TỔNG QUAN VỀ TRUSTSEC DMVPN INLINE TAGGING SUPPORT TRÊN ROUTER CISCO

TrustSec DMVPN Inline Tagging Support Trên Router Cisco Là Gì?

Tính năng TrustSec DMVPN Inline Tagging Support trên thiết bị Router Cisco cho phép IPsec thực hiện Cisco TrustSec (CTS) Security Group Tag (SGT) giữa các IPsec ngang hàng.

TrustSec DMVPN Inline Tagging Support qua IKEv2 hỗ trợ các tính năng sau:

• Dynamic Virtual Tunnel Interface (dVTI)
• GRE với Tunnel Protection
• Site-to-site VPNs
• Static crypto maps
• Static Virtual Tunnel Interface (sVTI)

TrustSec DMVPN Inline Tagging Support không hỗ trợ các tính năng sau:

• Cisco AnyConnect
• Cisco VPNClient
• DMVPN với IKEv1
• EasyVPN
• FlexVPN
• GetVPN
• Phương pháp IKEv1 IPsec
• SSLVPN

crypto ikev2 cts sgt và cts sgt inline commands trên tunnel là hai tính năng khác nhau. Không cấu hình hai tính năng này cùng nhau vì nó khiến các gói bị gắn thẻ hai lần.

Lệnh cts sgt inline không dựa vào crypto hoặc IKEv2. Nó có thể được cấu hình tĩnh hoặc bởi NHRP. Lệnh cts sgt inline hoạt động với tunnel DMVPN IPSEC và cả ở chế độ transport.

Tính năng TrustSec DMVPN Inline Tagging Support thông qua lệnh cts sgt inline được hỗ trợ trên tất cả các kết hợp của DMVPN (IKEv1, IKEv2, non-crypto, các trình tăng tốc crypto như ISM-VPN, point-to-point, multipoint) ngoại trừ khi chạy MPLS ( dưới dạng phần mở rộng đám mây MPLS hoặc dưới dạng MPLS L3VPN) qua DMVPN.

Thông Tin Về Cấu Hình TrustSec DMVPN Inline Tagging Support Trên Router Cisco

Cisco TrustSec

Kiến trúc Cisco TrustSec (CTS) giúp xây dựng các mạng an toàn bằng cách thiết lập một miền gồm các thiết bị mạng đáng tin cậy bằng cách kết hợp danh tính, độ tin cậy và chính sách để bảo vệ các giao dịch của người dùng và thực thi các chính sách dựa trên vai trò. CTS sử dụng người dùng và thông tin nhận dạng thiết bị có được trong giai đoạn xác thực để phân loại các gói khi chúng vào mạng. CTS duy trì phân loại từng gói bằng cách gắn thẻ các gói khi xâm nhập vào mạng CTS để chúng có thể được xác định chính xác để áp dụng các tiêu chí chính sách bảo mật và khác dọc theo đường dẫn dữ liệu. Các packet hoặc frame được gắn thẻ bằng Security Group Tag (SGT)

Tính năng IPsec Inline Tagging cho TrustSec được sử dụng để truyền SGT đến các thiết bị mạng khác.

SGP Và IPsec

IPsec sử dụng giao thức IKE để thỏa thuận các thuật toán, khóa và khả năng. IKEv2 được sử dụng để đàm phán và thông báo cho IPsec về khả năng SGT. Sau khi các peer xác nhận khả năng gắn thẻ SGT, số thẻ SGT (16 bit) được thêm dưới dạng SGT Cisco Meta Data (CMD) vào IPsec và được gửi đến mạng ngang hàng nhận.

Thiết bị access layer xác thực các gói đến. Thiết bị access layer nhận SGT từ máy chủ xác thực và gán SGT cùng với địa chỉ IP cho các gói đến. Nói cách khác, một địa chỉ IP được liên kết với một SGT. Liên kết địa chỉ IP/SGT này được truyền tới các thiết bị upstream để thực thi chính sách dựa trên SGT và gắn thẻ nội tuyến.

