(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Hasonló dokumentumok
8. A WAN teszthálózatának elkészítése

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

1. Forgalomirányítók konfigurálása

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Virtuális magánházlózatok / VPN

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

III. előadás. Kovács Róbert

Advanced PT activity: Fejlesztési feladatok

Tájékoztató. Használható segédeszköz: -

WS 2013 elődöntő ICND 1+ teszt

FORGALOMIRÁNYÍTÓK. 6. Forgalomirányítás és irányító protokollok CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

A kapcsolás alapjai, és haladó szintű forgalomirányítás. 1. Ismerkedés az osztály nélküli forgalomirányítással

Tájékoztató. Használható segédeszköz: -

13. gyakorlat Deák Kristóf

Forgalomirányítás (Routing)

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)


Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: -

1. Kapcsolók konfigurálása

Cisco Catalyst 3500XL switch segédlet

Virtuális magánhálózat Virtual Private Network (VPN)

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Kommunikációs rendszerek programozása. Switch-ek

Internet Protokoll 6-os verzió. Varga Tamás

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

Hálózati biztonság ( ) Kriptográfia ( )

Department of Software Engineering

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József


2019/02/12 12:45 1/13 ACL

2. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?

1. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

6. Az IP-címzés használata a hálózati tervezésben

Titkosítás NetWare környezetben

Tájékoztató. Használható segédeszköz: -

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

CISCO PACKET TRACER PARANCS SEGÉDLET

Újdonságok Nexus Platformon

Internet használata (internetworking) Készítette: Schubert Tamás

IP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos

Tájékoztató. Használható segédeszköz: -

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Gyakorlati vizsgatevékenység

Tájékoztató. Használható segédeszköz: -

Hálózati eszközök biztonsága

Hálózati alapismeretek

Önálló laboratórium beszámoló VTT5037

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

Tájékoztató. Használható segédeszköz: -

Az 1. ábrán látható értékek szerint végezzük el az IP-cím konfigurációt. A küldő IP-címét a következő módon tudjuk beállítani:

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

FOKSZ Mérnökinformatikus záróvizsga szóbeli tételsor

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

6. Forgalomirányítás

Hálózati architektúrák laborgyakorlat

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

VoIP lehetőségek alacsony sebességű végpontokon

A CISCO routerek parancsai: Parancsok: access-enable Ezzel a paranccsal a forgalomirányító létrehozhat egy ideiglenes bejegyzést egy dinamikus

Tartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői

Változások a Sulinet szűrési szabályokban

Vezetéknélküli technológia

Számítógép hálózatok gyakorlat

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

CISCO gyakorlati segédlet

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

WAN technológiák. 4. Az ISDN és a DDR. Mártha Péter

FORGALOMIRÁNYÍTÓK. 3. A forgalomirányítók konfigurálása CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. Ethernet

Hálózati architektúrák laborgyakorlat

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

Útmutató az IP és Routing mérésekben használt Cisco routerek alapszint konfigurációjához i

Department of Software Engineering

Az IPv6 a gyakorlatban

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

IP biztonság 2. rész

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Informatikai hálózattelepítő és - Informatikai rendszergazda

8.) Milyen típusú kábel bekötési térképe látható az ábrán? 2 pont

Tájékoztató. Használható segédeszköz: -

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

Konfiguráljuk be a TCP/IP protokolt a szerveren: LOAD INETCFG A menüpontokból válasszuk ki a Proctcols menüpontot:

Átírás:

Site-to-Site VPN (Cisco Router) Készítette: (BMF) Site-to-Site VPN/1

Tartalom Site-to-Site VPN VPN megvalósítások a különböző OSI rétegekben Az IPsec folyamat lépései Internet Key Exchange (IKE) Az IKE és az IPSec folyamat működése a Cisco IOS-ben VPN konfigurációs példa Generic routing encapsulation (GRE) GRE Tunnel konfiguráció GRE Tunnel konfigurációs példa A GRE forgalom biztonságának megteremtése GRE IPsec felett konfigurációs példa Site-to-Site VPN/2

VPN megvalósítások a különböző OSI rétegekben Adott rétegben megvalósítás védi a fölötte lévő rétegeket A hálózati rétegben megvalósított VPN média- és alkalmazás-független Az alkalmazás rétegbeli VPN-t minden alkalmazásban külön-külön meg kell valósítani Site-to-Site VPN/3

