1-Úvod
pojďme pokračovat v naší diskusi o tunelech GRE. Pokud jste nečetli článek týkající se GRE, doporučil bych vám podívat se na článek“ krok za krokem : porozumění tunelům GRE“.
v této části vylepšíme topologii, kterou jsme vytvořili v předchozím příspěvku, přidáním bezpečnostní vrstvy pomocí IPSec.
připomínáme, že jsme již nastavili následující infrastrukturu:
- jednoduchý tunel GRE mezi Branch-1 a Branch-2 s příslušným sériovým rozhraním jako koncovými body.
Proč používat GRE přes IPSec místo čistých IPSec tunelů?
použití tunelů GRE vedle IPSec má několik výhod, především proto, že IPSec nepodporuje jiný provoz než unicast. To může vést k problémům, pokud plánujete používat služby, které vyžadují takový typ provozu, jako jsou směrovací protokoly jako OSPF nebo EIGRP.
díky procesu zapouzdření GRE jsou přenosy vysílání a multicast zapouzdřeny do paketu unicast, který lze zpracovat pomocí IPSec, což umožňuje dynamické směrování mezi vrstevníky oddělenými nezabezpečenou síťovou oblastí.
můžete být jednoduše ochotni implementovat IPSec, pokud chcete těžit ze silných stránek GRE a máte obavy o soukromí (nezapomeňte, že GRE nešifruje provoz). Také tunely GRE poskytují vyšší úroveň odolnosti, než ve skutečnosti IKE keepalives.
nevýhody
samozřejmě existuje několik nevýhod použití tohoto druhu řešení, zvažte následující, než se dostanete do rukou technických věcí:
- použití GRE spotřebovává šířku pásma a ovlivňuje výkony. Přidání šifrování může ještě více změnit zdroje zpracování a zvýšit latenci sítě. Zajistěte, aby ji vaše infrastruktura podporovala.
- položky ACL musí být ručně udržovány, což může být pro středně velké společnosti únavné.
- použití tunelů Point-to-Point GRE-over-IPSec není v měřítku dobře. Pokud plánujete přidat více vzdálených webů, zvažte implementaci dalších řešení, jako je DMVPN, které dynamicky buduje tunely mezi vzdálenými vrstevníky a zároveň snižuje úkoly správy správy.
2- implementace
Poznámka: Chcete-li těžit z funkcí IPSec crypto, ujistěte se, že je vaše verze IOS podporuje. Pomocí nástroje Cisco Feature Navigator můžete získat úplný seznam podporovaných funkcí na http://www.cisco.com/go/fn
IKE Phase 1
možnosti IPSec používané efektivní komunikací jsou definovány v sadě transformací. V tomto příkladu konfigurace používáme AH I ESP s AES pro šifrování a SHA pro příslušné kontroly integrity:
větev-1 | větev-2 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-AES 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp ip access-list extended IPSEC_ACL Interface Serial0 / 0 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-AES 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp ip access-list extended IPSEC_ACL Interface Serial0/1 |
zajímavý provoz, který musí být šifrován tunelem, je provoz, který odpovídá IPSEC_ACL. Nyní můžeme jednoduše seskupit všechny možnosti tunelu do krypto-mapy definováním vzdálené peer adresy akterý provoz musí být šifrován, kterou konkrétní transformační sadou. Politika ISAKMP není specifikována v krypto-mapě, protože souvisí s fází ISAKMP 1 a vyjednává se v závislosti na konfiguraci každého koncového bodu.
Ipsec_acl musí být zrcadlen mezi 2 koncovými body. V pořadí slov, provoz, který potřebujete k šifrování, musí být přijat na druhé straně. V důsledku toho jednoduše přepněte zdrojové a cílové sekce pro každou položku na obou směrovačích. Všimnete si, že odpovídáme provozu opouštějícímu fyzické rozhraní: zadáváme GRE jako typ provozu a zdrojové / cílové adresy tunelu
nakonec se krypto-mapa aplikuje na fyzické rozhraní. Všimněte si, že použití mapy na rozhraní tunelu nemusí fungovat podle očekávání.
následující zpráva protokolu by měla být zvýšena:
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP je zapnutý
ověření
můžete ověřit a řešit fáze 1 a 2 SA vydáním „show crypto isakmp sa“ a „show crypto ipsec sa“.
větev-1 (ISAKMP)
Branch-1 # show crypto isakmp sa
IPv4 Crypto ISAKMP SA
DST src state conn-id stav slotu
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 aktivní
IPv6 Crypto ISAKMP SA
druhý příkaz může pomoci sledovat, kolik paketů cestovalo tunelem:
větev-1 (IPSec, výňatek)
Branch-1 # show crypto ipsec sa
rozhraní: Serial0 / 0
Crypto map tag: IPSEC_MAP, local addr 203.0.0.2
chráněný vrf: (Žádný)
local ident (addr/mask/prot / port): (203.0.0.2/255.255.255.255/47/0)
remote ident (addr/mask/prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
povolení, flags={origin_is_acl,}
# pkts encaps: 4, # pkts encrypt: 4, #pkts digest: 4
# pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
# pkts compressed: 0, # pkts dekompressed: 0
#pkts not compressed: 0, #pkts compr. nepodařilo se: 0
#pkts není dekomprimován: 0, # pkts dekomprimován selhal: 0
#odeslat chyby 1, #recv chyby 0
pokud se podíváme na to, jak vypadají pakety:
Všimněte si, že ping od 10.0.1.1 do 10.0.2.1 cestuje na místo určení jako zapouzdřený paket, který je ověřen (AH) a šifrován (ESP)podle výše nakonfigurovaných nastavení.
Poznámka: před úplným zprovozněním tunelu je třeba vytvořit zajímavý provoz. Pokud pracujete na laboratorním prostředí, můžete snif provoz ISAKMP a sledovat, jak proces výměny funguje.
tento článek je určen ke sdílení znalostí. Pokud zjistíte, že něco chybí, nebo by to mělo být vylepšeno, rád bych tyto informace přidal.