Nếu IKEv2 được cấu hình để đàm phán khả năng SGT trong bộ khởi tạo, thì bộ khởi tạo đề xuất thông tin khả năng SGT trong yêu cầu SA_INIT. Nếu IKEv2 được cấu hình để thỏa thuận khả năng SGT trong bộ phản hồi, thì bộ phản hồi xác nhận trong phản hồi SA_INIT và bộ khởi tạo và bộ phản hồi thông báo cho IPsec sử dụng gắn thẻ nội tuyến cho tất cả các gói đến ngang hàng.

Trong quá trình đi ra, IPsec thêm khả năng SGT và các tiền tố vào tải trọng IPsec nếu thiết bị ngang hàng hỗ trợ gắn thẻ nội tuyến; nếu không thì gói không được gắn thẻ.

Trong quá trình xâm nhập, IPsec kiểm tra gói cho khả năng SGT. Nếu có thẻ, IPsec trích xuất thông tin thẻ và chuyển thông tin đến thiết bị chỉ khi việc gắn thẻ nội tuyến được thương lượng. Nếu không có thẻ, IPsec sẽ xử lý gói như một gói bình thường.

Các bảng dưới đây mô tả cách IPsec hoạt động trong quá trình đi ra và đi vào.

Bảng 1. Hành vi IPsec trên Egress Path

Inline Tagging Được Thương Lượng	CTS Cung Cấp SGT	Hành Vi IPsec
Có	Có	Một SGT CMD được thêm vào gói.
Có	Không	Gói được gửi mà không có SGT CMD.
Không	Có hoặc Không	Gói được gửi mà không có SGT CMD.

Bảng 2. Hành vi IPsec trên Ingress Path

Packet Được Gắn Thẻ	Inline Tagging Được Thương Lượng	Hành Vi IPsec
Có	Có	SGT CMD trong gói được xử lý.
Có	Không	SGT CMD trong gói không được xử lý.
Không	Có hoặc Không	Gói được xử lý như một gói IPsec bình thường.

SGT Trên Initiator Và Responder IKEv2

Để bật SGT trên phiên IKEv2, hỗ trợ khả năng SGT phải được gửi tới các peer bằng cách sử dụng lệnh . SGT là một khả năng độc quyền của Cisco; do đó, nó được gửi dưới dạng tải trọng Vendor ID (VID) trong trao đổi SA_INIT.

Bảng bên dưới giải thích các tình huống khi khả năng SGT được cấu hình trên bộ khởi tạo và bộ phản hồi:

Đã bật SGT trên Initiator	Đã bật SGT trên Responder	Điều gì đã xảy ra . . .
Có	Có	VID được trao đổi giữa bộ khởi tạo và bộ phản hồi, và SA IPsec  được kích hoạt với khả năng gắn thẻ nội tuyến SGT.
Có	Không	Initiator đề xuất VID, nhưng responder bỏ qua VID. IPsec SA không được kích hoạt với khả năng SGT inline tagging.
Không	Có	Initiator không đề xuất VID, và responder không gửi VID payload. IPsec SA không được kích hoạt với khả năng SGT inline tagging.
No	No	Initiator không đề xuất VID, và responder không gửi VID payload. IPsec SA không được kích hoạt với khả năng SGT inline tagging.

