/*auto readmore*/ /*auto readmore*/ /* an hien script*/ // an hien password /*an hien ma chuong trinh cong tru */ /*Scrollbox thanh cuon*/ /***Nhung CODE***/ /* dòng xanh dòng trắng */ /* https://cdnjs.com/libraries/prism lay thu vien, can vao ten file ma goi 1. copy link vao vi du:prism-python.min.js 2. ten ngon nua la python */ /*=== New posts ===*/ /*header slider*/ /*=== bai viet lien quan===*/ /*===tabcode===*/

Bài 1, Cisco, GRE VPN Basic

Giới thiệu: Khi nói đến nối các site lại với nhau thông qua môi trường internet chúng ta có rất nhiều cách trong đó có VPN. VPN có rất nhiều loại tuy nhiên trong chủ đề hôm nay chúng tôi nói về GRE (Generic Routing Enscapsulution). GRE là kỹ thuật đường hầm ở lớp thứ 3 của mô hình OSI cho phép đóng gói dữ liệu của nhiều loại giao thức khác nhau như IP, IPX, ..., các giao thức định tuyến để truyền qua một mạng IP. Khi đóng gói dữ liệu, mặc định GRE chèn thêm 24 bytes gồm 20 IP header và 4 bytes cho GRE header. Các đặc tính của GRE được mô tả như hình.



Nội bài LAB


Các kiến thức sử dụng trong bài: Default route, Static route, GRE

Yêu cầu:
1. Cấu hình ban đầu: Đặt IP trên các thiết bị, và cấu hình default route đảm bảo mọi IP public phải ping thấy nhau.
2. Cấu hình GRE VPN
  • Tạo tunnel13 để thiết lập đấu nối R1 với R3 và tunnel 12 để thiết lập đấu nối R1 với R2 chỉnh MTU là 1400 và MSS là 1360 và đặt IP như hình.
  • Cấu hình có chỉnh MTU giữa R1 với R2
  • Cấu hình đảm bảo loopback 0 của R2 và R3 thông nhau
  • Giải thích sự khác nhau giữa có chỉnh IP MTU giữa R1 với R2 và KHÔNG chỉnh IP MTU R1 với R3

GỢI Ý CẤU HÌNH
1. Cấu hình ban đầu: Đặt IP trên các thiết bị, và cấu hình default route đảm bảo mọi IP public phải ping thấy nhau.
  • R1
interface Ethernet0/1
 ip address 1.1.1.1 255.255.255.0
 no shutdown
 exit
!
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
exit
hostname R1
ip route 0.0.0.0 0.0.0.0 1.1.1.4
  • R2
interface Ethernet0/2
 ip address 2.2.2.2 255.255.255.0
 no shutdown
 !
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
exit
!
hostname R2
ip route 0.0.0.0 0.0.0.0 2.2.2.4
  • R3
interface Ethernet0/3
 ip address 3.3.3.3 255.255.255.0
 no shutdown
exit
!
interface Loopback0
 ip address 192.168.3.1 255.255.255.0
exit
!
ip route 0.0.0.0 0.0.0.0 3.3.3.4
hostname R3
  • R4
interface Ethernet0/1
 ip address 1.1.1.4 255.255.255.0
 no shutdown
exit
!
interface Ethernet0/2
 ip address 2.2.2.4 255.255.255.0
 no shutdown
exit
!
interface Ethernet0/3
 ip address 3.3.3.4 255.255.255.0
 no shutdown
exit

!kiểm tra
R1#ping 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

2. Cấu hình GRE VPN
  • Tạo tunnel13 để thiết lập đấu nối R1 với R3 và tunnel 12 để thiết lập đấu nối R1 với R2 chỉnh MTU là 1400 và MSS là 1360 và đặt IP như hình.
!R1
!
interface Tunnel13
 description ===GRE to R3===
 ip address 172.16.13.1 255.255.255.0
 tunnel source 1.1.1.1
 tunnel destination 3.3.3.3
end
R1#*Jul 31 05:42:40.752: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel13, changed state to up

!R3
!
interface Tunnel13
 description ===GRE to R1===
 ip address 172.16.13.3 255.255.255.0
 tunnel source 3.3.3.3
 tunnel destination 1.1.1.1
end
R3#*Jul 31 05:44:23.377: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel13, changed state to up

R1#show interfaces tunnel 13
Tunnel13 is up, line protocol is up
  Hardware is Tunnel
  Description: ===GRE to R3===
  Internet address is 172.16.13.1/24
  MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 1.1.1.1, destination 3.3.3.3
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled
R1#show ip interface tunnel 13
Tunnel13 is up, line protocol is up
  Internet address is 172.16.13.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1476 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled

R1#ping 172.16.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.13.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R3#show interfaces tunnel 13
Tunnel13 is up, line protocol is up
  Hardware is Tunnel
  Description: ===GRE to R1===
  Internet address is 172.16.13.3/24
  MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 3.3.3.3, destination 1.1.1.1
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled


