1- Einführung
Lassen Sie uns unsere Diskussion über GRE-Tunnel fortsetzen. Wenn Sie den Artikel zu GRE nicht gelesen haben, würde ich Ihnen empfehlen, sich den Artikel „Schritt für Schritt: GRE-Tunnel verstehen“ anzusehen.
In diesem Abschnitt verbessern wir die Topologie, die wir im vorherigen Beitrag erstellt haben, indem wir eine Sicherheitsschicht mit IPSec hinzufügen.
Zur Erinnerung, wir haben bereits die folgende Infrastruktur eingerichtet:
- Ein einfacher GRE-Tunnel zwischen Zweig 1 und Zweig 2 mit ihrer jeweiligen seriellen Schnittstelle als Endpunkte.
Warum GRE über IPSec anstelle von reinen IPSec-Tunneln verwenden?
Die Verwendung von GRE-Tunneln neben IPSec bietet mehrere Vorteile, vor allem, weil IPSec keinen anderen Datenverkehr als Unicast unterstützt. Dies kann zu Problemen führen, wenn Sie Dienste verwenden möchten, die einen solchen Datenverkehr erfordern, z. B. Routingprotokolle wie OSPF oder EIGRP.
Dank des GRE-Kapselungsprozesses wird Broadcast- und Multicast-Datenverkehr in ein Unicast-Paket gekapselt, das von IPSec behandelt werden kann, wodurch dynamisches Routing zwischen Peers ermöglicht wird, die durch einen unsicheren Netzwerkbereich getrennt sind.
Möglicherweise sind Sie einfach bereit, IPSec zu implementieren, wenn Sie von den Stärken von GRE profitieren möchten und sich um den Datenschutz kümmern (denken Sie daran, dass GRE den Datenverkehr nicht verschlüsselt). Außerdem bieten GRE-Tunnel ein höheres Maß an Ausfallsicherheit als IKE Keepalives.
Nachteile
Natürlich gibt es mehrere Nachteile bei der Verwendung dieser Art von Lösung. Beachten Sie Folgendes, bevor Sie sich mit technischen Dingen befassen:
- Die Verwendung von GRE verbraucht Bandbreite und wirkt sich auf die Leistung aus. Das Hinzufügen von Verschlüsselung kann die Verarbeitungsressourcen noch weiter verändern und die Netzwerklatenz erhöhen. Stellen Sie sicher, dass Ihre Infrastruktur dies unterstützt.
- ACL-Einträge müssen manuell gepflegt werden, was für mittlere und große Unternehmen mühsam sein kann.
- Die Verwendung von Punkt-zu-Punkt-GRE-over-IPSec-Tunneln lässt sich nicht gut skalieren. Wenn Sie mehrere Remote-Standorte hinzufügen möchten, sollten Sie andere Lösungen implementieren, z. B. DMVPN, das dynamisch Tunnel zwischen Remote-Peers erstellt und gleichzeitig die administrativen Verwaltungsaufgaben reduziert.
2- Implementierung
Hinweis: Um von den IPSec-Kryptofunktionen zu profitieren, stellen Sie sicher, dass Ihre IOS-Version diese unterstützt. Sie können das Cisco Feature Navigator-Tool verwenden, um eine vollständige Liste der unterstützten Funktionen unter http://www.cisco.com/go/fn
IKE Phase 1
zu erhalten. In diesem Konfigurationsbeispiel verwenden wir sowohl AH als auch ESP mit AES für die Verschlüsselung und SHA für die jeweiligen Integritätsprüfungen:
Zweig-1 | Zweig-2 |
crypto ipsec transform-set STARKE ah-sha-hmac esp-aes 256 esp-sha-hmac crypto karte IPSEC_MAP 10 ipsec-isakmp ip access-liste erweitert IPSEC_ACL Schnittstelle Serial0/0 |
crypto ipsec transform-set STARKE ah-sha-hmac esp-aes 256 esp-sha-hmac crypto karte IPSEC_MAP 10 ipsec-isakmp ip access-liste erweitert IPSEC_ACL Schnittstelle Serial0/1 |
Der einzige Datenverkehr, der durch den Tunnel verschlüsselt werden muss, ist der Datenverkehr, der der IPSEC_ACL entspricht. Jetzt können wir einfach alle Optionen des Tunnels in einer Kryptokarte gruppieren, indem wir die Remote-Peer-Adresse definieren undwelcher Datenverkehr durch welchen bestimmten Transformationssatz verschlüsselt werden muss. Die ISAKMP-Richtlinie wird in der Crypto-Map nicht angegeben, da sie sich auf ISAKMP Phase 1 bezieht und abhängig von der Konfiguration jedes Endpunkts ausgehandelt wird.
Die IPSEC_ACL muss zwischen den 2 Endpunkten gespiegelt werden. Mit anderen Worten, der zu verschlüsselnde Datenverkehr muss auf der anderen Seite akzeptiert werden. Wechseln Sie daher einfach die Quell- und Zielabschnitte für jeden Eintrag auf beiden Routern. Sie werden feststellen, dass wir den Verkehr, der die physische Schnittstelle verlässt, abgleichen: Wir geben GRE als Verkehrstyp und die Quell- / Zieladressen des Tunnels an
Schließlich wird die Kryptokarte auf die physische Schnittstelle angewendet. Beachten Sie, dass das Anwenden der Karte auf die Tunnelschnittstelle möglicherweise nicht wie erwartet funktioniert.
Die folgende Protokollmeldung sollte ausgelöst werden:
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP ist EINGESCHALTET
Überprüfung
Sie können die Phase 1 und 2 SA überprüfen und beheben, indem Sie ’show crypto isakmp sa‘ bzw.
Zweig-1 (ISAKMP)
Branch-1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 AKTIV
IPv6 Crypto ISAKMP SA
Der zweite Befehl kann helfen, zu überwachen, wie viele Pakete unterwegs waren durch den Tunnel:
Branch-1 (IPSec, Auszug)
Branch-1#show crypto ipsec sa
Schnittstelle: Serial0/0
Crypto map Tag: IPSEC_MAP, lokale Adresse 203.0.0.2
geschützte vrf: (keine)
lokale ident (addr / mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
remote-ident (addr / Maske / prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
ZULASSEN, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts komprimiert: 0, #pkts dekomprimiert: 0
#pkts nicht komprimiert: 0, #pkts compr. fehlgeschlagen: 0
#pkts nicht dekomprimiert: 0, #pkts Dekomprimieren fehlgeschlagen: 0
# Fehler senden 1, #recv-Fehler 0
Wenn wir uns ansehen, wie Pakete aussehen:
Beachten Sie, dass der Ping von 10.0.1.1 bis 10.0.2.1 als gekapseltes Paket an sein Ziel gesendet wird, das gemäß den oben konfigurierten Einstellungen authentifiziert (AH) und verschlüsselt (ESP) ist.
Hinweis: Bevor der Tunnel voll funktionsfähig ist, muss ein interessanter Datenverkehr generiert werden. Wenn Sie in einer Laborumgebung arbeiten, können Sie den ISAKMP-Datenverkehr durchsuchen und beobachten, wie der Austauschprozess funktioniert.
Dieser Artikel soll Wissen teilen. Wenn Sie feststellen, dass etwas fehlt oder verbessert werden sollte, würde ich mich freuen, solche Informationen hinzuzufügen.