https://www.forum.vnpro.org/ vi Sun, 07 Jun 2026 10:53:26 GMT vBulletin 60 images/misc/rss.png https://www.forum.vnpro.org/ https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/441019-firewall-ảo-hóa-vì-sao-asa-firepower-services-không-theo-kịp-ftd Wed, 03 Jun 2026 02:12:47 GMT 🔥 [THỰC CHIẾN NGFW] Firewall Ảo Hóa: Vì Sao ASA + FirePOWER Services Không Theo Kịp FTD?

Trong nhiều năm, mô hình ASA + FirePOWER Services (FPS) từng là lựa chọn quen thuộc của nhiều doanh nghiệp khi muốn bổ sung khả năng IPS, URL Filtering hay Malware Protection cho hệ thống firewall truyền thống.

Tuy nhiên, khi hạ tầng CNTT đang dịch chuyển mạnh sang Virtualization, Private Cloud và Hybrid Cloud, một câu hỏi được đặt ra:

❓ Liệu kiến trúc ASA + FPS còn phù hợp?

ASA + FPS: Tốt cho môi trường vật lý, nhưng gặp giới hạn khi ảo hóa

ASA kết hợp FirePOWER Services được thiết kế dựa trên mô hình phần cứng truyền thống, nơi firewall hoạt động chủ yếu trên các appliance vật lý.

Khi doanh nghiệp bắt đầu triển khai:

VMware vSphere
AWS Cloud
Microsoft Azure
KVM/OpenStack

thì ASA + FPS không có khả năng triển khai dưới dạng firewall ảo hóa trên các hypervisor này.

Điều đó đồng nghĩa với việc doanh nghiệp phải tiếp tục đầu tư thiết bị vật lý hoặc xây dựng các mô hình bảo mật phức tạp hơn để bảo vệ workload trên cloud.

FTD – Thiết kế cho kỷ nguyên Cloud

Khác với ASA + FPS, Firepower Threat Defense (FTD) được Cisco phát triển theo hướng hội tụ Firewall + IPS + Malware Protection trên một nền tảng duy nhất.

Điểm đáng chú ý là:

Hỗ trợ VMware ESXi
Hỗ trợ AWS
Hỗ trợ Microsoft Azure
Hỗ trợ KVM

Firewall giờ đây không còn bị giới hạn trong rack thiết bị tại Data Center mà có thể triển khai trực tiếp bên cạnh ứng dụng và workload trên môi trường ảo hóa.

Vì sao điều này quan trọng với doanh nghiệp?

Trong các mô hình hiện nay:

🏢 Data Center Virtualization
🏢 Private Cloud
🏢 Hybrid Cloud
🏢 Multi-Cloud

việc triển khai firewall dưới dạng appliance vật lý đôi khi không còn là lựa chọn tối ưu.

Firewall ảo mang lại:

✔ Triển khai nhanh trong vài phút
✔ Dễ mở rộng khi tài nguyên tăng trưởng
✔ Tối ưu chi phí đầu tư ban đầu
✔ Linh hoạt giữa On-Premise và Cloud
✔ Đồng nhất chính sách bảo mật trên nhiều nền tảng

Góc nhìn thực tế

Nếu doanh nghiệp vẫn vận hành hạ tầng truyền thống với thiết bị vật lý tại biên mạng, ASA vẫn hoàn toàn đáp ứng tốt các yêu cầu Firewall, VPN và NAT.

Nhưng khi chiến lược CNTT bắt đầu hướng tới Cloud First, Data Center Virtualization hoặc Hybrid Infrastructure, FTD đang cho thấy lợi thế rõ rệt nhờ khả năng triển khai linh hoạt trên cả môi trường vật lý lẫn ảo hóa.

Nói cách khác:

👉 ASA + FPS đại diện cho thế hệ bảo mật gắn với phần cứng.

👉 FTD đại diện cho thế hệ bảo mật sẵn sàng cho Cloud và Virtualization.

💬 Theo anh em, trong các dự án triển khai hiện nay, firewall vật lý vẫn là lựa chọn chính hay firewall ảo hóa đang dần trở thành xu hướng?

