Cấu hình đường hầm (tunnel)

Một phần của tài liệu báo cáo tốt nghiệp mạng riêng ảo vpn (Trang 68 - 72)

Tunneling cung cấp một cách đóng gói những gói ở trong một giao thức

truyển tải. Tunneling thì được thực hiện như một giao diện ảo để cung cấp một

giao diện đơn giản cho sự cấu hình. Giao diện Tunnel thì không bị ràng buộc

riêng biệt tới những giao thức “passenger” hoặc “transport”, nhưng đúng hơn, nó

là một cấu trúc cái mà đã được thiết kế để cung cấp những dịch vụ cần thiết để

thực thi bất kỳ sự đóng gói Point – to – Point chuẩn nào lên lược đồ. Vì những

tunnel là những liên kết Point – to – Point, bạn phải định hình một đường hầm

riêng biệt cho mỗi liên kết

Tunneling có ba thành phần chính sau đây:

 Passenger Protocol, đây là một giao thức bạn đang đóng gói

(Apple Talk, Banyan VINES, Connectionless Network Service [CLNS], DECnet, IP, hoặc Internetwork Packet Exchange [IPX]).

 Carrier Protocol, như giao thức đóng gói lộ trình chung (GRE) hoặc giao thức IPSec.

 Transport Protocol, như IP, là giao thức sử dụng để mang theo giao

thức được đóng gói

Sơ đồ: Minh họa thuật ngữ và khái niệm xuyên đường hầm

Hình 56 Mục này bao gồm những chủ đề sau:

GRE có khả năng điều khiển sự truyền tải của đa giao thức và lưu lượng

IP multicast giữa hai địa điểm, Nơi mà chỉ có duy nhất nào có kết nối IP unicast. Sự quan trọng của việc sử dụng những đường hầm trong một môi trường mạng

riêng ảo VPN là cơ bản dựa trên thực tế mà sự mã hoá IPSec chỉ làm việc duy

nhất trên những khung IP unicast. Tunneling cho phép cả sự mã hoá và sự truyền

tải của lưu lượng đa giao thức ngang qua VPN một khi những gói đang có trong đường hầm xuất hiện tới mạng IP như một khung IP unicast giữa những đầu cuối đường hầm. Nếu tất cả các kết nối phải đi xuyên qua gateway router, những đường hầm cũng cho phép sử dụng sự định vị mạng riêng xuyên qua một nhà cung cấp dịch vụ mà không cần chạy đặc tính NAT (Network Address

Translation).

Sự dư thừa của mạng là một sự xem xet quan trọng trong quyết định để sử

dụng những đường hầm GRE Tunnel, IPSec Tunnel, hoặc những đường hầm mà sử dụng IPSec thông qua GRE. GRE có thể được sử dụng kết hợp với IPSec để đi qua lộ trình cập nhật giữa các vị trí trên một IPSec VPN. GRE đóng gói gói

tin hoàn toàn là dạng text, khi đó IPSec (trong transport hoăc tunnel mode) mã hoá gói tin. Luồng gói này của IPSec qua GRE cho phép cập nhật định tuyến, mà

nói chung là multicast, để được đi qua một liên kết được mã hoá. IPSec một

mình không thể làm được điều này, bởi vì nó không được hỗ trợ multicast.

Những đường hầm GRE thừa đang được sử dụng được bảo vệ bởi IPSec từ một Remote Router đến những Headquater Router thừa. Những giao thức định tuyến có thể được thuê để phác hoạ “Primary” và “Secondary” Headquater Router. Ở trên sự mất mát của kết nối tới Router chính, những giao thức định

tuyến sẽ khám phá lỗi và tuyến đến Gateway thứ hai, điều đó cung cấp độ dư

thừa mạng.

Thật quan trọng để chú ý rằng nhiều hơn một Router phải được thuê tại

HQ-SANJOSE để cung cấp dư thừa cho mạng. Cho sự dư thừa mạng VPN, vị trí

từ xa cần phải được định hình với hai đường hầm GRE, một để làm Router HQ- SANJOSE VPN chính, và cái còn lại để sao lưu.

Trong mục này bao gồm những bước cơ bản để định hình một GRE

tunnel và bao gồm những công việc sau:

 Sự cấu hình giao diện đường hầm, Nguồn, và Đích

 Kiểm tra giao diện đường hầm, Nguồn, và Đích

2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích

Để cấu hình một GRE tunnel giữa Headquater router và Remote office router. Chúng ta cần phải cấu hình một giao diện, nguồn, và đích trên Headquater router và remote office router. Để làm được điều này, cần hoàn

thành những bước sau đây bắt đầu trong chế độ cấu hình chung (global configuration mode).

Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface

tunnel 0

Hq-sanjose(config-if)# ip address 172.17.3.3 255.255.255.0

Chỉ rõ một tunnel interface

number đưa vào chế độ cấu hình interface, và cấu hình địa chỉ IP

và subnet mask cho tunnel interface. Trong ví dụ này, IP address và subnet mask 172.17.3.3 255.255.255.0 cho

tunnel interface 0 trên headquarter router.

Bước 2 Hq-sanjose(config-if) # tunnel source 172.17.2.4 255.255.255.0

Chỉ rõ địa chỉ nguồn của tunnel

interface và subnet mask. Ở đây

sử dụng địa chỉ IP và subnet mask của T3 serial interface 1/0 của

headquarter router.

Bước 3 Hq-sanjose(Config-if)# tunnel

destination 172.24.2.5

255.255.255.0

Chỉ rõ địa chỉ tunnel interface đích. Ở đây sử dụng địa chỉ IP và subnet mask của T3 serial

interface 1/0 của remote office

router.

Bước 4 Hq-sanjose(config-if)# tunnel mode gre ip

Cấu hình GRE như một kiểu

tunnel. GRE thì mặc định đường

hầm encapsulation mode, vì vậy

lênh này thì không nhất thiết bắt

buộc. Bước 5 Hq-sanjose(config)# interface

tunnel 0

Hq-sanjose(config-if)# no shut

%LINK-3-UPDOWN: Interface Tunnel0, changed state

to up

Tunnel interface được kích hoạt

Bước 6 Hq-sanjose(config-if)# exit

Hq-sanjose(config)# ip route 10.1.4.0 255.255.255.0 tunnel 0

Thoát khỏi chế độ cấu hình toàn cục và cấu hình giao thông từ

mạng remote office xuyên qua

đường hầm. Ở đây cấu hình giao thông từ remote office Fast

Cấu hình trên Remote office router cũng được thực hiện theo những bước

trên trong chế độ cấu hình GRE.

2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích

Để kiểm tra cấu hình. Đưa vào lệnh Show interfaces tunnel 0 trong mode

EXEC để xem trạng thái tunnel interface, những địa chỉ IP đã được cấu hình, và kiểu đóng gói, trạng thái của interface.

Hq-sanjose# show interfaces tunnel 0

Tunnel0 is up, line protocol is up Hardware is Tunnel

Internet address is 172.17.3.3/24

MTU 1514 bytes, BW 180 Kbit, DLY 500000 usec, reliablility 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive set (10 sec)

Tunnel source 172.17.2.4, destination 172.24.2.5

Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled Checksumming of packets disabled, fast tunneling enabled

Last input never, output 00:10:44, output hang never Last clearing of "show interface" counters never Queueing strategy:fifo

Output queue 0/0, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 29 packets output, 2348 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 output buffer failures, 0 output buffers swapped out

2.2 Cấu hình một IPSec Tunnel:

IPSec có thể đã được cấu hình trong tunnel mode hoặc transport mode.

IPSec tunnel mode có thể đã được sử dụng như một sự thay thế đến mộ GRE

tunnel, hoặc phối hợp với một GRE tunnel. Trong IPSec tunnel mode, toàn bộ

gói dữ liệu nguyên bản được mã hoá, và nó trở thành trọng tải (payload) trong

một gói tin IP mới. Trong chế độ này cho phép một thiết bị mạng, như một router, được hoạt động như một IPSec proxy. Cái đó, router thực hiệnsự mã hoá trên nhân danh host. Router nguồn mã hoá những gói và chuyển chúng dọc theo

đường hầm IPSec. Router dích giải mã gói dữ liệu nguyên bản và đẩy nó vif tới

hệ thống nơi đến. Tunnel mode bảo vệ chống lại sự phân tích lưu lượng; với

tunnel mode, một kẻ tấn công có thể xác định điểm cuối đường hầm và không phải nguồn và đích đến thật của gói tin truyền qua đường hầm, dù chúng cúng giống như đầu cuối đường hầm (Tunnel endpoints).

Trong IPSec transport mode, chỉ IP payload là được mã hoá, và những

header IP nguyên bản được để lại nguyên vẹn không thay đổi. (Như sơ đồ 3-6). Chế độ này có lợi thế của việc chỉ duy nhất thêm một ít byte tới mỗi gói tin. Nó

cũng cho phép những thiết bị trên mạng công cộng nhìn thấy được nguồn và

đích đến cuối cùng của gói tin. Với khả năng này, bạn có thể cho phép sử lý đặc

biệt trong mạng trung gian dựa trên thông tin trong IP header. Tuy nhiên, Layer 4 Header sẽ được mã hoá, giới hạn sự kiểm tra của gói tin, không may, bởi

chuyển qua IP header trong dạng dễ hiểu, transport mode cho phép một kẻ tấn công được thực hiện phân tích lưu lượng.

Hình 57

Một phần của tài liệu báo cáo tốt nghiệp mạng riêng ảo vpn (Trang 68 - 72)

Tải bản đầy đủ (PDF)

(119 trang)