1-Introduction
GREトンネルについての議論を続けましょう。 GREに関連する記事を読んでいない場合は、「Step-by-Step:GREトンネルの理解」の記事をご覧になることをお勧めします。
このセクションでは、前回の記事で構築したトポロジを、IPSecを使用してセキュリティ層を追加することで改善します。
注意として、我々はすでに以下のインフラストラクチャを設定しています:
- 分岐-1と分岐-2の間の単純なGREトンネルで、それぞれのシリアルインタフェースをエンドポイントとします。
純粋なIPSecトンネルの代わりにGRE over IPSecを使用するのはなぜですか。
IPSECと一緒にGREトンネルを使用することには、主にIPSecがユニキャスト以外のトラフィックをサポートしていないため、いくつかの利点があります。 これは、OSPFやEIGRPなどのルーティングプロトコルなど、このような種類のトラフィックを必要とするサービスを使用する予定の場合に問題になる可能性があります。
GREカプセル化プロセスのおかげで、ブロードキャストとマルチキャストトラフィックはIPSecで処理できるユニキャストパケットにカプセル化され、安全でないネットワーク領域で分離されたピア間の動的ルーティングが可能になります。
GREの強みの恩恵を受けたいと思っていて、プライバシーに関心がある場合は、単にIPSecを実装することを望んでいるかもしれません(GREはトラフィックを暗号化しないことに注意してください)。 また、GREトンネルは、IKE keepalivesが実際に行うよりも高いレベルの弾力性を提供します。
短所
もちろん、この種のソリューションを使用することにはいくつかの欠点があります。:
- GREを使用すると、帯域幅を消費し、パフォーマンスに影響を与えます。 暗号化を追加すると、処理リソースがさらに変更され、ネットワーク遅延が増加する可能性があります。 インフラストラクチャがそれをサポートすることを確認します。
- ACLエントリは手動で維持する必要があり、これは中規模企業にとって面倒になる可能性があります。
- ポイントツーポイントGRE-over-IPSecトンネルを使用すると、スケールが適切ではありません。 複数のリモートサイトを追加する場合は、DMVPNなどの他のソリューションを実装することを検討してください。
2- 実装
メモ:IPSec暗号機能の恩恵を受けるには、IOSバージョンがそれらをサポートしていることを確認してください。 Cisco Feature Navigatorツールを使用して、サポートされている機能の完全なリストを取得できます。http://www.cisco.com/go/fn
IKEフェーズ1
有効な通信で使用されるIPSecオプションは、変換セッ この設定例では、暗号化にはAESでAHとESPの両方を使用し、それぞれの整合性チェックにはSHAを使用します:
| 支店-1 | 支店-2 |
|
10ipsec-isakmp ipアクセスリスト拡張IPSEC_ACL ipアクセスリスト拡張ipsec_ACL インターフェイスSerial0/0 |
10ipsec-isakmp ipアクセスリスト拡張IPSEC_ACL ipアクセスリスト拡張ipsec_ACL インターフェイスserial0/1 |
トンネルを介して暗号化する必要がある興味深いトラフィックは、IPSEC_ACLに一致するトラフィックです。 これで、リモートピアアドレスを定義し、特定の変換セットによってトラフィックを暗号化する必要があることによって、トンネルのすべてのオプ ISAKMPポリシーはISAKMPフェーズ1に関連しており、各エンドポイントの設定に応じてネゴシエートされるため、暗号マップでは指定されません。
IPSEC_ACLは、2つのエンドポイント間でミラーリングする必要があります。 注文の言葉では、暗号化する必要があるトラフィックは反対側で受け入れられなければなりません。 その結果、両方のルーターの各エントリのための送信元および宛先セクションを単に転換して下さい。 トラフィックタイプとしてGREを指定し、トンネルの送信元/宛先アドレスを指定します。
最後に、暗号マップが物理インターフェイスに適用されます。 Tunnelインターフェイスにマップを適用すると、期待どおりに動作しない場合があります。次のログメッセージが発生する必要があります。
%CRYPTO-6-ISAKMP_ON_OFF:ISAKMP is ON
Verification
それぞれ”show crypto isakmp sa”と”show crypto ipsec sa”を発行することで、フェーズ1と2のSAを確認し、トラブルシューテ
Branch-1(ISAKMP)
Branch-1#show crypto isakmp sa
Ipv4Crypto ISAKMP SA
dst src state conn-id slot status
203.0.0.6 203.0.0.2QM_IDLE1001 0ACTIVE
Ipv6Crypto ISAKMP SA
第二のコマンドは、通過しているパケットの数を監視するのに役立トンネル:
ブランチ-1()
インターフェイス:Serial0/0
暗号マップタグ:IPSEC_MAP,ローカルアドレス203.0.0.2
保護されたvrf:(なし)
ローカルident(addr/mask/prot/port):(203.0.0.2.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2/255.255.255.255/47/0)
リモートident(addr/mask/prot/port): (203.0.0.6/255.255.255.255/47/0)
pkts encaps:4,#pkts encrypt:4,#pkts digest:4
#pkts decaps:4,#pkts decrypt:4,#pkts verify:4
#pkts compressed:0,#pkts decompressed:0
#pkts圧縮されていない:0,#pkts解凍:0
#圧縮されていない:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:0,#pkts未圧縮:pkts compr. 失敗:0
#pkts解凍できません:0,#pkts解凍に失敗:0
#送信エラー1,#recvエラー0
パケットがどのように見えるかを見てみると:
10.0.1.1から10.0.2.1までのpingは、上記の設定に従って認証(AH)および暗号化(ESP)されるカプセル化されたパケットとして宛先に移動することに注意して
注:トンネルが完全に稼働する前に、いくつかの興味深いトラフィックを生成する必要があります。 ラボ環境で作業している場合は、ISAKMPトラフィックをsnifして、exchangeプロセスがどのように動作するかを観察できます。
この記事は知識を共有することを意図しています。 あなたが何かが欠けている、またはそれが改善されるべきであることを見つけた場合、私はそのような情報を追加して喜んでいます。