Giới thiệu tổng quan EoIP
Ehernet over IP (EoIP) là một giao thức của MikroTik RouterOS có thể tạo một Ethernet Tunnel (Layer 2 Tunnel) giữa hai Router có thể kết nối với nhau trên IPv4. EoIP Tunnel có thể hoạt động trên PPTP Tunnel (RFC 2637) hoặc bất kỳ kết nối nào khác tương thích với IP.
EoIP sử dụng tính năng Bridging để gộp toàn bộ lưu lượng giữa 2 cổng với nhau (bao gồm cổng ảo và cổng vật lý) thành một môi trường Ethernet (Layer 2)
Mạng có thể thiết lập với EoIP:
Giao thức EoIP đóng các Ethernet frame trong gói tin GRE và gửi chúng đến đầu còn lại của EoIP Tunnel.
Bài toán đặt ra: Site A và Site B kết nối với nhau ở cùng 1 Broadcast Domain, sử dụng các dịch vụ hoạt động trên Layer 2.
Mô hình mô phỏng:
Mô tả mô hình:
Để có thể hiểu rõ được phương thức hoạt động của EoIP, cần nắm các thông tin cơ bản về các giao thức liên quan mà EoIP sử dụng.
EoIP sử dụng GRE để thiết lập Tunnel vận chuyển data từ Station đến AP.
Bridge tạo môi trường Ethernet cho Interface vật lý nối vào laptop và Interface EoIP.
GRE – RFC 1701
GRE – Generic Routing Encapsulating là giao thức được phát triển đầu tiên bởi Cisco, giao thức này đóng gói một số kiểu gói tin vào bên trong các IP Tunnel để tạo thành các nối điểm-điểm (P2P) ảo. IP Tunnel chạy trên hạ tầng mạng IP, cần đảm bảo kết nối giữa 2 Peer với nhau bằng IP.
Mẫu gói tin GRE bao gồm có cấu trúc như sau:
*RFC 1701
Gói tin GRE Tunnel có cấu trúc như sau:
GRE thêm tối thiểu 24 Bytes vào gói tin, bao gồm 20 Bytes IP Header mới, 4 Bytes còn lại là GRE Header
EoIP sử dụng GRE thêm phần key 4 Byte, EoIP thêm GRE Header 28 Bytes.
Tương tự với cấu trúc:
EoIP sử dụng Key (optional) để định nghĩa Tunnel ID (2 Bytes) và các tính năng khác:
Nguồn: Githup
Brigde – IEE801.1D
Bridge được sử dụng để tạo môi trường Ethernet cho các Interface khác nhau, cho phép kết nối các các mạng LAN riêng biệt với nhau thành một mạng LAN, cùng môi trường Ethernet. Bridge kết nối các Interface hoạt động ở Layer 3 kết nối với nhau bằng Layer 2.
Ví dụ Router có 3 Interface hoạt động ở Layer 3, sử dụng Bridge cho phép 3 Interface kết nối với nhau như thiết bị Switch.
EoIP sử dụng Bridge để tạo môi trường Ethernet giữa Interface ảo EoIP và Interface vật lý kết đến mạng LAN.
Tính năng EoIP
Ethernet over IP là giao thức phát triển bởi Mikrotik RouterOS đã được giới thiệu ở mục 1. EoIP thêm 42 Bytes vào gói tin gốc gồm 8 Bytes GRE, 14 Bytes Ethernet, 20 Bytes IP.
Để thiết lập Tunnel EoIP cần các thông số sau:
Cấu trúc gói tin được truyền qua EoIP Tunnel:
*Ví dụ gói tin ICMP:
|
Tunnel |
Introduced |
Layer |
Port |
Default MTU |
Authentication Protocols |
Encryption Protocols |
Client to Site |
Bridging or BCP Supported |
|
PPtP |
Jul-99 |
3 |
TCP 1723 |
1450 |
PAP |
None |
Yes |
Yes |
|
CHAP |
MPPE 40bit |
|||||||
|
MSCHAP v1 |
MPPE 128bit |
|||||||
|
MSCHAP v2 |
|
|||||||
|
L2TP |
Aug-99 |
3 |
UDP 1701 |
1450 |
PAP |
None |
Yes |
Yes |
|
CHAP |
MPPE 40bit |
|||||||
|
MSCHAP v1 |
MPPE 128bit |
|||||||
|
MSCHAP v2 |
|
|||||||
|
OVPN |
May-01 |
3 |
TCP 1194 |
1500 |
None |
None |
Yes |
Yes |
|
MD5 |
Blowfish 128 |
|||||||
|
SHA1 |
AES 128 |
|||||||
|
AES 192 |
||||||||
|
|
AES 256 |
|||||||
|
EOIP |
Sep-02 |
3 |
N/A |
1500 |
N/A |
None |
No |
Yes |
Mô hình 1:
Mô hình mô phỏng tại GNS3:
Cấu hình:
R1:
/interface eoip
add local-address=192.168.12.1 name=Tunnel-R1-R3 remote-address=192.168.23.3 tunnel-id=13
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=Tunnel-R1-R3
add bridge=bridge1 interface=ether2
R3:
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add local-address=192.168.23.3 name=Tunnel-R3-R1 remote-address=192.168.12.1 tunnel-id=13
/interface bridge port
add bridge=bridge1 interface=Tunnel-R3-R1
add bridge=bridge1 interface=ether3
Kết quả: Sử dụng ICMP test
Thông tin gói tin được bắt bằng Wireshark
Tunnel có thể được bảo mật bằng IPsec, tại bước thiết lập Tunnel bổ sung lệnh thiết lập IPSec:
R1:
/interface eoip
add allow-fast-path=no ipsec-secret=123 local-address=192.168.12.1 name=Tunnel-R1-R3 remote-address=192.168.23.3 tunnel-id=13
R3:
/interface eoip
add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.3 name=Tunnel-R1-R3 remote-address=192.168.12.1 tunnel-id=13
Mô hình 2: Kết nối Site A, Site B & Site C
Lúc này: Có thể hiểu Site A là HeadQuater (HQ) điểm tập kết cho Site B và Site C
Mô hình mô phỏng GNS3:
Cấu hình:
R1:
/interface eoip
add local-address=192.168.12.1 name=Tunnel-R1-R4 remote-address=192.168.24.4 tunnel-id=14
/interface bridge port
add bridge=bridge1 interface=Tunnel-R1-R4
add bridge=bridge1 interface=ether1
R3:
/interface eoip
add local-address=192.168.23.3 name=Tunnel-R3-R1 remote-address=192.168.12.1 tunnel-id=13
/interface bridge port
add bridge=bridge1 interface=Tunnel-R3-R1
add bridge=bridge1 interface=ether2
R4:
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add local-address=192.168.24.4 name=Tunnel-R4-R1 remote-address=192.168.12.1 tunnel-id=14
/interface bridge port
add bridge=bridge1 interface=Tunnel-R4-R1
add bridge=bridge1 interface=ether1
Tài liệu tham khảo:
https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge
https://rickfreyconsulting.com/mikrotik-vpns/