​]]> FIREPOWER Tran Huu Nhan https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/441019-firewall-ảo-hóa-vì-sao-asa-firepower-services-không-theo-kịp-ftd https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440804-case-study-kiến-trúc-biên-giới-kép-1-asa-1-ftd-và-bài-toán-dual-wan Thu, 28 May 2026 03:07:00 GMT [CASE STUDY] KIẾN TRÚC BIÊN GIỚI KÉP: 1 ASA + 1 FTD VÀ BÀI TOÁN DUAL-WAN

Chào anh em,

Trong thiết kế hạ tầng mạng doanh nghiệp, đạt được tính sẵn sàng cao (High Availability) ở lớp Perimeter (Biên) luôn là bài toán đau đầu. Hôm nay, mình muốn cùng anh em mổ xẻ một kiến trúc "kinh điển" nhưng cực kỳ thực tế: Sử dụng song song 2 dòng Firewall có kiến trúc khác nhau (Cisco ASA + Cisco FTD) kết nối đồng thời ra 2 nhà mạng độc lập (Dual-WAN).

Nhiều người sẽ hỏi: “Tại sao không mua cụm Active/Standby 2 con giống hệt nhau cho nhàn đầu?”. Câu trả lời nằm ở sự kết hợp chiến lược giữa Sức mạnh cơ bắp truyền thống (L4) và Trí tuệ nhân tạo thế hệ mới (NGFW/L7) để tối ưu hóa cả chi phí license lẫn hiệu năng hệ thống.

Hãy cùng phân tích sâu hơn về mô hình này nhé!

1. Bản Chất Kiến Trúc: Sự Kết Hợp Giữa "Cơ Bắp" Và "Trí Tuệ"

Tại sao lại là 1 ASA + 1 FTD? Thiết kế này mang lại lợi thế rất lớn về mặt phân tải dựa trên bản chất phần cứng và hệ điều hành:

• Cisco ASA (Cổng Cơ Bắp & Tốc Độ): Chạy hệ điều hành ASA Software truyền thống. Nó xử lý cực nhanh ở Layer 3/Layer 4, độ trễ (latency) gần như bằng 0 vì không phải bóc tách sâu gói tin. ASA là "vua" trong việc chịu tải NAT, xử lý các kết nối thô và đặc biệt là chạy các đường truyền VPN (IPsec, AnyConnect) nhờ độ ổn định và "nồi đồng cối đá" huyền thoại.
• Cisco FTD (Cổng Trí Tuệ Thế Hệ Mới): Định dạng Next-Generation Firewall chạy nền tảng Firepower. Ngoài việc chặn IP/Port, FTD có các engine soi sâu vào tận Layer 7 để làm: Chống xâm nhập (IPS), Lọc Web (URL Filtering), Nhận diện ứng dụng (App-ID), Chống mã độc (Advanced Malware Protection). Đổi lại, vì phải "soi" kỹ nên throughput của nó sẽ giảm và độ trễ sẽ cao hơn ASA khi bật full tính năng.

2. Kịch Bản Vận Hành: Tối Ưu Băng Thông & License như thế nào?


Nếu chạy Active - Standby truyền thống (một con chạy, một con nằm chơi) thì quá lãng phí băng thông nhà mạng và tài nguyên thiết bị. Phương án tối ưu nhất cho mô hình này là Chia tải thông minh (Active – Active) ngay từ lớp Core Switch:

• Luồng Internet của User (Chiếm 70% traffic): Định tuyến đi qua FTD -> ISP 1. User lướt web, download dữ liệu, check mail sẽ được FTD kiểm tra mã độc, lọc URL độc hại và bật IPS để bảo vệ máy trạm. Chúng ta chỉ cần mua gói License bảo mật cao cấp (TID/URL/AMP) cho duy nhất một con FTD này, tiết kiệm được một nửa tiền license so với việc mua cho cả 2 con.
• Luồng VPN & Dịch vụ nội bộ: Định tuyến đi qua ASA -> ISP 2. Toàn bộ đối tác kết nối Site-to-Site VPN hoặc anh em nhân viên remote AnyConnect từ xa về sẽ đổ vào đường này. Traffic VPN vốn đã được mã hóa, đi qua ASA sẽ được giải mã cực nhanh, mượt mà và không làm nghẽn CPU của con FTD.
• Kịch bản thảm họa (Failover): Nếu một trong hai thiết bị (hoặc nhà mạng) sập, thiết bị còn lại sẽ lập tức ôm luôn toàn bộ traffic của con kia bằng cơ chế Routing dự phòng (PBR hoặc Dynamic Routing). Mạng doanh nghiệp giữ được kết nối liên tục 24/7.

