TUNNEL INTERFACE là gì?
Thay vì ép lưu lượng vào VPN qua danh sách ACL như trong crypto map kiểu cũ, giao diện đường hầm (Tunnel Interface) trong Cisco IOS và IOS-XE tạo ra một giao diện logic – như thể bạn có một “cây cầu riêng” nối hai site lại với nhau.
Bạn có thể hình dung như sau:
Giao diện tunnel là điểm đầu/cuối của một “đường cao tốc riêng”. Cầu vượt ở đường Phạm Văn Đồng....
Các gói dữ liệu đi qua đây sẽ được bảo vệ toàn diện bằng IPsec
Hệ thống định tuyến có thể nhìn thấy và sử dụng tunnel như một đường đi hợp lệ – giúp định tuyến động (OSPF, EIGRP, BGP) hoạt động trơn tru. GRE cho phép các routing protocols chạy trên đó mà!
GRE over IPsec – Cặp đôi hoàn hảo
GRE là giao thức đóng gói đơn giản, có thể chứa mọi loại dữ liệu (IPv4, IPv6, multicast...) và bọc thêm tiêu đề riêng (chỉ 4 byte).
Nhưng GRE không có mã hóa ⇒ Bảo mật kém.
Còn IPsec thì mã hóa rất tốt nhưng không hỗ trợ multicast ⇒ Không thể chạy OSPF/EIGRP trong VPN IPsec thuần.
Kết hợp cả hai:
Cấu trúc gói GRE over IPsec:
xem hình admin có vẽ nha!
Chi phí gói tăng lên:
Cấu hình dễ hơn, ít lỗi hơn
Với tunnel interface:
Cấu hình định tuyến đơn giản hơn nhiều so với crypto maps.
Chỉ cần định tuyến đến tunnel là mọi thứ “chui” vào IPsec tự động.
Các kiểu đóng gói được hỗ trợ
Giao diện Tunnel của Cisco hỗ trợ:
Trong thực tế, GRE qua IPsec là chuẩn de facto cho VPN site-to-site yêu cầu multicast hoặc định tuyến động.
Lưu ý với multicast
IPsec truyền thống không hỗ trợ nhiều đích (multicast group). Điều này gây rắc rối khi triển khai định tuyến OSPF hoặc các ứng dụng multicast. Có thể áp dụng các giải pháp:
Ví dụ thực tế
Bạn có thể cấu hình Tunnel giữa R1 và R2 như sau:
plaintextCopyEditinterface Tunnel0 ip address 10.10.10.1 255.255.255.0 tunnel source Gig0/0 tunnel destination 198.51.100.2 tunnel mode gre ip tunnel protection ipsec profile MY-IPSEC-PROFILE <--nó nè
Hồ sơ IPsec (MY-IPSEC-PROFILE) được cấu hình riêng, áp dụng tự động cho toàn bộ lưu lượng tunnel.
Tại sao nên dùng GRE over IPsec?
