1-Introducción
Continuemos nuestra discusión sobre los túneles GRE. Si no has leído el artículo relacionado con GRE, te recomiendo que eches un vistazo al artículo «Paso a paso : Entendiendo los túneles de GRE».
En esta sección mejoraremos la topología que construimos en el post anterior, agregando una capa de seguridad con IPsec.
Como recordatorio, ya configuramos la siguiente infraestructura:
- Un túnel GRE simple entre la Rama-1 y la Rama-2 con sus respectivas interfaces Serie como terminales.
¿Por qué usar GRE sobre IPsec en lugar de túneles IPsec puros?
El uso de túneles GRE junto con IPsec ofrece varias ventajas, principalmente porque IPsec no admite tráfico que no sea unicast. Esto puede generar problemas si planea usar servicios que requieren este tipo de tráfico, como protocolos de enrutamiento como OSPF o EIGRP.
Gracias al proceso de encapsulación GRE, el tráfico de difusión y multidifusión se encapsula en un paquete unicast que puede ser tratado por IPsec, lo que hace posible el enrutamiento dinámico entre pares separados por un área de red insegura.
Es posible que simplemente esté dispuesto a implementar IPsec si desea beneficiarse de las fortalezas de GRE y está preocupado por la privacidad (recuerde que GRE no cifra el tráfico). Además, los túneles GRE proporcionan un mayor nivel de resiliencia que IKE keepalives en realidad.
Desventajas
Por supuesto, hay varias desventajas de usar este tipo de solución, considere lo siguiente antes de obtener material técnico práctico:
- El uso de GRE consume ancho de banda e impacta en el rendimiento. Agregar cifrado puede alterar aún más los recursos de procesamiento y aumentar la latencia de la red. Asegúrese de que su infraestructura lo admita.
- Las entradas de ACL deben mantenerse manualmente, lo que puede resultar tedioso para las empresas medianas y grandes.
- El uso de túneles GRE sobre IPsec Punto a punto no escala bien. Si planea agregar varios sitios remotos, considere implementar otras soluciones como DMVPN, que crea túneles dinámicamente entre pares remotos al tiempo que reduce las tareas de administración administrativa.
2- Implementación
Nota: Para beneficiarse de las funciones de cifrado IPsec, asegúrese de que su versión de IOS las admita. Puede utilizar la herramienta Navegador de funciones de Cisco para obtener una lista completa de las funciones compatibles en http://www.cisco.com/go/fn
IKE Phase 1
Las opciones IPsec utilizadas por effective communications se definen en un conjunto de transformaciones. En este ejemplo de configuración, utilizamos AH y ESP con AES para el cifrado, y SHA para las comprobaciones de integridad respectivas:
| Sucursal-1 | Sucursal-2 |
|
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp lista de acceso IPSEC_ACL extendida Interfaz Serial0 / 0 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp lista de acceso IPSEC_ACL extendida Interfaz Serial0/1 |
El tráfico interesante que debe cifrarse a través del túnel es el tráfico que coincide con IPSEC_ACL. Ahora podemos simplemente agrupar todas las opciones del túnel en un mapa criptográfico, definiendo la dirección del par remoto y qué tráfico debe cifrarse mediante qué conjunto de transformaciones específico. La directiva ISAKMP no se especifica en el mapa de cifrado, ya que está relacionada con la fase 1 de ISAKMP y se negocia en función de la configuración de cada extremo.
El IPSEC_ACL debe reflejarse entre los 2 puntos finales. En otras palabras, el tráfico que necesita cifrar debe aceptarse en el otro lado. Como resultado, simplemente cambie las secciones de origen y destino para cada entrada en ambos enrutadores. Notará que coincidimos el tráfico que sale de la interfaz física: especificamos GRE como el tipo de tráfico y las direcciones de origen / destino del túnel
Finalmente, el mapa criptográfico se aplica en la interfaz física. Tenga en cuenta que la aplicación del mapa en la interfaz del túnel puede no funcionar como se esperaba.
Se debe generar el siguiente mensaje de registro:
% CRYPTO-6-ISAKMP_ON_OFF: ISAKMP está ACTIVADO
Verificación
Puede verificar y solucionar problemas de la fase 1 y 2 SA emitiendo ‘show crypto isakmp sa ‘y’ show crypto ipsec sa’, respectivamente.
Sucursal-1 (ISAKMP)
Branch-1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 ACTIVE
IPv6 Crypto ISAKMP SA
El segundo comando puede ayudar a monitorear cuántos paquetes han estado viajando a través del túnel:
Rama-1 (IPsec, extracto)
Branch-1 # show crypto ipsec sa
interfaz: Serial0 / 0
Etiqueta de mapa criptográfico: IPSEC_MAP, dirección local 203.0.0.2
vrf protegido: (ninguno)
identidad local (dirección/máscara/prot/puerto): (203.0.0.2/255.255.255.255/47/0)
remoto ident (dirección/máscara/prot/puerto): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 puerto 500
PERMISO, flags={origin_is_acl,}
#pkts encaps: 4, #pkts cifrar: 4, #pkts de digerir: 4
#pkts decaps: 4, #pkts descifrar: 4, #pkts verificar: 4
#pkts comprimido: 0, #pkts descomprimido: 0
#pkts no comprimido: 0, #pkts compr. error: 0
#pkts no descomprimido: 0, #pkts no descomprimido: 0
# errores de envío 1, #errores de recv 0
Si echamos un vistazo a cómo se ven los paquetes:
Tenga en cuenta que el ping de 10.0.1.1 a 10.0.2.1 viaja a su destino como un paquete encapsulado que se autentica (AH) y se cifra (ESP) de acuerdo con la configuración configurada anteriormente.
Nota: Es necesario generar tráfico interesante antes de que el túnel esté en pleno funcionamiento. Si está trabajando en un entorno de laboratorio, puede rastrear el tráfico ISAKMP y observar cómo funciona el proceso de intercambio.
Este artículo está destinado a compartir conocimientos. Si encuentra que falta algo, o que debería mejorarse, me complacería agregar dicha información.