0 Komentarzy

Written by on in Articles

1 – Wprowadzenie

kontynuujmy naszą dyskusję o tunelach GRE. Jeśli nie czytałeś artykułu związanego z GRE, polecam Ci zajrzeć do artykułu „krok po kroku: zrozumienie tuneli GRE”.

w tej sekcji poprawimy topologię zbudowaną w poprzednim poście, dodając warstwę bezpieczeństwa z IPSec.

dla przypomnienia stworzyliśmy już następującą infrastrukturę:

  • prosty tunel GRE pomiędzy Branch-1 i Branch-2 z odpowiednim interfejsem szeregowym jako punktami końcowymi.

Dlaczego używać GRE over IPSec zamiast czystych tuneli IPSec?

istnieje kilka korzyści z używania tuneli GRE obok IPSec, głównie dlatego, że IPSec nie obsługuje ruchu innego niż unicast. Może to prowadzić do problemów, jeśli planujesz korzystać z usług wymagających takiego rodzaju ruchu, takich jak protokoły routingu, takie jak OSPF lub EIGRP.

dzięki procesowi enkapsulacji GRE ruch broadcast i multicast jest zamknięty w pakiecie unicast, który może być traktowany przez IPSec, co umożliwia dynamiczne routing między rówieśnikami oddzielonymi niebezpiecznym obszarem sieci.

możesz po prostu chcieć zaimplementować IPSec, jeśli chcesz korzystać z mocnych stron GRE i dbasz o prywatność (pamiętaj, że GRE nie szyfruje ruchu). Ponadto tunele GRE zapewniają wyższy poziom odporności niż Ike keepalives.

wady

oczywiście istnieje kilka wad korzystania z tego rodzaju rozwiązania, rozważ następujące rzeczy przed uzyskaniem rzeczy technicznych:

  • Korzystanie z GRE zużywa przepustowość i wpływa na wydajność. Dodanie szyfrowania może jeszcze bardziej zmienić zasoby przetwarzania i zwiększyć opóźnienie sieci. Upewnij się, że Twoja infrastruktura będzie go wspierać.
  • wpisy ACL muszą być ręcznie utrzymywane, co może stać się uciążliwe dla średnich i dużych firm.
  • Korzystanie z tuneli Gre-over-IPSec punkt-punkt nie skaluje się dobrze. Jeśli planujesz dodać wiele zdalnych witryn, rozważ wdrożenie innych rozwiązań, takich jak DMVPN, który dynamicznie buduje tunele między zdalnymi rówieśnikami, zmniejszając jednocześnie zadania zarządzania administracyjnego.

2- implementacja

Uwaga: Aby korzystać z funkcji IPSec crypto, upewnij się, że Twoja wersja IOS je obsługuje. Możesz użyć narzędzia Cisco Feature Navigator, aby uzyskać pełną listę obsługiwanych funkcji pod adresem http://www.cisco.com/go/fn

IKE Phase 1

opcje IPSec używane przez skuteczną komunikację są zdefiniowane w zestawie transformacji. W tym przykładzie konfiguracji używamy zarówno AH, jak i ESP z AES do szyfrowania, a SHA do odpowiednich kontroli integralności:

Oddział-1 Oddział-2

crypto ipsec transform-set STRONG ah-sha-HMAC esp-AES 256 esp-sha-hmac

Crypto map IPSEC_MAP 10 ipsec-isakmp
set peer 203.0.0.6
set transform-set STRONG
dopasuj adres IPSEC_ACL

IP access-list Rozszerzony IPSEC_ACL
permit GRE host 203.0.0.2 host 203.0.0.6

interfejs Serial0 / 0
Mapa kryptograficzna IPSEC_MAP

crypto ipsec transform-set STRONG ah-sha-HMAC esp-AES 256 esp-sha-hmac

Crypto map IPSEC_MAP 10 ipsec-isakmp
set peer 203.0.0.2
set transform-set STRONG
dopasuj adres IPSEC_ACL

IP access-list Rozszerzony IPSEC_ACL
permit GRE host 203.0.0.6 host 203.0.0.2

interface Serial0/1
Crypto map ipsec_map

interesującym ruchem, który musi być zaszyfrowany przez tunel, jest ruch zgodny z IPSEC_ACL. Teraz możemy po prostu pogrupować wszystkie opcje tunelu w krypto-mapę, definiując zdalny adres peera i który ruch musi być zaszyfrowany, za pomocą którego ustawiony jest konkretny transform. Polityka ISAKMP nie jest określona w crypto-map, ponieważ jest związana z fazą 1 ISAKMP i negocjowana w zależności od konfiguracji każdego punktu końcowego.

IPSEC_ACL musi być dublowany pomiędzy dwoma punktami końcowymi. W kolejności słów ruch, który musisz zaszyfrować, musi zostać zaakceptowany po drugiej stronie. W rezultacie wystarczy przełączyć sekcje źródła i miejsca docelowego dla każdego wpisu na obu routerach. Zauważysz, że dopasowujemy ruch wychodzący z fizycznego interfejsu: określamy GRE jako typ ruchu i adresy źródłowe / docelowe tunelu

wreszcie, crypto-map jest stosowana na fizycznym interfejsie. Należy pamiętać, że zastosowanie mapy w interfejsie tunelu może nie działać zgodnie z oczekiwaniami.

należy wywołać następujący komunikat dziennika:

%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP jest włączony

weryfikacja

możesz zweryfikować i rozwiązać fazę 1 i 2 SA, wydając odpowiednio „show Crypto isakmp sa” I „show Crypto ipsec sa”.

Oddział-1 (ISAKMP)

Branch-1#show Crypto isakmp sa
IPv4 Crypto ISAKMP sa
DST src state Conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 aktywny

IPv6 Crypto ISAKMP SA

drugie polecenie może pomóc monitorować, ile paczki podróżowały przez tunel:

Oddział-1 (IPSec, fragment)

Branch-1 # show Crypto ipsec sa
interface: Serial0 / 0
Crypto map tag: IPSEC_MAP, local addr 203.0.0.2

protected vrf: (none)
local ident (addr/mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
zdalny ident (addr / mask / prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

jeśli przyjrzymy się jak wyglądają Pakiety:

zauważ, że ping od 10.0.1.1 do 10.0.2.1 podróżuje do miejsca przeznaczenia jako zamknięty pakiet, który jest uwierzytelniony (AH) i zaszyfrowany (ESP) zgodnie z ustawieniami skonfigurowanymi powyżej.

Uwaga: przed pełnym uruchomieniem tunelu należy wygenerować interesujący ruch. Jeśli pracujesz w środowisku laboratoryjnym, możesz przeciąć ruch ISAKMP i obserwować, jak działa proces wymiany.

ten artykuł ma na celu dzielenie się wiedzą. Jeśli znajdziesz coś brakuje, lub że należy poprawić, byłbym szczęśliwy, aby dodać takie informacje.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.