Cấu Hình GRE Over IPSec

[trungqn1]

Giao thức GRE tuy rằng giúp cho ta tạo ra tunnel nhưng đây lại là một giao thức không có bảo mật. Để hỗ trợ vấn đề bảo mật cho nó thì ta cho nó hoạt động thông qua IPSec.
- Cấu trúc gói tin của GRE căn bản như sau:

- Để bảo vệ gói tin GRE ta gói tin này được bảo vệ bằng IPSec. Mà IPSec có hai mode là tunnel mode và transport mode. Thì GRE dùng Transport mode để tiết kiệm được 20 byte địa chỉ.

- Ta có mô hình bài Lab như sau:

các bước ta cần cấu hình

//router 1
enable
conf t
hostname R1
int s 2/0
ip add 120.0.0.1 255.255.255.252
no sh
exit
int fa 0/0
ip add 10.0.0.1 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 120.0.0.2

interface tunnel 0
ip add 100.0.0.1 255.255.255.0
tunnel source 120.0.0.1
tunnel destination 123.0.0.2
tunnel mode gre ip
tunnel key 123456
exit

crypto isakmp policy 10
encrypt 3des
hash md5
authentication pre-share
group 2
exit
crypto isakmp key 6 cisco123 address 123.0.0.2
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
mode transport
exit
access-list 116 permit gre host 120.0.0.1 host 123.0.0.2

crypto map gre 10 ipsec-isakmp
match address 116
set peer 123.0.0.2
set transform-set vpn
exit

int serial 2/0
crypto map gre
exit

router os 1
network 100.0.0.0 0.0.0.255 area 0
network 10.0.0.0 0.0.0.255 area 0

//router 2
enable
conf t
hostname R2
interface serial 2/0
ip add 120.0.0.2 255.255.255.252
no sh
clock rate 64000
exit
interface serial 2/1
ip add 123.0.0.1 255.255.255.252
no sh
clock rate 64000
exit


//router 3
enable
conf t
hostname R3
interface serial 2/0
ip add 123.0.0.2 255.255.255.252
no sh
int fa 0/0
ip add 20.0.0.1 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 123.0.0.1

interface tunnel 0
ip add 100.0.0.2 255.255.255.0
tunnel source 123.0.0.2
tunnel destination 120.0.0.1
tunnel mode gre ip
tunnel key 123456
exit

crypto isakmp policy 10
encrypt 3des
hash md5
group 2
authentication pre-share
exit
crypto isakmp key 6 cisco123 address 120.0.0.1
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
mode transport
exit
access-list 116 permit gre host 123.0.0.2 host 120.0.0.1

crypto map gre 10 ipsec-isakmp
match address 116
set peer 120.0.0.1
set transform-set vpn
exit

int serial 2/0
crypto map gre
exit

router os 1
network 100.0.0.0 0.0.0.255 area 0
network 20.0.0.0 0.0.0.255 area 0

chúc các bạn thành công.

--------------------------------------------------
Xem các chủ đề cùng chuyên mục:

• Thiết lập mạng không dây Ad Hoc trên Windows 7 14/10/2010
• Hướng dẫn: Lấy IP public của người khác 25/08/2009
• Cấu hình cáp quang ADSL của FPT trên thiết bị Cisco 04/12/2010
• LearnKey CompTIA Network+ 2009 24/09/2009
• Qmail - Phần 2: Cài đặt qmail từ mã nguồn. 21/01/2011
• Tạo FTP, Mail, Web Server bằng NO-IP 28/07/2009
• Lý thuyết và thực hành cấu hình Basic disk, dynamic disk( raid 0, raid 1, raid 5..) trên windows... 01/10/2010
• Lab Vlan cua CCNA cơ bản 24/03/2010
• Giáo Trình CCNA bằng Video Clip 30/05/2010
• Cấu hình GMAIL trong Outlook Express 17/04/2010

[sunboy]

Oh. Một bài viết bổ ích, mặt dù bạn chỉ nói về GRE một chút nhưng cũng đủ làm mình tò mò. Lên mạng thì thấy nó liên quan đến VPN, vậy mình bàn luận một chút, theo mọi người thì GRE hoạt động ở lớp nào trong mô hình OSI??

Tìm được một bài viết về VPN. Mọi người có thể tham khảo..

http://voer.edu.vn/content/m18796/latest/

[trungqn1]

Theo cấu trúc gói tin GRE trên hình vẽ, mình thấy nó nằm trước gói IP header nên nghĩ nó hoạt động ở lớp 3 (lớp Network) trong mô hình OSI