.0.0.3 (0.0.0.3 mặt nạ đại diện cho 255.255.255.252) SiteB(config-router)#network 20.1.1.0 0.0.0.255 SiteB(config-router)#no auto-summary (Không tự ghép dãi địa IP thành dải lớn) Bước 2: Xác nhận cấu hình EIGRP SiteB#sh ip ei neighbors (Câu lệnh đầy đủ show ip eigrp neighbors) Bước 3: Xác minh bảng định tuyến IPv4 SiteB#sh ip route Thực ping PC PC1 ping tới PC2 27 PC2 ping tới PC1 28 ... 20 Chương I: TÌM HIỂU VỀ GIAO THỨC ĐƯỜNG HẦM 1.1 Giới thiệu giao thức đường hầm Có nhiều giao thức đường hầm khác công nghệ VPN, việc sử dụng giao thức lên quan đến phương pháp xác thực mật mã... Một số giao thức đường hầm phổ biến là: Giao thức tầng hầm chuyển tiếp lớp (L2F) Giao thức đường hầm điểm tới điểm (PPTP) Giao thức tầng hầm lớp (L2TP) GRE IPSec Trước hết ta phân biệt giao thức. .. liệu liên mạng IP hỗ trợ đa giao thức lớp Trên sở PPTP L2F, IETF phát triển giao thức đường ngầm L2TP Hiện giao thức PPTP L2TP sử dụng phổ biến L2F Trong giao thức đường hầm nói trên, IPSec giải