3. Những Góc Khuất Và "Bẫy Kỹ Thuật" Anh Em Cần Lưu Ý


Mô hình này nhìn thì rất đẹp trên giấy, nhưng khi triển khai thực tế, nó đòi hỏi tay nghề của anh em System/Network phải cực kỳ vững, nếu không sẽ tự mua "hành" về ăn: ❌ Bẫy số 1: Định Tuyến Bất Đối Xứng (Asymmetric Routing) – "Sát thủ" diệt gói tin


Firewall là thiết bị kiểm tra trạng thái kết nối (Stateful Inspection). Nó bắt buộc phải nhìn thấy đủ 3 bước bắt tay (SYN -> SYN-ACK -> ACK) của một connection thì mới cho qua.

• Nguy cơ: Gói tin đi ra từ con FTD (đường ISP 1) nhưng lúc về, do cơ chế định tuyến của nhà mạng, nó lại bị dẫn nhầm vào con ASA (đường ISP 2). Con ASA thấy một gói tin ACK "lạ hoắc" tự nhiên nhảy vào nhà mình mà trước đó không có gói SYN đi ra, nó sẽ coi đây là cuộc tấn công và Drop thẳng tay. Khách hàng sẽ phản ánh mạng bị chập chờn, rớt gói liên tục.
• Giải pháp: Cấu hình Static Route kèm Tracking (IP SLA) chặt chẽ, hoặc chạy OSPF/BGP giữa Core Switch và 2 con Firewall để đồng bộ bảng định tuyến chuẩn xác từng mili-giây.

❌ Bẫy số 2: "Cực hình" đồng bộ Policy thủ công (Dual-Management)

• Con ASA cấu hình qua giao diện CLI hoặc phần mềm ASDM cổ điển.
• Con FTD cấu hình qua giao diện Web FDM hoặc quản trị tập trung qua FMC (Firewall Management Center).
• Hai con dùng hai hệ điều hành khác nhau hoàn toàn. Do đó, khi có yêu cầu: "Mở port cho Server mới" hoặc "Chặn dải IP này", anh em bắt buộc phải vào cả hai con để cấu hình thủ công. Chỉ cần quên hoặc gõ nhầm một bên, thì khi hệ thống mất điện, sập đường chính nhảy sang đường phụ, dịch vụ đó sẽ bị ngắt hoàn toàn mà anh em không biết tại sao.

📌 KEY TAKEAWAY CHO ANH EM KHI TROUBLESHOOTING


Khi mạng có sự cố chập chờn trong mô hình này, hãy bình tĩnh thực hiện các bước:

1. Trace route xem traffic của User đang thực tế đi qua con nào (ASA hay FTD) để khoanh vùng.
2. Nếu traffic đang đi qua FTD, check ngay các log về Access Control Policy, Snort Engine (IPS) hoặc URL Filtering xem có bị block nhầm không.
3. Nếu traffic đi qua ASA, tập trung check NAT Pool và Access-list (L4).
4. Luôn kiểm tra trạng thái các đường WAN bằng lệnh ping có track xem các đường truyền nhà mạng có bị suy hao hoặc rớt gói (packet loss) hay không.

💬 Thảo luận một chút:

Mô hình 1 ASA + 1 FTD chạy Dual-WAN này đúng nghĩa là một thiết kế "Nồi đồng cối đá kết hợp Công nghệ hiện đại".

