– Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel).
Trang 1GRE
– Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel)
– Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến
Và khi gói dữ liệu đến đích IP header sẽ được mở ra
– Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP
Phân loại GRE
GRE là giao thức có thể đóng gói bất kì gói tin nào của lớp network GRE cung cấp khả năng có thể định tuyến giữa những mạng riêng (private network) thông qua môi trường Internet bằng cách sử dụng các địa chỉ IP đã được định tuyến
GRE truyền thống là point-to-point, còn mGRE là sự mở rộng khái niệm này bằng việc cho phép một tunnel có thể đến được nhiều điểm đích, mGRE tunnel là thành phần cơ bản nhất trong DMVPN
4.1 Point-to-Point GRE
Đối với các tunnel GRE point-to-point thì trên mỗi router spoke (R2 & R3) cấu hình một tunnel chỉ đến HUB (R1) ngược lại, trên router HUB cũng sẽ phải cấu hình hai tunnel, một đến R2 và một đến R3 Mỗi tunnel như vậy thì cần một địa chỉ IP Giả sử mô hình trên được mở rộng thành nhiều spoke, thì trên R1 cần phải cấu hình phức tạp và tốn không gian địa chỉ IP
Sau đây là mô hình của một Point-To-Point GRE:
Trong tunnel GRE point-To-point, điểm đầu và cuối được xác định thì có thể truyền dữ liệu Tuy nhiên, có một vấn đề phát sinh là nếu địa chỉ đích là một multicast (chẳng hạn 224.0.0.5) thì GRE point-to-point không thực hiện được Để làm được việc này thì phải cần đến mGRE
4.2 Point-to-Multipoint GRE (mGRE)
Như vậy, mGRE giải quyết được vấn đề đích đến là một địa chỉ multicast Đây là tính năng chính của mGRE được dùng để thực thi Multicast VPN trong Cisco IOS Tuy nhiên, trong mGRE, điểm cuối chưa được xác định nên nó cần một giao thức để ánh xạ địa chỉ tunnel sang địa chỉ cổng vật lý Giao thức này được gọi là NHRP (Next Hop Resolution Protocol)
Trang 2Đối với các mGRE Tunnel thì mỗi router chỉ có một Tunnel được cấu hình cùng một subnet logical
Cơ chế hoạt động của GRE:
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number
Cấu trúc gói tin được đóng gói thêm GRE header
GRE Hai byte đầu tiên trong phần header là GRE flag 2-byte Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE
– Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào
Trang 3sau trường Protocol type của GRE header.
– Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích
– Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu
2 GRE over IPSec
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền
Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn
3 Cơ chế hoạt động của GRE over IPSec
GRE over IPSec là sự kết hợp giữa GRE và IPSec Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập Điều này được thực hiện thông qua việc IPSec
sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình
GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
Cấu trúc gói tin GRE trong Tunnel và Transport mode
Như hình trên phần IP packet ban đầu sẽ được bao bọc bởi GRE header, sau đó IPSec sẽ thêm thông tin IPSec header để cung cấp những tính năng bảo mật cho gói tin GRE rồi truyền đi Khi
Trang 4gói tin đến đầu bên kia của kênh truyền, nó sẽ được thao tác ngược lại để phục hồi gói tin ban đầu
Cấu hình GRE over IPSec
Cấu hình kênh truyền GRE
Mỗi interface tunnel bao gồm các thông số
+ IP address
+ Tunnel source address
+ Tunnel destination address
+ Tunnel mode