© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 1 Kỹ thuật đường hầm (Tunneling) Quản trị mạng nâng cao © 2008 Cisco Systems, Inc. All rights reserved.BSCI 2 Advanced knowledge Bachkhoa Networking Academy BKACAD Nội dung 1. Tổng quan về tunneling 2. Ưu điểm và nhược điểm 3. Các bước cấu hình 4. Ví dụ © 2008 Cisco Systems, Inc. All rights reserved.BSCI 3 Advanced knowledge Bachkhoa Networking Academy BKACAD Kỹ thuật đường hầm dùng để vận chuyển giao thức L3 (IPX,IP,IPv6 ) qua hạ tầng của một L3 network khác. – Tạo một đường kết nối trực tiếp (ảo) giữa Nguồn và Đích Thông qua hạ tầng mạng sẵn có. – Về logic: Nguồn và Đích coi như kêt nối trực tiếp với nhau – Bản chất: đóng gói thêm một lớp L3 header vào gói tin ban đầu 3 Tunneling © 2008 Cisco Systems, Inc. All rights reserved.BSCI 4 Advanced knowledge Bachkhoa Networking Academy BKACAD Đóng gói Tunnel Transport Protocol: giao thức dùng để vận chuyển trong hạ tầng mạng sẵn có Passenger Protocol: giao thức được vận chuyển – Loại dữ liệu mà ta cần vận chuyển Carrier Encapsulation: giao thức tạo đường hầm 4 © 2008 Cisco Systems, Inc. All rights reserved.BSCI 5 Advanced knowledge Bachkhoa Networking Academy BKACAD Generic Route Encapsulation (GRE) Cơ chế đóng gói Layer3 RFC 1701, 1702, 2784 Sử dụng IP làm Transport protocol Hỗ trợ vận chuyển nhiều loại giao thức qua hạ tầng IP network (IPX, IP, IPv6 ) 5 © 2008 Cisco Systems, Inc. All rights reserved.BSCI 6 Advanced knowledge Bachkhoa Networking Academy BKACAD GRE Encapsulation 6 © 2008 Cisco Systems, Inc. All rights reserved.BSCI 7 Advanced knowledge Bachkhoa Networking Academy BKACAD Ưu điểm và nhược điểm của GRE Ưu điểm: – Đơn giản hóa việc triển khai IP VPN – Có thể mang hầu hết các loại giao thức qua tunnel Nhược điểm: – Dữ liệu không được bảo vệ (mã hóa, toàn vẹn) 7 © 2008 Cisco Systems, Inc. All rights reserved.BSCI 8 Advanced knowledge Bachkhoa Networking Academy BKACAD Các bước cấu hình GRE 1. Tạo interface tunnel 2. Cấu hình địa chỉ nguồn tunnel 3. Câu hình địa chỉ đích tunnel 4. Đặt địa chỉ logic cho tunnel © 2008 Cisco Systems, Inc. All rights reserved.BSCI 9 Advanced knowledge Bachkhoa Networking Academy BKACAD GRE monitoring and troubleshooting 9 © 2008 Cisco Systems, Inc. All rights reserved.BSCI 10 Advanced knowledge Bachkhoa Networking Academy BKACAD Ví dụ R1(config)#interface tunnel 0 R1(config-if)#ip address 172.16.1.1 255.255.255.0 R1(config-if)#tunnel source 172.30.1.2 R1(config-if)#tunnel destination 172.30.2.2 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip route 10.0.2.0 255.255.255.0 tunnel 0 172.30.1.2 Site 1 Site 2 172.30.6.2 10.0.1.12 10.0.6.12 R1 R6 Internet 10.0.1.0 10.0.6.0 B A [...]... 10 encrypt 3des hash md5 group 2 authentication pre-share crypto isakmp key 6 cisco123 address 123.0.0.2 crypto ipsec transform-set vpn esp-3des esp-md5-hmac crypto isakmp key 6 cisco123 address 120.0.0.1 access-list 116 permit gre host 120.0.0.1 host 123.0.0.2 crypto map gre 10 ipsec-isakmp match address 116 set peer 123.0.0.2 set transform-set vpn int serial 2/0 crypto2008 Ciscogre Inc All... transform-set vpn int serial 2/0 crypto2008 Ciscogre Inc All rights reserved map Systems, BSCI © crypto ipsec transform-set vpn esp-3des esp-md5-hmac access-list 116 permit gre host 123.0.0.2 host 120.0.0.1 crypto map gre 10 ipsec-isakmp match address 116 set peer 120.0.0.1 set transform-set vpn int serial 2/0 crypto map gre 12 Advanced knowledge BKACAD Bachkhoa Networking Academy Sử dụng GRE 2 Tạo... R1(config-router)#network 16.16.16.0 0.0.0.255 area 0 R1(config-router)#network 16.0.1.0 0.0.0.255 area 0 R6(config)#interface tunnel 0 R6(config-if)#ip address 16.16.16.2 255.255.255.0 R6(config-if)#tunnel source 172.30.6.2 R6(config-if)#tunnel destination 172.30.1.2 R6(config-if)#no shutdown R6(config)#router ospf 1 R6(config-router)#network 16.16.16.0 0.0.0.255 area 0 R6(config-router)#network 16.0.1.0 0.0.0.255 area... Khoa - www.bkacad.com 13 Advanced knowledge BKACAD Site 1 10.0.1.0 10.0.1.12 Bachkhoa Networking Academy R6 R1 A 172.30.1.2 Internet B 172.30.6.2 10.0.6.0 Site 2 10.0.6.12 R1(config)#interface tunnel 0 R1(config-if)#ip address 16.16.16.1 255.255.255.0 R1(config-if)#tunnel source 172.30.1.2 R1(config-if)#tunnel destination 172.30.6.2 R1(config-if)#no shutdown R1(config)#router ospf 1 R1(config-router)#network... m ng Bách Khoa - www.bkacad.com 11 Advanced knowledge BKACAD Bachkhoa Networking Academy GRE over IPSec example interface tunnel 0 ip add 100.0.0.1 255.255.255.0 tunnel source 120.0.0.1 tunnel destination 123.0.0.2 interface tunnel 0 Ip add 100.0.0.2 255.255.255.0 tunnel source 123.0.0.2 tunnel destination 120.0.0.1 crypto isakmp policy 10 encrypt 3des hash md5 authentication pre-share group 2... R6(config)#router ospf 1 R6(config-router)#network 16.16.16.0 0.0.0.255 area 0 R6(config-router)#network 16.0.1.0 0.0.0.255 area 0 BSCI © 2008 Cisco Systems, Inc All rights reserved H c vi n m ng Bách Khoa - www.bkacad.com 14 Advanced knowledge BKACAD BSCI © 2008 Cisco Systems, Inc All rights reserved Bachkhoa Networking Academy 15