Theo anh em, giữa việc tiết kiệm chi phí License (Active-Active) và việc nhàn đầu khi quản trị (Mua 2 con giống hệt nhau chạy Active-Standby), anh em sẽ chọn phương án nào cho doanh nghiệp của mình? Ai có case-study nào "đau thương" về lỗi định tuyến bất đối xứng trong mô hình này thì chia sẻ bên dưới để mọi người cùng mổ xẻ nhé!
​]]> FIREPOWER Tran Huu Nhan https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440804-case-study-kiến-trúc-biên-giới-kép-1-asa-1-ftd-và-bài-toán-dual-wan https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440581-cisco-firepower-ngfw-–-nền-tảng-bảo-mật-thế-hệ-mới-cho-doanh-nghiệp Fri, 22 May 2026 07:18:39 GMT [CHIA SẺ KINH NGHIỆM] TẤT TẦN TẬT VỀ CISCO FIREPOWER NGFW – NỀN TẢNG BẢO MẬT THẾ HỆ MỚI CHO DOANH NGHIỆP


Chào anh em trong cộng đồng Network & Security!

Hôm nay mình muốn dành thời gian để viết một bài tổng hợp và chia sẻ góc nhìn từ những gì mình tìm hiểu và trải nghiệm về Cisco Firepower NGFW (Next-Generation Firewall). Đối với những ai làm quản trị hệ thống hay bảo mật, dòng Firewall ASA truyền thống của Cisco chắc chắn đã quá quen thuộc. Tuy nhiên, trước các cuộc tấn công mạng ngày càng tinh vi ở tầng ứng dụng (L7), Cisco đã chuyển dịch mạnh mẽ sang hệ sinh thái Firepower.

Dưới đây là những điểm cốt lõi về cấu trúc, tính năng và các tùy chọn triển khai của Firepower NGFW mà mình đã đúc kết được. Hy vọng bài viết sẽ giúp ích cho những anh em đang nghiên cứu hoặc chuẩn bị triển khai giải pháp này.

1. Trái tim của giải pháp: Firepower Threat Defense (FTD) là gì?

Trước đây, khi dùng dòng ASA đời cũ tích hợp Firepower, chúng ta phải chạy song song hai hệ điều hành riêng biệt trên cùng một thiết bị: ASA OS xử lý các tính năng từ L2-L4 và Firepower Services xử lý các tính năng tầng ứng dụng L7. Việc này khiến cấu trúc quản trị trở nên cồng kềnh.

Để giải quyết bài toán này, Cisco đã tung ra Firepower Threat Defense (FTD) – một Hệ điều hành hội tụ duy nhất (Single Converged OS). FTD kết hợp hoàn hảo các tính năng của cả ASA và Firepower vào một mã nguồn, cho phép xử lý lưu lượng mạng đồng nhất từ L2 đến L7 chỉ trong một thực thể quản lý duy nhất.

Khi chạy FTD, thiết bị của bạn sẽ sở hữu một "vũ khí hạng nặng" tổng lực bao gồm:

• Stateful Firewall & Routing: Kế thừa các tính năng định tuyến mạnh mẽ (OSPF, BGP, Static, RIP, Multicast...) và xử lý NAT linh hoạt của hệ điều hành ASA.
• Application Visibility & Control (AVC): Nhận diện và kiểm soát sâu hơn 4,000 ứng dụng khác nhau (như Facebook, YouTube, LinkedIn...) giúp tối ưu băng thông và ngăn chặn rủi ro tầng ứng dụng.
• Next-Generation IPS (NGIPS): Công nghệ ngăn chặn xâm nhập thông minh kế thừa từ Sourcefire, có khả năng tự động điều chỉnh luật (Snort rules) dựa trên hồ sơ mạng và độ ưu tiên của lỗ hổng bảo mật.
• Advanced Malware Protection (AMP) & Cloud Sandboxing: Hệ thống phòng chống mã độc nâng cao giúp phát hiện, cô lập và phân tích các tập tin độc hại thông qua nền tảng đám mây Cisco Threat Grid.
• URL Filtering: Phân loại và lọc hơn 280 triệu URL dựa trên hơn 80 danh mục khác nhau với dữ liệu cập nhật liên tục từ Cisco Talos.

