Tweet
🔥 GRE Tunnel trên Cisco IOS – Hiểu đúng bản chất & triển khai thực tế
1. GRE Tunnel là gì?
GRE (Generic Routing Encapsulation) là một kỹ thuật tunneling (đóng gói) cho phép bạn đóng gói một gói tin bên trong một gói tin khác để truyền qua một mạng trung gian.
Hiểu đơn giản:
Đây chính là cơ chế encapsulation
2. Khi nào cần GRE Tunnel?
🔹 Case 1: Kết nối IPv6 qua Internet IPv4
Hai site chỉ có IPv6 nội bộ nhưng Internet chỉ chạy IPv4 → dùng GRE để "chở" IPv6 qua IPv4.
🔹 Case 2: Chạy routing protocol qua Internet
Bạn muốn chạy:
giữa HQ và Branch → GRE giúp bạn tạo một đường point-to-point logic để routing protocol hoạt động như mạng nội bộ
3. Topology lab (quan trọng)
Từ sơ đồ trong tài liệu (page 1):
Hai site HQ và Branch:
👉 Insight CCIE:
4. Cấu hình GRE Tunnel (Core concept)
🔹 Tại HQ
interface tunnel 1
tunnel source fastEthernet 0/0
tunnel destination 192.168.23.3
ip address 192.168.13.1 255.255.255.0 🔹 Tại Branch
interface tunnel 1
tunnel source fastEthernet 0/0
tunnel destination 192.168.12.1
ip address 192.168.13.3 255.255.255.0
📌 Điểm cần nhớ:
👉 Đây chính là overlay network
5. Kiểm tra tunnel hoạt động
Từ output trên page 3:
Tunnel is up, line protocol is up
Tunnel protocol/transport GRE/IP
📌 Điều này cho thấy:
6. Routing over GRE (điểm ăn tiền)
Sau khi tunnel up → bạn có thể chạy routing protocol: Ví dụ EIGRP:
router eigrp 13
network 192.168.13.0
network 172.16.1.0
👉 Kết quả:
📌 Minh chứng (page 4):
D 172.16.3.0 via 192.168.13.3, Tunnel1
👉 Đây là routing entry đi qua GRE
7. Test thực tế
Ping loopback:
ping 172.16.3.3 source loopback0
Kết quả:
Success rate is 100 percent
👉 Điều này chứng minh:
✔ Hai LAN khác nhau đã kết nối qua tunnel
✔ GRE hoạt động như một WAN link logic
8. Bản chất packet trong GRE (rất quan trọng)
Theo Wireshark (page 4):
👉 Insight CCIE:
[Outer IP Header] → [GRE Header] → [Inner IP Packet]
9. Điểm cần cực kỳ lưu ý (CCIE level)
⚠️ GRE KHÔNG mã hóa
Tài liệu nhấn mạnh:
👉 Nghĩa là:
10. Lỗi kinh điển: Recursive Routing
Tài liệu có cảnh báo:
Hiểu bản chất:
👉 Fix:
11. Tổng kết góc nhìn CCIE
GRE không chỉ là tunnel đơn giản, mà là nền tảng của rất nhiều công nghệ:
🔥 Insight quan trọng
👉 GRE = nền tảng của Overlay Networking
Bạn hãy nhìn GRE dưới góc độ:
➡ Đây chính là triết lý của:
🚀 Gợi mở:
Nếu bạn đang học lên CCNP/CCIE hoặc làm SD-WAN:
👉 Hãy tự hỏi:
1. GRE Tunnel là gì?
GRE (Generic Routing Encapsulation) là một kỹ thuật tunneling (đóng gói) cho phép bạn đóng gói một gói tin bên trong một gói tin khác để truyền qua một mạng trung gian.
Hiểu đơn giản:
Bạn "bọc" traffic thật (inner packet) vào trong một lớp IP mới (outer packet) → gửi qua Internet → đầu bên kia "gỡ bọc".
Đây chính là cơ chế encapsulation
2. Khi nào cần GRE Tunnel?
🔹 Case 1: Kết nối IPv6 qua Internet IPv4
Hai site chỉ có IPv6 nội bộ nhưng Internet chỉ chạy IPv4 → dùng GRE để "chở" IPv6 qua IPv4.
