Trong trường hợp ta muốn triển khai các ứng dụng multicast hoặc các ứng dụng non-IP (ví dụ ĨPX) trên các kết nối VPN, GRE tunnels phải được dùng. Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì bạn cũng phải dùng GRE tunnels. Ưu điểm của GRE là: - Hỗ trợ nhiều giao thức. - hỗ trợ multicast/broadcast. Nhược điểm của GRE tunnels là - Không có cơ chế mã hóa. - Không có cơ chế hashing - Không có cách nào xác thực nguồn gốc của VPN peer. Chính vì vậy, ta có thể sử dụng kết hợp IPSec với GRE tunnels để bổ sung cho các khuyết điểm của GRE. File Word đính kèm hướng dẫn cấu hình VPN site-to-site. Do IOS 12.3 trở đi đã hỗ trợ giao diện SDM nên bài lab này hướng dẫn cách cấu hình GRE tunnels dùng SDM. Bài lab do Hoàng Khánh / Hà lớp ISCW thực hiện. Vài điểm khác biệt so với các cấu hình site-to-site trước đây là: - crypto ACL có sự khác biệt (match gre protocols). - cách áp dụng crypto map vào cả interface tunnels và interface physical (là interface kết nối trực tiếp ra Internet). Mời mọi người tham khảo.Các bạn download về, giải nén thành file Word. VPN, theo định nghĩa trong giáo trình ISCW, là quá trình tạo đường hầm (tunnelling) + đảm bảo tính riêng tư (private) của dữ liệu chảy trong đường hầm đó. VPN=tunnelling + data private (encryption, hashing ) Để tạo ra đường hầm (tunnel), ta có các giao thức lớp hai như L2TP, PPTP, L2F Ở lớp 3, có hai giao thức được dùng là GRE và IPSEC (pha 1). GRE là một giao thức cho phép tạo ra các tunnel. Ưu điểm của GRE (so với IPSec) là hỗ trợ nhiều loại giao thức bên trong header GRE của nó. Ví dụ như các GRE tunnels có thể mang các gói tin IPX, IP, Appletalk Một ưu điểm khác là các giao thức định tuyến động (OSPF/EIGRP) có thể chui bên trong GRE tunnel này. Định dạng của một gói tin do GRE đóng gói có dạng như sau: Cấu hình GRE tunnels cũng rất đơn giản: Cấu hình của GRE tunnels cũng khá đơn giản: interface tunnel0 ip address 192.168.1.1 255.255.255.0 tunnel source s0/0 tunnel destination 67.67.67.67 tunnel mode gre ip Theo trên, ta thấy chỉ cần tồn tại hai IP là có thể xây dựng được GRE tunnels. Một lý do mà GRE tunnel được sử dụng rất nhiều trong các mô hình VPN HUB-and- SPOKE là bởi vì chỉ cần xây dựng số GRE tunnels tối thiểu, cho các dynamic routing protocol chạy trên các tunnel này là đảm bảo một kết nối đầy đủ giữa các site (spokes). Nếu bạn dùng IPSec, bạn không thể cho các dynamic routing protocol (OSPF/EIGRP) chạy bên trong các IPSec tunnels. Cần nhắc lại là IPSEc chỉ hỗ trợ loại traffic là IP Unicast trong tunnels của nó. Vì vậy, bạn phải thiết lập nhiều IP Sec peer để đảm bảo kết nối. GRE vẫn có những yếu điểm của nó. Ví dụ GRE không có các cơ chế để bảo vệ dữ liệu. Đối với các chức năng này, GRE phải quay sang nhờ IPSEc. Thành ra là, ta hay gặp GRE over IPSec trong các mô hình hub-and-spoke. . (ví dụ ĨPX) trên các kết nối VPN, GRE tunnels phải được dùng. Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP trên các kênh VPN thì bạn cũng phải dùng GRE tunnels. Ưu. IPSec với GRE tunnels để bổ sung cho các khuyết điểm của GRE. File Word đính kèm hướng dẫn cấu hình VPN site-to-site. Do IOS 12.3 trở đi đã hỗ trợ giao diện SDM nên bài lab này hướng dẫn cách. (OSPF/EIGRP) có thể chui bên trong GRE tunnel này. Định dạng của một gói tin do GRE đóng gói có dạng như sau: Cấu hình GRE tunnels cũng rất đơn giản: Cấu hình của GRE tunnels cũng khá đơn giản: interface