2. Các tùy chọn phần cứng (Physical Platforms)

Cisco cung cấp dải sản phẩm phần cứng rất rộng để đáp ứng từ văn phòng nhỏ (Branch) cho tới các trung tâm dữ liệu (Data Center) khổng lồ:

• Cisco ASA 5500-X Series (chạy FTD): Các dòng như 5506-X, 5508-X, 5516-X cho tới 5555-X đều hỗ trợ cài đặt hệ điều hành FTD nhằm dịch chuyển mượt mà lên NGFW cho các văn phòng chi nhánh và doanh nghiệp tầm trung. (Lưu ý nhỏ: dòng cao cấp cũ 5585-X không thể chạy được phần mềm FTD Image).
• Cisco Firepower 2100 Series: Dòng phần cứng chuyên dụng, được thiết kế tối ưu hiệu năng để xử lý đồng thời cả Firewall, AVC, NGIPS và AMP mà không bị suy giảm hiệu năng (No drop in performance). Băng thông NGFW dao động từ 1.9 Gbps (FPR 2110) lên tới 8.5 Gbps (FPR 2140).
• Cisco Firepower 4100 Series & 9300 Platform: Các quái thú dành cho phân khúc Campus lớn và Data Center với băng thông khổng lồ (lên tới hơn 53 Gbps, có thể nhân lên gấp 6 lần nhờ công nghệ Clustering). Đặc biệt dòng 9300 hỗ trợ cấu trúc dạng Module (Carrier Class) và cho phép tích hợp cả các container bảo mật của bên thứ ba như giải pháp chống DDoS Radware DefensePro.

Ngoài phần cứng vật lý, Cisco còn cung cấp phiên bản ảo hóa Firepower NGFWv chạy trên các môi trường đám mây và ảo hóa phổ biến như VMware vSphere, AWS, Azure, KVM.


3. Ba mô hình Quản trị (Management Options) Linh Hoạt

Một điểm cộng lớn của giải pháp Firepower chính là sự linh hoạt trong quản lý, tùy thuộc vào quy mô hạ tầng của doanh nghiệp:

1. Firepower Device Manager (FDM) - On-box Management: Công cụ quản trị giao diện Web tích hợp trực tiếp trên từng thiết bị. Rất đơn giản, trực quan, phù hợp cho thị trường SMB hoặc quản trị viên quản lý một thiết bị FTD đơn lẻ.
2. Firepower Management Center (FMC) - Centralized Management: Đây là trung tâm đầu não thực sự của hệ thống. FMC có thể quản trị tập trung hàng loạt thiết bị vật lý lẫn ảo hóa. Nó mang lại bộ tính năng bảo mật toàn diện nhất, bao gồm phân tích tương quan mã độc, tự động hóa chính sách, báo cáo rủi ro chuyên sâu và quản trị luồng sự kiện (Analytics & Intelligence).
3. Cisco Defense Orchestrator (CDO) - Cloud-based Management: Giải pháp quản trị chính sách tập trung dựa trên nền tảng đám mây, giúp chuẩn hóa và đồng bộ hóa các chính sách bảo mật một cách nhanh chóng trên nhiều địa điểm triển khai khác nhau.

4. Khả năng thiết lập Chính sách (Access Control Policy) nâng cao

Nếu như ở Firewall truyền thống, anh em chỉ có thể viết rule dựa trên IP, Port và Protocol, thì với Firepower, Access Control Policy (ACP) hoạt động như một chất keo gắn kết mọi cấu phần bảo mật lại với nhau.

Một rule thiết lập trên ACP có thể kết hợp đồng thời:

• Identity Policy (Định danh người dùng): Tích hợp sâu với Cisco ISE (Identity Services Engine) qua giao thức pxGrid để lấy thông tin Username từ Active Directory, loại thiết bị (Device Profile) và thẻ bảo mật TrustSec Security Group Tag (SGT). Anh em hoàn toàn có thể viết luật rất "nghệ" như: Chỉ cho phép phòng Nhân sự truy cập hệ thống khi họ dùng laptop của công ty, nhưng nếu dùng iPad cá nhân thì sẽ bị block.
• SSL Decryption: Tính năng giải mã lưu lượng mã hóa SSL/TLS mạnh mẽ (lên tới 3.5 Gbps với hàng triệu luồng đồng thời), cho phép Firewall nhìn thấu các mối đe dọa ẩn nấp bên trong lưu lượng HTTPS.
• Security Intelligence: Lọc lưu lượng dựa trên danh tiếng (Reputation) của IP, URL và Domain được cập nhật liên tục theo thời gian thực (Real-time feeds) từ Talos nhằm chặn đứng các kết nối tới máy chủ ma độc (CnC) hay trang web lừa đảo ngay từ vòng gửi xe.

