1 – Introducere
să continuăm discuția noastră despre tunelurile GRE. Dacă nu ați citit articolul legat de GRE, v-aș recomanda să aruncați o privire la articolul „pas cu pas : înțelegerea tunelurilor GRE”.
în această secțiune vom îmbunătăți topologia pe care am construit-o în postarea anterioară, adăugând un strat de securitate cu IPSec.
ca o reamintire, am creat deja următoarea infrastructură:
- un tunel GRE simplu între Branch-1 și Branch-2 cu interfața lor serială respectivă ca puncte finale.
de ce să folosiți GRE peste IPSec în loc de tuneluri IPSec pure?
există mai multe avantaje ale utilizării tunelurilor GRE alături de IPSec, în primul rând pentru că IPSec nu acceptă alt trafic decât unicast. Acest lucru poate duce la probleme dacă intenționați să utilizați servicii care necesită un astfel de tip de trafic, cum ar fi protocoalele de rutare precum OSPF sau EIGRP.
datorită procesului de încapsulare GRE, traficul de difuzare și multicast sunt încapsulate într-un pachet unicast care poate fi tratat de IPSec, făcând posibilă rutarea dinamică între colegii separați de o zonă de rețea nesigură.
este posibil să fiți pur și simplu dispus să implementați IPSec dacă doriți să beneficiați de punctele forte ale GRE și sunteți preocupat de confidențialitate (amintiți-vă că GRE nu criptează traficul). De asemenea, tunelurile GRE oferă un nivel mai ridicat de reziliență decât fac de fapt Ike keepalives.
dezavantaje
desigur, există mai multe dezavantaje ale utilizării acestui tip de soluție, luați în considerare următoarele înainte de a pune mâna pe lucruri tehnice:
- utilizarea GRE consumă lățime de bandă și performanțe de impact. Adăugarea de criptare poate modifica și mai mult resursele de procesare și poate crește latența rețelei. Asigurați-vă că infrastructura dvs. o va susține.
- intrările ACL trebuie întreținute manual, ceea ce poate deveni obositor pentru companiile mijlocii și mari.
- utilizarea tunelurilor GRE-over-IPSec punct-la-punct nu se scalează bine. Dacă intenționați să adăugați mai multe site-uri la distanță, luați în considerare implementarea altor soluții, cum ar fi DMVPN, care construiește dinamic tuneluri între colegii de la distanță, reducând în același timp sarcinile de gestionare administrativă.
2- implementare
Notă: Pentru a beneficia de caracteristicile IPSec crypto, asigurați-vă că versiunea dvs. IOS le acceptă. Puteți utiliza instrumentul Cisco Feature Navigator pentru a obține o listă completă a caracteristicilor acceptate la http://www.cisco.com/go/fn
Ike Faza 1
opțiunile IPSec utilizate de comunicații eficiente sunt definite într-un set de transformări. În acest exemplu de configurare, folosim atât AH, cât și ESP cu AES pentru criptare și SHA pentru verificările de integritate respective:
ramură-1 | ramură-2 |
crypto ipsec transforma-set puternic ah-Sha-hmac esp-AES 256 esp-Sha-hmac crypto hartă IPSEC_MAP 10 ipsec-isakmp IP acces-listă extinsă IPSEC_ACL interfață Serial0 / 0 |
crypto ipsec transforma-set puternic ah-Sha-hmac esp-AES 256 esp-Sha-hmac crypto hartă IPSEC_MAP 10 ipsec-isakmp IP acces-listă extinsă IPSEC_ACL interfață serial0/1 |
traficul interesant care trebuie criptat prin tunel este traficul care se potrivește cu IPSEC_ACL. Acum putem pur și simplu să grupăm toate opțiunile tunelului într-o cripto-hartă, definind adresa de la egal la egal șicare trafic trebuie criptat prin care set de transformări specifice. Politica ISAKMP nu este specificată în cripto-hartă, deoarece este legată de faza 1 ISAKMP și negociată în funcție de configurația fiecărui punct final.
IPSEC_ACL trebuie să fie oglindit între cele 2 puncte finale. În cuvintele de ordine, traficul pe care trebuie să-l criptați trebuie acceptat de cealaltă parte. Drept urmare, pur și simplu comutați secțiunile sursă și destinație pentru fiecare intrare de pe ambele routere. Veți observa că potrivim traficul care iese din interfața fizică: specificăm GRE ca tip de trafic și adresele sursă / destinație ale tunelului
în cele din urmă, cripto-Harta este aplicată pe interfața fizică. Rețineți că aplicarea hărții pe interfața tunelului poate să nu funcționeze conform așteptărilor.
următorul mesaj de jurnal ar trebui să fie ridicat:
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP este activat
verificare
puteți verifica și depana faza 1 și 2 SA prin emiterea ‘show crypto isakmp sa’ și ‘show Crypto ipsec sa’, respectiv.
Branch-1 (ISAKMP)
Branch-1#arată crypto isakmp sa
IPv4 Crypto ISAKMP sa
DST src status Conn-id slot status
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 activ
IPv6 Crypto ISAKMP SA
a doua comandă poate ajuta la monitorizarea numărului de pachete care au călătorit prin tunel:
Sucursala-1 (IPSec, extras)
Branch-1 # arată crypto ipsec sa
interfață: Serial0 / 0
Crypto map tag: IPSEC_MAP, local addr 203.0.0.2
protejat vrf: (nici unul)
Ident local (addr/mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
Ident la distanță (addr / mask / prot / port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
permis, steaguri={origin_is_acl,}
#pkts încapsulează: 4, #pkts cripta: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decripta: 4, #pkts verifica: 4
#pkts comprimat: 0, #pkts decomprimat: 0
#pkts nu comprimat: 0, #pkts compr. nu a reușit: 0
# pkts nu decomprimat: 0, # pkts decomprima nu a reușit: 0
# trimite erori 1, # erori recv 0
dacă aruncăm o privire la modul în care pachetele arata ca:
rețineți că ping-ul de la 10.0.1.1 la 10.0.2.1 călătorește la destinație ca un pachet încapsulat care este autentificat (AH) și criptat (ESP) în conformitate cu setările configurate mai sus.
Notă: Trebuie generat un trafic interesant înainte ca tunelul să fie complet operațional. Dacă lucrați într-un mediu de laborator, puteți snif traficul ISAKMP și observați cum funcționează procesul de schimb.
acest articol este destinat să împărtășească cunoștințe. Dacă găsiți ceva care lipsește sau care ar trebui îmbunătățit, aș fi încântat să adaug astfel de informații.