Đang tải... (xem toàn văn)
– Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel).
GRE – Đây đa giao thức truyền thông đóng gói IP, CLNP tất cá gói liệu bên đường ống IP (IP tunnel) – Với GRE Tunnel, Cisco router đóng gói cho vị trí giao thức đặc trưng định gói IP header, tạo đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến Và gói liệu đến đích IP header mở – Bằng việc kết nối nhiều mạng với giao thức khác môi trường có giao thức GRE tunneling cho phép giao thức khác thuận lợi việc định tuyến cho gói IP Phân loại GRE GRE giao thức đóng gói gói tin lớp network GRE cung cấp khả định tuyến mạng riêng (private network) thông qua môi trường Internet cách sử dụng địa IP định tuyến GRE truyền thống point-to-point, mGRE mở rộng khái niệm việc cho phép tunnel đến nhiều điểm đích, mGRE tunnel thành phần DMVPN 4.1 Point-to-Point GRE Đối với tunnel GRE point-to-point router spoke (R2 & R3) cấu hình tunnel đến HUB (R1) ngược lại, router HUB phải cấu hình hai tunnel, đến R2 đến R3 Mỗi tunnel cần địa IP Giả sử mô hình mở rộng thành nhiều spoke, R1 cần phải cấu hình phức tạp tốn không gian địa IP Sau mô hình Point-To-Point GRE: Trong tunnel GRE point-To-point, điểm đầu cuối xác định truyền liệu Tuy nhiên, có vấn đề phát sinh địa đích multicast (chẳng hạn 224.0.0.5) GRE point-to-point không thực Để làm việc phải cần đến mGRE 4.2 Point-to-Multipoint GRE (mGRE) Như vậy, mGRE giải vấn đề đích đến địa multicast Đây tính mGRE dùng để thực thi Multicast VPN Cisco IOS Tuy nhiên, mGRE, điểm cuối chưa xác định nên cần giao thức để ánh xạ địa tunnel sang địa cổng vật lý Giao thức gọi NHRP (Next Hop Resolution Protocol) Đối với mGRE Tunnel router có Tunnel cấu hình subnet logical Cơ chế hoạt động GRE: Để tạo kênh truyền, GRE thực việc đóng gói gói tin tương tự giao thức IPSec hoạt động Tunnel mode Trong trình đóng gói, GRE thêm header vào gói tin, header cung cấp thông số cần thiết dùng để truyền gói tin thông qua môi trường trung gian GRE chèn 24 byte vào đầu gói tin, 20 byte IP header dùng để định tuyến, byte GRE header Ngoài GRE tùy chọn thêm 12 byte mở rộng để cung cấp tính tin cậy như: checksum, key chứng thực, sequence number Cấu trúc gói tin đóng gói thêm GRE header GRE Hai byte phần header GRE flag 2-byte Phần bày chứa cờ dùng để định tính tùy chọn GRE – Bit (checksum): Nếu bit bật lên (giá trị 1) thỉ phần checksum thêm vào sau trường Protocol type GRE header – Bit (key): Nếu bit bật lên phần Key tính chứng thực áp dụng, dạng password dạng clear text Khi thiết bị tạo nhiều tunnel đến nhiều thiết bị đích key dùng để xác định thiết bị đích – Bit (Sequence number): Khi bit bật phần sequence number thêm vào GRE header Hai byte phần Protocol Type giao thức lớp gói tin ban đầu GRE đóng gói truyền qua kênh truyền Khi gói tin qua tunnel thêm GRE header sau tới đầu bên kênh truyền, gói tin loại bỏ GRE header để trả lại gói tin ban đầu GRE over IPSec GRE giao thức không bảo mật, việc kết hợp với IPSec giúp tăng cường tính bảo mật cho kênh truyền Khi IPSec kết hợp với GRE cung cấp khả định tuyến động kênh truyền, tạo khả mở rộng hệ thống mạng lớn Cơ chế hoạt động GRE over IPSec GRE over IPSec kết hợp GRE IPSec Lúc gói tin GRE truyền thông qua kênh truyền bảo mật IPSec thiết lập Điều thực thông qua việc IPSec đóng gói gói tin GRE thông tin bảo mật GRE over IPSec có hai mode hoạt động; Tunnel mode Transport mode Cấu trúc gói tin GRE Tunnel Transport mode Như hình phần IP packet ban đầu bao bọc GRE header, sau IPSec thêm thông tin IPSec header để cung cấp tính bảo mật cho gói tin GRE truyền Khi gói tin đến đầu bên kênh truyền, thao tác ngược lại để phục hồi gói tin ban đầu Cấu hình GRE over IPSec Cấu hình kênh truyền GRE Mỗi interface tunnel bao gồm thông số + IP address + Tunnel source address + Tunnel destination address + Tunnel mode