5. Khả năng gỡ lỗi và Khắc phục sự cố (Troubleshooting)

Cisco Firepower tích hợp sẵn các công cụ xử lý sự cố cực kỳ trực quan giúp giảm áp lực cho kỹ sư vận hành:

• Packet Tracer: Giúp mô phỏng một gói tin ảo đi qua Firewall và hiển thị chi tiết nhật ký xử lý của từng cấu phần (từ Snort cho tới các bộ tiền xử lý preprocessors) để quản trị viên biết chính xác tại sao gói tin bị Drop hay Permit.
• Packet Capture with Trace: Cho phép bắt gói tin trực tiếp từ lưu lượng thực tế ngay trên giao diện và tải file PCAP về máy để phân tích bằng Wireshark.

Lời kết

Tóm lại, dịch chuyển từ thế giới tường lửa truyền thống sang Cisco Firepower NGFW là một bước đi tất yếu nếu doanh nghiệp muốn bảo vệ hệ thống trước các mối đe dọa hiện đại. Sự kết hợp giữa sức mạnh lõi của ASA, trí tuệ nhân tạo của Sourcefire (Snort) và kho dữ liệu khổng lồ của Cisco Talos tạo nên một lá chắn vững chắc cho bất kỳ hạ tầng mạng nào.

​​]]> FIREPOWER Tran Huu Nhan https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440581-cisco-firepower-ngfw-–-nền-tảng-bảo-mật-thế-hệ-mới-cho-doanh-nghiệp https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440162-gre-tunnel Tue, 12 May 2026 11:08:38 GMT Khắc phục sự cố GRE Tunnel trên Cisco – Hiểu đúng để Troubleshoot hiệu quả Generic Routing Encapsulation (GRE) là một trong những công nghệ... Khắc phục sự cố GRE Tunnel trên Cisco – Hiểu đúng để Troubleshoot hiệu quả


Generic Routing Encapsulation (GRE) là một trong những công nghệ tunneling kinh điển trong thế giới mạng Cisco. Dù ngày nay chúng ta có nhiều lựa chọn hiện đại hơn như IPsec VPN, DMVPN hay SD-WAN overlay, GRE vẫn là một nền tảng kiến thức cực kỳ quan trọng, đặc biệt đối với kỹ sư mạng học theo lộ trình CCNP/CCIE.

GRE thường xuất hiện trong các bài lab routing, VPN overlay, multicast transport, dynamic routing over tunnel, hoặc trong các bài troubleshooting thực chiến khi cần vận chuyển một loại traffic qua hạ tầng IP không hỗ trợ trực tiếp loại traffic đó.

Bài viết này sẽ đi từ nguyên lý hoạt động đến cách khắc phục các lỗi GRE tunnel phổ biến trên thiết bị Cisco. Nội dung được xây dựng từ tài liệu kỹ thuật Cisco/CCNP troubleshooting nhưng được trình bày lại theo hướng đào tạo thực chiến.

---

GRE Tunnel là gì?


GRE (Generic Routing Encapsulation) là một tunneling protocol cho phép đóng gói (encapsulate) nhiều loại gói tin lớp Network vào bên trong một giao thức vận chuyển GRE để truyền qua mạng IP.

Nói đơn giản hơn:

Bạn có thể lấy một gói IPv6, hoặc IPv4, thậm chí multicast traffic, đóng gói nó vào GRE, sau đó gửi qua một mạng IPv4 thông thường.

Ví dụ:

• Chi nhánh A và chi nhánh B không kết nối trực tiếp
• Cả hai chỉ có Internet public
• Nhưng bạn muốn hai router hoạt động như thể đang nối point-to-point với nhau

GRE chính là công cụ để tạo “đường hầm logic” đó.

---

Kiến trúc GRE tunnel


Ví dụ:

HQ (San Francisco)

LAN nội bộ:
10.1.1.0/24

Public interface:
192.0.2.1

Tunnel IP:
172.16.1.1/30

Branch (Toronto)

LAN nội bộ:
192.168.1.0/24

Public interface:
203.0.113.1

Tunnel IP:
172.16.1.2/30

Mặc dù hai router không kết nối trực tiếp, GRE tunnel sẽ tạo ra một virtual point-to-point link giữa chúng.

