Tunneling cung cấp một cách đóng gói những gói ở trong một giao thức
truyển tải. Tunneling thì được thực hiện như một giao diện ảo để cung cấp một
giao diện đơn giản cho sự cấu hình. Giao diện Tunnel thì không bị ràng buộc
riêng biệt tới những giao thức “passenger” hoặc “transport”, nhưng đúng hơn, nó
là một cấu trúc cái mà đã được thiết kế để cung cấp những dịch vụ cần thiết để
thực thi bất kỳ sự đóng gói Point – to – Point chuẩn nào lên lược đồ. Vì những
tunnel là những liên kết Point – to – Point, bạn phải định hình một đường hầm
riêng biệt cho mỗi liên kết
Tunneling có ba thành phần chính sau đây:
Passenger Protocol, đây là một giao thức bạn đang đóng gói
(Apple Talk, Banyan VINES, Connectionless Network Service [CLNS], DECnet, IP, hoặc Internetwork Packet Exchange [IPX]).
Carrier Protocol, như giao thức đóng gói lộ trình chung (GRE) hoặc giao thức IPSec.
Transport Protocol, như IP, là giao thức sử dụng để mang theo giao
thức được đóng gói
Sơ đồ: Minh họa thuật ngữ và khái niệm xuyên đường hầm
Hình 56 Mục này bao gồm những chủ đề sau:
GRE có khả năng điều khiển sự truyền tải của đa giao thức và lưu lượng
IP multicast giữa hai địa điểm, Nơi mà chỉ có duy nhất nào có kết nối IP unicast. Sự quan trọng của việc sử dụng những đường hầm trong một môi trường mạng
riêng ảo VPN là cơ bản dựa trên thực tế mà sự mã hoá IPSec chỉ làm việc duy
nhất trên những khung IP unicast. Tunneling cho phép cả sự mã hoá và sự truyền
tải của lưu lượng đa giao thức ngang qua VPN một khi những gói đang có trong đường hầm xuất hiện tới mạng IP như một khung IP unicast giữa những đầu cuối đường hầm. Nếu tất cả các kết nối phải đi xuyên qua gateway router, những đường hầm cũng cho phép sử dụng sự định vị mạng riêng xuyên qua một nhà cung cấp dịch vụ mà không cần chạy đặc tính NAT (Network Address
Translation).
Sự dư thừa của mạng là một sự xem xet quan trọng trong quyết định để sử
dụng những đường hầm GRE Tunnel, IPSec Tunnel, hoặc những đường hầm mà sử dụng IPSec thông qua GRE. GRE có thể được sử dụng kết hợp với IPSec để đi qua lộ trình cập nhật giữa các vị trí trên một IPSec VPN. GRE đóng gói gói
tin hoàn toàn là dạng text, khi đó IPSec (trong transport hoăc tunnel mode) mã hoá gói tin. Luồng gói này của IPSec qua GRE cho phép cập nhật định tuyến, mà
nói chung là multicast, để được đi qua một liên kết được mã hoá. IPSec một
mình không thể làm được điều này, bởi vì nó không được hỗ trợ multicast.
Những đường hầm GRE thừa đang được sử dụng được bảo vệ bởi IPSec từ một Remote Router đến những Headquater Router thừa. Những giao thức định tuyến có thể được thuê để phác hoạ “Primary” và “Secondary” Headquater Router. Ở trên sự mất mát của kết nối tới Router chính, những giao thức định
tuyến sẽ khám phá lỗi và tuyến đến Gateway thứ hai, điều đó cung cấp độ dư
thừa mạng.
Thật quan trọng để chú ý rằng nhiều hơn một Router phải được thuê tại
HQ-SANJOSE để cung cấp dư thừa cho mạng. Cho sự dư thừa mạng VPN, vị trí
từ xa cần phải được định hình với hai đường hầm GRE, một để làm Router HQ- SANJOSE VPN chính, và cái còn lại để sao lưu.
Trong mục này bao gồm những bước cơ bản để định hình một GRE
tunnel và bao gồm những công việc sau:
Sự cấu hình giao diện đường hầm, Nguồn, và Đích
Kiểm tra giao diện đường hầm, Nguồn, và Đích
2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích
Để cấu hình một GRE tunnel giữa Headquater router và Remote office router. Chúng ta cần phải cấu hình một giao diện, nguồn, và đích trên Headquater router và remote office router. Để làm được điều này, cần hoàn
thành những bước sau đây bắt đầu trong chế độ cấu hình chung (global configuration mode).
Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface
tunnel 0
Hq-sanjose(config-if)# ip address 172.17.3.3 255.255.255.0
Chỉ rõ một tunnel interface
number đưa vào chế độ cấu hình interface, và cấu hình địa chỉ IP
và subnet mask cho tunnel interface. Trong ví dụ này, IP address và subnet mask 172.17.3.3 255.255.255.0 cho
tunnel interface 0 trên headquarter router.
Bước 2 Hq-sanjose(config-if) # tunnel source 172.17.2.4 255.255.255.0
Chỉ rõ địa chỉ nguồn của tunnel
interface và subnet mask. Ở đây
sử dụng địa chỉ IP và subnet mask của T3 serial interface 1/0 của
headquarter router.
Bước 3 Hq-sanjose(Config-if)# tunnel
destination 172.24.2.5
255.255.255.0
Chỉ rõ địa chỉ tunnel interface đích. Ở đây sử dụng địa chỉ IP và subnet mask của T3 serial
interface 1/0 của remote office
router.
Bước 4 Hq-sanjose(config-if)# tunnel mode gre ip
Cấu hình GRE như một kiểu
tunnel. GRE thì mặc định đường
hầm encapsulation mode, vì vậy
lênh này thì không nhất thiết bắt
buộc. Bước 5 Hq-sanjose(config)# interface
tunnel 0
Hq-sanjose(config-if)# no shut
%LINK-3-UPDOWN: Interface Tunnel0, changed state
to up
Tunnel interface được kích hoạt
Bước 6 Hq-sanjose(config-if)# exit
Hq-sanjose(config)# ip route 10.1.4.0 255.255.255.0 tunnel 0
Thoát khỏi chế độ cấu hình toàn cục và cấu hình giao thông từ
mạng remote office xuyên qua
đường hầm. Ở đây cấu hình giao thông từ remote office Fast
Cấu hình trên Remote office router cũng được thực hiện theo những bước
trên trong chế độ cấu hình GRE.
2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích
Để kiểm tra cấu hình. Đưa vào lệnh Show interfaces tunnel 0 trong mode
EXEC để xem trạng thái tunnel interface, những địa chỉ IP đã được cấu hình, và kiểu đóng gói, trạng thái của interface.
Hq-sanjose# show interfaces tunnel 0
Tunnel0 is up, line protocol is up Hardware is Tunnel
Internet address is 172.17.3.3/24
MTU 1514 bytes, BW 180 Kbit, DLY 500000 usec, reliablility 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive set (10 sec)
Tunnel source 172.17.2.4, destination 172.24.2.5
Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled Checksumming of packets disabled, fast tunneling enabled
Last input never, output 00:10:44, output hang never Last clearing of "show interface" counters never Queueing strategy:fifo
Output queue 0/0, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 29 packets output, 2348 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
2.2 Cấu hình một IPSec Tunnel:
IPSec có thể đã được cấu hình trong tunnel mode hoặc transport mode.
IPSec tunnel mode có thể đã được sử dụng như một sự thay thế đến mộ GRE
tunnel, hoặc phối hợp với một GRE tunnel. Trong IPSec tunnel mode, toàn bộ
gói dữ liệu nguyên bản được mã hoá, và nó trở thành trọng tải (payload) trong
một gói tin IP mới. Trong chế độ này cho phép một thiết bị mạng, như một router, được hoạt động như một IPSec proxy. Cái đó, router thực hiệnsự mã hoá trên nhân danh host. Router nguồn mã hoá những gói và chuyển chúng dọc theo
đường hầm IPSec. Router dích giải mã gói dữ liệu nguyên bản và đẩy nó vif tới
hệ thống nơi đến. Tunnel mode bảo vệ chống lại sự phân tích lưu lượng; với
tunnel mode, một kẻ tấn công có thể xác định điểm cuối đường hầm và không phải nguồn và đích đến thật của gói tin truyền qua đường hầm, dù chúng cúng giống như đầu cuối đường hầm (Tunnel endpoints).
Trong IPSec transport mode, chỉ IP payload là được mã hoá, và những
header IP nguyên bản được để lại nguyên vẹn không thay đổi. (Như sơ đồ 3-6). Chế độ này có lợi thế của việc chỉ duy nhất thêm một ít byte tới mỗi gói tin. Nó
cũng cho phép những thiết bị trên mạng công cộng nhìn thấy được nguồn và
đích đến cuối cùng của gói tin. Với khả năng này, bạn có thể cho phép sử lý đặc
biệt trong mạng trung gian dựa trên thông tin trong IP header. Tuy nhiên, Layer 4 Header sẽ được mã hoá, giới hạn sự kiểm tra của gói tin, không may, bởi
chuyển qua IP header trong dạng dễ hiểu, transport mode cho phép một kẻ tấn công được thực hiện phân tích lưu lượng.
Hình 57