1 – Introduction
Let ’ s continue our discussion about GRE tunnels. Jos et lukenut GRE: hen liittyvää artikkelia, suosittelen katsomaan ”Step-by-Step: Understanding GRE Tunnels” – artikkelia.
tässä osiossa parannamme edellisessä viestissä rakentamaamme topologiaa lisäämällä suojauskerroksen IPSec: llä.
muistutuksena olemme jo perustaneet seuraavan infrastruktuurin:
- yksinkertainen Gre-tunneli Branch-1: n ja Branch-2: n välillä ja niiden sarjaliitäntä päätepisteinä.
Miksi käyttää GRE: tä IPSec-tunneleiden sijasta?
Gre-tunnelien käyttämisestä IPSec: n rinnalla on useita etuja lähinnä siksi, että IPSec ei tue muuta liikennettä kuin unicast. Tämä voi aiheuttaa ongelmia, jos aiot käyttää palveluja, jotka vaativat tällaista liikennettä, kuten reititysprotokollia, kuten OSPF tai EIGRP.
GRE-kapselointiprosessin ansiosta lähetys-ja monilähetysliikenne kapseloidaan unicast-pakettiin, jota voidaan käsitellä IPSec: llä, mikä mahdollistaa dynaamisen reitityksen epävarmalla verkkoalueella erotettujen vertaisryhmien välillä.
voit yksinkertaisesti olla halukas ottamaan IPSec: n käyttöön, jos haluat hyötyä GRE: n vahvuuksista ja huolehtia yksityisyydestä (muista, että GRE ei salaa liikennettä). GRE-tunnelit tarjoavat myös suuremman joustavuuden kuin IKE-tunnelit todellisuudessa tekevät.
haitat
tällaisen ratkaisun käytössä on tietenkin useita haittoja, harkitse seuraavaa ennen kuin saat käsiisi teknisiä asioita:
- GRE: n käyttö kuluttaa kaistanleveyttä ja vaikuttaa suorituskykyyn. Salauksen lisääminen voi muuttaa prosessoriresursseja entisestään ja lisätä verkon latenssia. Varmista, että infrastruktuuri tukee sitä.
- ACL-merkinnät on ylläpidettävä käsin, mikä voi käydä työlääksi keskisuurille yrityksille.
- point-to-Point GRE-over-IPSec-tunnelien käyttäminen ei ole kovin laajaa. Jos aiot lisätä useita etäsivustoja, harkitse muiden ratkaisujen toteuttamista, kuten DMVPN: n, joka dynaamisesti rakentaa tunneleita etätovereiden välille vähentäen samalla hallintotehtäviä.
2- toteutus
huomautus: jotta voit hyötyä IPSec-salausominaisuuksista, varmista, että IOS-versiosi tukee niitä. Voit käyttää Ciscon Ominaisuusnavigaattorityökalua saadaksesi täydellisen luettelon tuetuista ominaisuuksista kohdassa http://www.cisco.com/go/fn
IKE-Vaihe 1
tehokkaan viestinnän käyttämät IPSec-asetukset on määritelty muunnosjoukossa. Tässä konfiguraatioesimerkissä käytämme sekä AH: ta että ESP: tä AES: n kanssa salaukseen ja SHA: ta vastaaviin eheystarkistuksiin.:
| Branch-1 | Branch-2 |
|
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp ip access-list extended IPSEC_ACL Interface Serial0 / 0 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map IPSEC_MAP 10 ipsec-isakmp ip access-list extended IPSEC_ACL interface serial0/1 |
mielenkiintoinen liikenne, joka on salattava tunnelin kautta on liikennettä, joka vastaa IPSEC_ACL. Nyt voimme yksinkertaisesti ryhmitellä kaikki tunnelin vaihtoehdot salauskartaksi määrittelemällä peer – etäosoitteen ja minkä liikenteen on salattava, minkä tietyn muunnoksen avulla. Salauskartassa ei ole määritelty isakmp-käytäntöä, koska se liittyy isakmp-vaiheeseen 1 ja siitä neuvotellaan kunkin päätepisteen kokoonpanon mukaan.
IPSEC_ACL on peilattava kahden päätepisteen välillä. Järjestyssanoissa salattava liikenne on hyväksyttävä toisella puolella. Tämän seurauksena, yksinkertaisesti vaihtaa lähde ja kohde osiot kunkin merkinnän molemmissa reitittimissä. Huomaat, että yhdistämme fyysisen rajapinnan poistuvan liikenteen: määritämme GRE: n liikennetyypiksi ja tunnelin lähde- / kohdeosoitteet
lopuksi, salauskartta käytetään fyysisessä rajapinnassa. Huomaa, että kartan soveltaminen tunnelin rajapinnassa ei välttämättä toimi odotetulla tavalla.
seuraava lokiviesti on nostettava:
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP on
Verification
voit tarkistaa ja vianmääritys vaiheen 1 ja 2 SA antamalla vastaavasti ’Näytä crypto isakmp sa’ ja ’näytä crypto ipsec sa’.
haara-1 (ISAKMP)
Branch-1#show crypto isakmp sa
IPv4 Crypto Isakmp SA
DST src state conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 ACTIVE
IPv6 Crypto ISAKMP SA
The second command can help monitoring how many packets have been traveled tunnelin läpi:
haara-1 (IPSec, ote)
Branch-1#show crypto ipsec sa
interface: Serial0/0
Crypto map tag: IPSEC_MAP, local addr 203.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
etätunniste (addr/mask / prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
PERMIT, flags={origin_is_acl,}
#PKTS encaps: 4, #pkts decrypt: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decrupressed: 0
#PKTS not compressed: 0, #PKTS compr. epäonnistui: 0
#pkts ei purettu: 0, #pkts Purku epäonnistui: 0
#lähetä virheet 1, #recv virheet 0
jos katsomme, miltä paketit näyttävät:
huomaa, että ping 10.0.1.1-10.0.2.1 kulkee määränpäähänsä kapseloituna pakettina, joka on todennettu (AH) ja salattu (ESP) edellä määritettyjen asetusten mukaisesti.
Huom: ennen kuin tunneli on täysin toimintakuntoinen, on luotava mielenkiintoista liikennettä. Jos työskentelet laboratorio ympäristössä, voit snif isakmp liikennettä ja tarkkailla, miten vaihto prosessi toimii.
tämän artikkelin tarkoituksena on jakaa tietoa. Jos huomaatte, että jotain puuttuu tai että sitä pitäisi parantaa, lisäisin mielelläni tällaisen tiedon.