Logic nhìn từ routing table:

HQ thấy Branch như hàng xóm trực tiếp.

Branch cũng thấy HQ tương tự.

---

Cấu hình GRE tunnel

HQ

interface Tunnel0
ip address 172.16.1.1 255.255.255.252
tunnel source FastEthernet3/0
tunnel destination 203.0.113.1 Branch

interface Tunnel0
ip address 172.16.1.2 255.255.255.252
tunnel source FastEthernet1/0
tunnel destination 192.0.2.1

Nếu không chỉ định tunnel mode, Cisco mặc định dùng:
GRE/IP

Nếu muốn explicit:
tunnel mode gre ip

---

GRE encapsulation hoạt động như thế nào?


GRE sử dụng mô hình encapsulation ba lớp. Passenger protocol


Đây là gói gốc.

Ví dụ:

• IPv4 packet
• IPv6 packet
• multicast packet

---

Carrier protocol


GRE header được thêm vào để mang payload.

---

Transport protocol


Cisco thêm outer IP header để gói GRE có thể đi qua mạng public.

Kết quả:
Original Packet
↓
Add GRE Header
↓
Add New IP Header
↓
Send over Internet

---

Ví dụ:

Một gói IPv6 nội bộ có thể được đóng gói:
IPv6 payload
inside
GRE
inside
IPv4

Điều này giải thích tại sao GRE cực kỳ hữu ích trong các môi trường transition.

---

Lợi ích của GRE


Điểm mạnh lớn nhất của GRE là khả năng vận chuyển routing protocol traffic.

Ví dụ:

Không có GRE:

Internet không cho phép private routing adjacency giữa hai site.

Không thể chạy:

• OSPF
• EIGRP
• RIP
• multicast routing

Có GRE:

Tunnel hoạt động như link point-to-point.

Bạn có thể chạy dynamic routing trên đó.

Ví dụ routing table tại HQ:
D 192.168.1.0/24 [90/26880256] via 172.16.1.2, Tunnel0

Điều này cho thấy EIGRP đang học route từ tunnel.

---

Kiểm tra GRE tunnel

Kiểm tra trạng thái interface

show interfaces tunnel 0

Ví dụ:
Tunnel0 is up, line protocol is up

Nếu thấy:
up/down

hoặc
administratively down

thì phải điều tra tiếp.

---

Kiểm tra nhanh toàn bộ interface

show ip interface brief

Ví dụ:
Tunnel0 172.16.1.1 YES manual up up

---

Kiểm tra reachability public endpoint


HQ phải ping được public IP của Branch:
ping 203.0.113.1

Branch phải ping được HQ:
ping 192.0.2.1

Nếu bước này fail thì GRE chắc chắn không lên.

GRE không tạo tunnel nếu underlay không reach được.

---

Các lỗi GRE tunnel phổ biến khi troubleshooting

1. Public reachability failure


Đây là lỗi phổ biến nhất.

Tunnel phụ thuộc hoàn toàn vào underlay IP connectivity.

Nếu router A không ping được public IP router B:

GRE fail.

Kiểm tra:
show ip route
ping
traceroute

Cần xác minh:

• default route
• ISP routing
• NAT issue
• upstream filtering

---

2. Tunnel IP không cùng subnet


Tunnel GRE là virtual point-to-point link.

Hai đầu phải cùng subnet.

Sai:

HQ
172.16.1.1/30

Branch
172.16.2.2/30

Tunnel adjacency sẽ fail.

Kiểm tra:
show interfaces tunnel 0

hoặc:
show ip interface brief

---

3. Tunnel source / destination sai


GRE tunnel cần biết:

• bắt đầu từ đâu
• kết thúc ở đâu

Ví dụ đúng:

HQ:
tunnel source 192.0.2.1
tunnel destination 203.0.113.1

Branch:
tunnel source 203.0.113.1
tunnel destination 192.0.2.1

Nếu không đối xứng:

Tunnel fail.

---

4. Tunnel mode sai


Muốn vận chuyển IPv4 hoặc IPv6 qua GRE over IPv4:

Cần:
tunnel mode gre ip

Kiểm tra:
show interfaces tunnel 0

Bạn sẽ thấy:
Tunnel protocol/transport GRE/IP

---

5. ACL chặn GRE


GRE không dùng TCP hay UDP.

GRE dùng:

IP Protocol Number 47

Đây là lỗi rất hay gặp.

Firewall hoặc ACL chỉ permit:
tcp
udp
icmp

nhưng không permit protocol 47.

Kết quả:

Tunnel không hoạt động.

Kiểm tra:
show ip interface
show access-list

---

6. MTU và fragmentation


GRE thêm overhead khoảng:

24 bytes

Nếu physical MTU:
1500 bytes

thì payload thực tế chỉ còn:
1476 bytes

Nếu packet lớn hơn:

Fragmentation xảy ra.

Hệ quả:

• tăng CPU
• delay
• performance giảm
• packet drop

Kiểm tra:
show interfaces tunnel 0

Ví dụ:
Tunnel transport MTU 1476 bytes

---

7. Recursive routing


Đây là lỗi GRE kinh điển.

Thông báo:
%TUN-5-RECURDOWN:
Tunnel0 temporarily disabled due to recursive routing

Ý nghĩa:

Router đang cố route traffic đến tunnel destination… bằng chính tunnel đó.

Ví dụ:

Muốn đến:
203.0.113.1

nhưng routing table lại chỉ ra:
via Tunnel0

=> loop logic.

Tunnel tự shutdown để tránh recursion.

Cách xử lý:

Đảm bảo public tunnel destination được route qua physical interface.

Không được route qua tunnel.

---

8. Routing protocol không chạy trên tunnel


Tunnel lên nhưng không học route.

Rất thường gặp.

Ví dụ:

Tunnel:
up/up

nhưng:
show ip route

không thấy remote network.

Nguyên nhân:

OSPF/EIGRP chưa enable trên tunnel.

Ví dụ:
router ospf 1
network 172.16.1.0 0.0.0.3 area 0

hoặc:
router eigrp 100
network 172.16.1.0 0.0.0.3

---

GRE over IPv6


GRE không chỉ vận chuyển IPv4.

Ví dụ:

Bạn có thể chạy IPv6 traffic qua IPv4 underlay.

Tunnel source/destination vẫn là IPv4:
tunnel source 192.0.2.1
tunnel destination 203.0.113.1

Nhưng tunnel interface dùng IPv6:
ipv6 address FE80::1 link-local

Đây là kỹ thuật transition cổ điển nhưng vẫn rất hữu ích để hiểu encapsulation.

---

Tư duy troubleshooting thực chiến


Khi GRE lỗi, thứ tự suy nghĩ nên là:

Layer 3 underlay trước

Ping public IP được chưa?

Nếu chưa, đừng nhìn tunnel.

---

Tunnel logic tiếp theo

• source đúng chưa?
• destination đúng chưa?
• subnet đúng chưa?
• mode đúng chưa?

---

Policy/security

ACL/firewall có permit protocol 47 không?

---

Performance

MTU / fragmentation?

---

Routing intelligence

Tunnel destination có bị recursive route không?

Dynamic routing có chạy trên tunnel không?

---

Kết luận


GRE là một công nghệ deceptively simple.

Cấu hình chỉ vài dòng.

Nhưng troubleshooting lại đòi hỏi tư duy routing rất chắc.

Một GRE tunnel hoạt động tốt yêu cầu:

• underlay connectivity chuẩn
• addressing chính xác
• encapsulation đúng
• ACL permit protocol 47
• MTU phù hợp
• routing logic không recursion
• overlay routing hoạt động đúng

Nếu hiểu sâu GRE, bạn sẽ dễ dàng tiếp cận các công nghệ overlay hiện đại hơn như:

• DMVPN
• FlexVPN
• SD-WAN
• VXLAN overlays

Vì bản chất, tất cả đều là câu chuyện:

encapsulation + transport + routing intelligence
​]]> FIREPOWER dangquangminh https://www.forum.vnpro.org/forum/ccnp-security-®-ccsp/firewall-vpn-snaf-snaa/440162-gre-tunnel