    
R3#ping 172.16.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.13.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Mặt định MTU 1500 nhưng khi dùng GRE cisco tự điều chỉnh MTU là 1476 vì khi sử dụng GRE nó thêm trường IP và GRE header tổng cộng là 24 byte (1500 - 24 = 1476)


  • Cấu hình có chỉnh MTU giữa R1 với R2
Giải thích trước khi cấu hình: Mặt đinh MTU (maximum transfer unit) trên cổng là 1500 có nghĩa là gói tin được gửi ra trên cổng có kích thước tối đa là 1500 bytes. Ta có IP header là 20 bytes, nếu TCP có kích thước là 1480 byte, xuống tầng network cộng thêm 20 byte của IP header = 1500 byte sẽ gửi đi được. Nếu có dùng GRE: với TCP có kích 1480, đóng thêm IP header 20 byte và GRE header 4 byte nữa là sẽ lớn hơn 1500 byte. Có 2 trường hợp xảy ra:
- Nếu cho phép fragment (default) thì gói tin sẽ được chia nhỏ ra thành nhiều gói sẽ gửi đi được
- Nếu KHÔNG cho phép fragment gói tin là 1504 byte (1480 + 24 =1504 ) sẽ bị DROP, không gửi đi được.

Trong bài này chúng ta cấu hình GRE có tinh chỉnh MTU nên trước tiên cần chỉnh MTU lại cho phù hợp, ở đây ta chọn kích thước tối đa của gói tin 1400 byte và không dragment (Maximun segment size (mss)1360 +  TCP header 20 bytes + IP header 20 bytes = 1400 byte.

!R1
!
interface Tunnel12
 description ===GRE to R2===
 ip address 172.16.12.1 255.255.255.0
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source 1.1.1.1
 tunnel destination 2.2.2.2
end
R1(config-if)#
*Jul 31 02:39:48.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel12, changed state to up

!R2
interface Tunnel12
 description ===GRE to R1===
 ip address 172.16.12.2 255.255.255.0
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source 2.2.2.2
 tunnel destination 1.1.1.1
end

R2#
*Jul 31 04:09:52.929: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel12, changed state to up

Kiểm tra

R1#show interfaces tunnel 12

Tunnel12 is up, line protocol is up 
  Hardware is Tunnel
  Description: ===GRE to R2===
  Internet address is 172.16.12.1/24
  MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 1.1.1.1, destination 2.2.2.2
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled

R1#show ip interface tunnel 12
Tunnel12 is up, line protocol is up
  Internet address is 172.16.12.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1400 bytes
  Helper address is not set

  R2#show interfaces tunnel 12
Tunnel12 is up, line protocol is up 
  Hardware is Tunnel
  Description: ===GRE to R1===
  Internet address is 172.16.12.2/24
  MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 2.2.2.2, destination 1.1.1.1
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled

R2#show ip interface tunnel 12
Tunnel12 is up, line protocol is up
  Internet address is 172.16.12.2/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1400 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled

R1#ping 172.16.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

  Bắt gói trên wireshark

  • Thực hiện định tuyết tĩnh stactic route (có thể chọn giao thức định tuyến bất kỳ khác) đảm bảo mọi địa Loopback0 trên sơ đồ phải thấy nhau.
!R1
ip route 192.168.2.0 255.255.255.0 172.16.12.2
ip route 192.168.3.0 255.255.255.0 172.16.13.3
!R2
ip route 192.168.1.0 255.255.255.0 172.16.12.1
!R3
ip route 192.168.1.0 255.255.255.0 172.16.13.1
Kiểm tra
R1#ping 192.168.2.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

R1#ping 192.168.3.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R2#ping 192.168.1.1 source 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R3#ping 192.168.1.1 source 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms


Phân tích trên wireshark


  • Cấu hình đảm bảo loopback 0 của R2 và R3 thông nhau
!R2
ip route 172.16.13.0 255.255.255.0 172.16.12.1
ip route 192.168.3.0 255.255.255.0 172.16.13.3
!R3
ip route 172.16.12.0 255.255.255.0 172.16.13.1
ip route 192.168.2.0 255.255.255.0 172.16.12.2
Kiểm tra

R2#ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R3#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
  • Sự khác nhau giữa có chỉnh IP MTU giữa R1 với R2 và KHÔNG chỉnh IP MTU R1 với R3

R1 với R2: Trên tunnel 12 chỉ cho phép truyền gói tin <= 1400 byte nếu lớn hơn sẽ bị drop.

R1#ping 192.168.2.1 source 192.168.1.1 df-bit size 1400 
Type escape sequence to abort.
Sending 5, 1400-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#ping 192.168.2.1 source 192.168.1.1 df-bit size 1401 
Type escape sequence to abort.
Sending 5, 1401-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)
R1 với R3: Nếu gói tin > 1400 vẫn cho phép truyền qua tunnel 13

R1#ping 192.168.3.1 source 192.168.1.1 df-bit size 1401 
Type escape sequence to abort.
Sending 5, 1401-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms



Xong!
Posted by on

Để có những bài viết tốt hơn, hãy cho chúng tôi bình luận của bạn về bài viết này. Cám ơn các bạn!

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)
/*header slide*/