---

CẤU HÌNH TRUSTSEC DMVPN INLINE TAGGING SUPPORT TRÊN ROUTER CISCO

Kích Hoạt IPsec Inline Tagging

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ: Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ: Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	interface tunnel tunnel id Ví dụ: Device(config)# interface tunnel 1	Chỉ định số giao diện tunnel và vào chế độ cấu hình giao diện
Bước 4	cts sgt inline Ví dụ: Device(config-if)# cts sgt inline	Bật TrustSec trên DMVPN. Lệnh này chỉ hợp lệ đối với generic routing encapsulation (GRE) và đối với các chế độ giao diện tunnel.
Bước 5	exit Ví dụ: Device(config)# exit	Thoát khỏi chế độ cấu hình chung

Theo Dõi Và Xác Minh TrustSec DMVPN Inline Tagging Support

Bước 1

enable

Ví dụ:

Device> enable

Bật chế độ EXEC đặc quyền

Bước 2

show dmvpn

Ví dụ:

Device# show dmvpn

Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
        N - NATed, L - Local, X - No Socket
        T1 - Route Installed, T2 - Nexthop-override
        C - CTS Capable
        # Ent --> Number of NHRP entries with same NBMA peer
        NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
        UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
     1 1.1.1.99              10.1.1.99    UP 00:00:01    SC

Sử dụng lệnh này để hiển thị thông tin phiên dành riêng cho Dynamic Multipoint VPN (DMVPN).

Bước 3

show ip nhrp nhs detail

Ví dụ:

Device# show ip nhrp nhs detail

Legend: E=Expecting replies, R=Responding, W=Waiting
Tunnel0:
10.1.1.99  RE NBMA Address: 1.1.1.99 priority = 0 cluster = 0  req-sent 44  req-failed 0  repl-recv 43 (00:01:37 ago)
 TrustSec Enabled

Sử dụng lệnh này để hiển thị thông tin Next Hop Resolution Protocol (NHRP) next hop server (NHS)

Bước 4

show tunnel endpoints

Ví dụ:

Device# show tunnel endpoints

 Tunnel0 running in multi-GRE/IP mode

 Endpoint transport 1.1.1.99 Refcount 3 Base 0xF3FB79B4 Create Time 00:03:15
   overlay 10.1.1.99 Refcount 2 Parent 0xF3FB79B4 Create Time 00:03:15
   Tunnel Subblocks:
      tunnel-nhrp-sb:
         NHRP subblock has 1 entries; TrustSec enabled

Sử dụng lệnh này để hiển thị nội dung của dữ liệu điểm cuối tunnel được sử dụng để phân giải địa chỉ điểm cuối tunnel, khi chạy tunnel ở chế độ multipoint generic routing encapsulation (mGRE).

Bước 5

show adjacency interface-type interface-number detail

Ví dụ:

Device# show adjaceny tunnel0 detail

Protocol Interface                 Address
IP       Tunnel0                   10.1.1.99(2)
                                   0 packets, 0 bytes
                                   epoch 0
                                   sourced in sev-epoch 1
                                   Encap length 32
                                   4500000000000000FF2FB76901010101
                                   01010163000089090800010100010000
                                   Tun endpt
                                   Next chain element:
.
.
.

Sử dụng lệnh này để hiển thị thông tin về giao thức

Kích Hoạt IPsec Inline Tagging Trên Mạng IKEv2

Cấu hình các lệnh cts sgt inline và crypto ikev2 cts sgt dẫn đến việc các gói được gắn thẻ 2 lần – mỗi lệnh 1 lần.

Đảm bảo IKEv2 và IPsec phải được cấu hình trước khi thực hiện kích hoạt IPsec Inline Tagging trên mạng IKEv2

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ: Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ: Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	crypto ikev2 cts sgt Ví dụ: Device(config)# crypto ikev2 cts sgt	Kích hoạt TrustSec trên DMVPN trên mạng IKEv2. Lệnh này chỉ hợp lệ đối với generic routing encapsulation (GRE) và đối với các chế độ giao diện tunnel.
Bước 4	exit Ví dụ: Device(config)# exit	Thoát khỏi chế độ cấu hình chung.

---

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Bộ định tuyến Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

• Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
• Hotline/Zalo: 0936.366.606
• Email: info@anbinhnet.com.vn
• Website: https://anbinhnet.com.vn/

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

• Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
• Hotline/Zalo: 0936.366.606
• Email: info@anbinhnet.com.vn
• Website: https://anbinhnet.com.vn/