Giả sử khách hàng A có 2 mạng LAN 10.10.0.0 và 10.0.0.0 muốn giao tiếp với nhau qua một VPN. Hai site VPN này nối vào mạng của nhà cung cấp ISP qua router A1 và A2. Chúng ta sẽ thiết lập một đƣờng hầm (Tunnel) giữa A1 và A2
Do IPsec không hỗ trợ ghép đƣờng hầm, ta sẽ sử dụng công nghệ GRE để tạo đƣờng hầm giữa 2 site, sau đó dùng IPsec để mã hóa, bảo mật dữ liệu
GRE là từ viết tắt của đóng gói định tuyến cùng đặc điểm (Generic Routing Encapsulation). Đây là dạng đóng gói chuyên trở lớp 3 đã đƣợc chuẩn hóa và thiết kế cho các giao thức đƣờng hầm có đặc điểm chung. GRE đƣợc chuẩn hóa trong RFC1701 và RFC1702. Hai chuẩn này mô tả cách GRE sử dụng IP (gọi là GRE IP) làm giao thức vận chuyển nhƣ thế nào. GRE cung cấp một cách thức tạo đƣờng hầm của giao thức này mà chuyên trở gói của một giao thức khác.
Địa chỉ IP của các giao diện router đƣợc cấu hình nhƣ bảng sau:
Router Giao diện Kết nối với Địa chỉ IP/Subnet Mark
A1 Serial 0/0 ISP 10.0.1.1/24 A1 Loopback 0 172.16.1.2/30 ISP Serial 0/0 A2 172.16.0.1/30 ISP Serial 0/1 A1 172.16.1.1/30 A2 Loopback0 172.16.2.1/30 A2 Serial 0/0 ISP 172.16.0.2/30
Bảng 3-1: Địa chỉ IP của các router trong mô hình mô phỏng 2
3.3.2. Các bƣớc cấu hình
Router(config)#hostname name //cấu hình tên router
Router(config)#no ip domain lookup //không tự động phân giải tên miền Router(config)#line console 0
Router(config-line)#exec-timeout 0 0
Router(config)#line vty 0 4 // Cấu hình telnet Router(config-line)#previlege level 15
Router(config-line)#no login
Bƣớc 2: Cấu hình địa chỉ IP cho các router (tƣơng tự nhƣ mô hình trƣớc)
Router(config-if)#ip address IP_address Router(config-if)#no shutdown
Router(config-if)#clock rate x //dùng cho interface serial Router(config)#interface loopback 0
Bƣớc 3: Cấu hình định tuyến cơ bản cho router A1,A2
Router(config)#router eigrp
Router(config-router)#network network address VD:Cấu hình định tuyến cơ bản cho router A1:
A1#config terminal
Enter configuration commands, one per line. End with CNTL/Z. A1(config)#router EIGRP
A1(config-router)#network 10.0.0.0 A1(config-router)#network 192.168.100.0
Bƣớc 4: Thiết lập ISAKMP (nhằm định nghĩa kiểu mã hoá, authentication)#
Router (config)#crypto isakmp policy 1 Router (config)#encr aes
Router (config)#authentication pre-share Router (config)#group 5
Router (config)#crypto isakmp key cisco address 172.16.0.2 VD: Thiết lập ISAKMP với router A1:
A1(config)#crypto isakmp policy 1 A1(config)#encr aes
A1(config)#authentication pre-share A1(config)#group 5
A1(config)#crypto isakmp key cisco address 172.16.0.2
Bƣớc 5: Thiết lập transform set
Router(config)#crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac
Bƣớc 6: Thiết lập crypto map
Router (config)#crypto map vpn 10 ipsec-isakmp
Router (config)#description = VPN From COLO_1 To CORE = Router (config)#set peer 172.16.0.2
Router (config)# set transform-set aes-sha Router (config)# match address 100 VD: Thiết lập crypto với router A1:
A1(config)#crypto map vpn 10 IPsec-isakmp
A1(config)#description = VPN From COLO_1 To CORE = A1(config)#set peer 172.16.0.2
A1(config)# set transform-set aes-sha A1(config)# match address 100
Bƣớc 7: Thiết lập GRE tunnel over IPSec đã đƣợc cấu hình
Router (config)#interface Tunnel0
Router (config)#description = GRE Tunnel To CORE = Router (config)#ip address 192.168.100.2 255.255.255.0 Router (config)#ip mtu 1500
Router (config)#ip tcp adjust-mss 1400 Router (config)# keepalive 10 3
Router (config)# tunnel source 172.16.1.2 Router (config)#tunnel destination 172.16.0.2 VD: Thiết lập GRE tunnel over IPsec :
A1(config)#interface Tunnel0
A1(config)#description = GRE Tunnel To CORE = A1(config)#ip address 192.168.100.2 255.255.255.0 A1(config)#ip mtu 1500
A1(config)#ip tcp adjust-mss 1400 A1(config)# keepalive 10 3
A1(config)# tunnel source 172.16.1.2 A1(config)#tunnel destination 172.16.0.2
3.3.3. Phân tích mô hình mô phỏng dựa trên các bƣớc cấu hình
Quá trình cấu hình tunnel GRE/IPsec trên đƣợc thực hiện hòan toàn tại router A1 và A2 của khách hàng. Không liên quan gì đến router của nhà cung cấp. Nhƣ vậy nếu ngƣời sử dụng có nhu cầu bảo mật thông tin mà nhà cung cấp không hỗ trợ thì khách hàng vẫn có thể tự bảo mật cho mình; Bằng cách sử dụng phần mềm hoặc phần cứng IPsec tại đầu ra của các thiết bị CE (Nếu nhƣ khách hàng quản lý CE), hoặc tại router biên mạng của mình trƣớc khi đƣa vào trong mạng của nhà cung cấp.
3.3.4. Phân tích dựa trên hoạt động của mô hình
a. Phân tích gói tin chạy trên mạng
Sử dụng lệnh ping, để gửi gói tin trong mạng. Sau đó bắt gói tin tại các chặng trong mạng, từ đó phân tích gói tin, xác định đƣợc hoạt động của mạng.
Các bƣớc thực hiện:
Bƣớc 1: Tại router A1, tiến hành ping tới địa chỉ 10.10.0.1 của router A2.
A1#ping 10.10.0.1
Type escape sequence to abort.
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 220/275/336 ms
Bƣớc 2: Bắt gói tin trên các giao diện:
Giao diện s0/0 của router A1 ( cũng là giao diện nơi router gửi gói tin vào giao diện s0/1 của router ISP)
Giao diện s0/0 của router A2 (cũng là nơi giao diện s0/0 của router ISP gửi gói tin ra)
Bƣớc 3: Dùng phần mềm Wireshare mở các gói tin bắt đƣợc để phân tích. Phân tích: