1 – Wprowadzenie
kontynuujmy naszą dyskusję o tunelach GRE. Jeśli nie czytałeś artykułu związanego z GRE, polecam Ci zajrzeć do artykułu „krok po kroku: zrozumienie tuneli GRE”.
w tej sekcji poprawimy topologię zbudowaną w poprzednim poście, dodając warstwę bezpieczeństwa z IPSec.
dla przypomnienia stworzyliśmy już następującą infrastrukturę:
- prosty tunel GRE pomiędzy Branch-1 i Branch-2 z odpowiednim interfejsem szeregowym jako punktami końcowymi.
Dlaczego używać GRE over IPSec zamiast czystych tuneli IPSec?
istnieje kilka korzyści z używania tuneli GRE obok IPSec, głównie dlatego, że IPSec nie obsługuje ruchu innego niż unicast. Może to prowadzić do problemów, jeśli planujesz korzystać z usług wymagających takiego rodzaju ruchu, takich jak protokoły routingu, takie jak OSPF lub EIGRP.
dzięki procesowi enkapsulacji GRE ruch broadcast i multicast jest zamknięty w pakiecie unicast, który może być traktowany przez IPSec, co umożliwia dynamiczne routing między rówieśnikami oddzielonymi niebezpiecznym obszarem sieci.
możesz po prostu chcieć zaimplementować IPSec, jeśli chcesz korzystać z mocnych stron GRE i dbasz o prywatność (pamiętaj, że GRE nie szyfruje ruchu). Ponadto tunele GRE zapewniają wyższy poziom odporności niż Ike keepalives.
wady
oczywiście istnieje kilka wad korzystania z tego rodzaju rozwiązania, rozważ następujące rzeczy przed uzyskaniem rzeczy technicznych:
- Korzystanie z GRE zużywa przepustowość i wpływa na wydajność. Dodanie szyfrowania może jeszcze bardziej zmienić zasoby przetwarzania i zwiększyć opóźnienie sieci. Upewnij się, że Twoja infrastruktura będzie go wspierać.
- wpisy ACL muszą być ręcznie utrzymywane, co może stać się uciążliwe dla średnich i dużych firm.
- Korzystanie z tuneli Gre-over-IPSec punkt-punkt nie skaluje się dobrze. Jeśli planujesz dodać wiele zdalnych witryn, rozważ wdrożenie innych rozwiązań, takich jak DMVPN, który dynamicznie buduje tunele między zdalnymi rówieśnikami, zmniejszając jednocześnie zadania zarządzania administracyjnego.
2- implementacja
Uwaga: Aby korzystać z funkcji IPSec crypto, upewnij się, że Twoja wersja IOS je obsługuje. Możesz użyć narzędzia Cisco Feature Navigator, aby uzyskać pełną listę obsługiwanych funkcji pod adresem http://www.cisco.com/go/fn
IKE Phase 1
opcje IPSec używane przez skuteczną komunikację są zdefiniowane w zestawie transformacji. W tym przykładzie konfiguracji używamy zarówno AH, jak i ESP z AES do szyfrowania, a SHA do odpowiednich kontroli integralności:
Oddział-1 | Oddział-2 |
crypto ipsec transform-set STRONG ah-sha-HMAC esp-AES 256 esp-sha-hmac Crypto map IPSEC_MAP 10 ipsec-isakmp IP access-list Rozszerzony IPSEC_ACL interfejs Serial0 / 0 |
crypto ipsec transform-set STRONG ah-sha-HMAC esp-AES 256 esp-sha-hmac Crypto map IPSEC_MAP 10 ipsec-isakmp IP access-list Rozszerzony IPSEC_ACL interface Serial0/1 |
interesującym ruchem, który musi być zaszyfrowany przez tunel, jest ruch zgodny z IPSEC_ACL. Teraz możemy po prostu pogrupować wszystkie opcje tunelu w krypto-mapę, definiując zdalny adres peera i który ruch musi być zaszyfrowany, za pomocą którego ustawiony jest konkretny transform. Polityka ISAKMP nie jest określona w crypto-map, ponieważ jest związana z fazą 1 ISAKMP i negocjowana w zależności od konfiguracji każdego punktu końcowego.
IPSEC_ACL musi być dublowany pomiędzy dwoma punktami końcowymi. W kolejności słów ruch, który musisz zaszyfrować, musi zostać zaakceptowany po drugiej stronie. W rezultacie wystarczy przełączyć sekcje źródła i miejsca docelowego dla każdego wpisu na obu routerach. Zauważysz, że dopasowujemy ruch wychodzący z fizycznego interfejsu: określamy GRE jako typ ruchu i adresy źródłowe / docelowe tunelu
wreszcie, crypto-map jest stosowana na fizycznym interfejsie. Należy pamiętać, że zastosowanie mapy w interfejsie tunelu może nie działać zgodnie z oczekiwaniami.
należy wywołać następujący komunikat dziennika:
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP jest włączony
weryfikacja
możesz zweryfikować i rozwiązać fazę 1 i 2 SA, wydając odpowiednio „show Crypto isakmp sa” I „show Crypto ipsec sa”.
Oddział-1 (ISAKMP)
Branch-1#show Crypto isakmp sa
IPv4 Crypto ISAKMP sa
DST src state Conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 aktywny
IPv6 Crypto ISAKMP SA
drugie polecenie może pomóc monitorować, ile paczki podróżowały przez tunel:
Oddział-1 (IPSec, fragment)
Branch-1 # show Crypto ipsec sa
interface: Serial0 / 0
Crypto map tag: IPSEC_MAP, local addr 203.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
zdalny ident (addr / mask / prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
jeśli przyjrzymy się jak wyglądają Pakiety:
zauważ, że ping od 10.0.1.1 do 10.0.2.1 podróżuje do miejsca przeznaczenia jako zamknięty pakiet, który jest uwierzytelniony (AH) i zaszyfrowany (ESP) zgodnie z ustawieniami skonfigurowanymi powyżej.
Uwaga: przed pełnym uruchomieniem tunelu należy wygenerować interesujący ruch. Jeśli pracujesz w środowisku laboratoryjnym, możesz przeciąć ruch ISAKMP i obserwować, jak działa proces wymiany.
ten artykuł ma na celu dzielenie się wiedzą. Jeśli znajdziesz coś brakuje, lub że należy poprawić, byłbym szczęśliwy, aby dodać takie informacje.