🔹 Case 2: Chạy routing protocol qua Internet
Bạn muốn chạy:
- EIGRP
- OSPF
- RIP
giữa HQ và Branch → GRE giúp bạn tạo một đường point-to-point logic để routing protocol hoạt động như mạng nội bộ
3. Topology lab (quan trọng)
Từ sơ đồ trong tài liệu (page 1):
- HQ Router
- ISP Router (trung gian)
- Branch Router
Hai site HQ và Branch:
- Kết nối Internet qua ISP
- Mỗi site có Loopback đại diện cho LAN
- GRE Tunnel chạy xuyên qua ISP
👉 Insight CCIE:
GRE biến Internet (public network) thành một logical private link (point-to-point)
4. Cấu hình GRE Tunnel (Core concept)
🔹 Tại HQ
interface tunnel 1
tunnel source fastEthernet 0/0
tunnel destination 192.168.23.3
ip address 192.168.13.1 255.255.255.0 🔹 Tại Branch
interface tunnel 1
tunnel source fastEthernet 0/0
tunnel destination 192.168.12.1
ip address 192.168.13.3 255.255.255.0
📌 Điểm cần nhớ:
- tunnel source: địa chỉ IP outbound (public)
- tunnel destination: IP remote endpoint
- Tunnel subnet riêng (192.168.13.0/24)
👉 Đây chính là overlay network
5. Kiểm tra tunnel hoạt động
Từ output trên page 3:
Tunnel is up, line protocol is up
Tunnel protocol/transport GRE/IP
📌 Điều này cho thấy:
- Tunnel interface đã hoạt động
- GRE encapsulation đang chạy
6. Routing over GRE (điểm ăn tiền)
Sau khi tunnel up → bạn có thể chạy routing protocol: Ví dụ EIGRP:
router eigrp 13
network 192.168.13.0
network 172.16.1.0
👉 Kết quả:
- HQ học được mạng Branch
- Branch học được mạng HQ
- Traffic đi qua tunnel interface
📌 Minh chứng (page 4):
D 172.16.3.0 via 192.168.13.3, Tunnel1
👉 Đây là routing entry đi qua GRE
7. Test thực tế
Ping loopback:
ping 172.16.3.3 source loopback0
Kết quả:
Success rate is 100 percent
👉 Điều này chứng minh:
✔ Hai LAN khác nhau đã kết nối qua tunnel
✔ GRE hoạt động như một WAN link logic
8. Bản chất packet trong GRE (rất quan trọng)
Theo Wireshark (page 4):
- Outer IP: 192.168.12.1 → 192.168.23.3
- Inner IP: 172.16.1.1 → 172.16.3.3
👉 Insight CCIE:
[Outer IP Header] → [GRE Header] → [Inner IP Packet]
9. Điểm cần cực kỳ lưu ý (CCIE level)
⚠️ GRE KHÔNG mã hóa
Tài liệu nhấn mạnh:
GRE doesn’t encrypt any traffic
👉 Nghĩa là:
- Chỉ encapsulation
- Không có confidentiality
- Không chống sniffing
- GRE over IPsec (rất phổ biến trong enterprise)
- DMVPN (GRE + NHRP + IPsec)
10. Lỗi kinh điển: Recursive Routing
Tài liệu có cảnh báo:
Running routing protocol trên tunnel có thể gây recursive routing
Hiểu bản chất:
- Tunnel destination được học qua chính tunnel → loop logic
- Router không biết đi đâu trước
👉 Fix:
- Static route đến tunnel destination qua physical interface
- Hoặc dùng routing design đúng
11. Tổng kết góc nhìn CCIE
GRE không chỉ là tunnel đơn giản, mà là nền tảng của rất nhiều công nghệ:
- DMVPN
- SD-WAN overlay
- MPLS over GRE (lab scenarios)
- VXLAN (concept tương tự encapsulation)
🔥 Insight quan trọng
👉 GRE = nền tảng của Overlay Networking
Bạn hãy nhìn GRE dưới góc độ:
- Underlay = Internet
- Overlay = Tunnel (GRE)
➡ Đây chính là triết lý của:
- SD-WAN
- SDAccess
- Cloud Networking
🚀 Gợi mở:
Nếu bạn đang học lên CCNP/CCIE hoặc làm SD-WAN:
👉 Hãy tự hỏi:
- GRE khác gì VXLAN?
- Tại sao SD-WAN không dùng GRE thuần?
- Khi nào dùng GRE over IPsec vs IPsec VTI?
Attached Files