VPN megvalósítások a különböző OSI rétegekben A 4. OSI rétegben használt megoldások az SSL-lel biztosítják a titkosságot, a felhasználók hitelességét és az adatok sértetlenségét a TCP alkalmazások számára Sikeres alkalmazások az elektronikus kereskedelem (e-commerce) területén Nem elég rugalmas, nehéz megvalósítani, és nem alkalmazás-független A legújabb technológiát a sokkal rugalmasabb Transport Layer Security (TLS) képviseli Site-to-Site VPN/4

VPN megvalósítások a különböző OSI rétegekben Az OSI modell alsóbb rétegeiben különösen az adatkapcsolati rétegben alkalmazott védelem is gyakori volt korábban. Jellemzői: Független a felső protokolloktól Csak egy-egy kapcsolatot véd, így minden egyes összeköttetésre különkülön alkalmazni kell Lehetővé teszi a man-in-the-middle támadást a közbenső állomásokon (forgalomirányítók) Gyakran gyártó függő protokollokat használ A 3. rétegben megvalósított védelem a legnépszerűbb Site-to-Site VPN/5

Az IPsec folyamat lépései 1. Érdemleges forgalom kezdeményezi az IPSec folyamatot. A védeni kívánt forgalom ACL-lel írható le 2. Az Internet Key Exchange (IKE) 1. fázisa hitelesíti az IPSec résztvevőit, és egyezteti az IKE SA-t (Security Association). Biztonságos csatornát épít ki a az IPSec SA kiépítéséhez a IKE 2. fázisában 3. Az IKE 2. fázisában az IKE folyamat egyezteti az IPSec SA paramétereit és létrehozza az SA-kat mindkét oldalon. E paraméterek alapján történi a biztonságos kommunikáció a felek között Site-to-Site VPN/6

Az IPsec folyamat lépései 4. Az adatátviteli fázisban az SA adatbázisban tárolt IPSec paraméterek alapján történik a biztonságos kommunikáció 5. Az IPSec csatorna vagy törlés vagy időtúllépés miatt bomlik le Site-to-Site VPN/7

Internet Key Exchange (IKE) Az IKE (RFC 2409) az IPsec kialakítását könnyíti meg. Az IKE az Internet Security Association and Key Management Protocol (ISAKMP) framework keretei között működik (RFC 2408 ). Az IKE hitelesíti az IPSec folyamatban részt vevő feleket, egyezteti az IPSec kulcsokat, és egyezteti az IPSec security association paramétereket. Az IKE alkalmazásának előnyei: Nem kell kézzel beállítani az IPSec paramétereket mindkét oldalon Megadható az SA élettartama A kulcsok változhatnak az IPSec kapcsolat során Védelmet nyújt a visszajátszás típusú támadással szemben Lehetővé teszi a CA infrastruktúra használatát Lehetővé teszi a felek dinamikus hitelesítését A felek kölcsönös hitelesítésének módjai: Pre-shared kulcs használata RSA encrypted nonces használata RSA aláírás használata Site-to-Site VPN/8

Az IKE és az IPSec folyamat működése a Cisco IOS-ben Site-to-Site VPN/9

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) 2. Az IPSec policy meghatározása (IKE 2. fázis) 3. A konfiguráció ellenőrzése show running-configuration show isakmp policy show crypto map 4. A hálózati működés ellenőrzése titkosítás nélkül ping 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel show access-list Site-to-Site VPN/10

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) Kulcscsere módja Hitelesítés módja IPSec társak (peer) IP-címei és állomásnevei IKE 1. fázis policy Titkosító algoritmus Hash algoritmus IKE SA élettartam Site-to-Site VPN/11

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) ISAKMP alapértelmezett értékek Site-to-Site VPN/12

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) IPSec algoritmusok és paraméterek az optimális biztonság és hatékonyság elérésére Transforms és transform sets meghatározása Az IPSec társak részletes adatainak meghatározása A védeni kívánt állomások IP-címeinek és alkalmazásainak meghatározása Kézi vagy IKE által kezdeményezett SA-k konfigurálása Site-to-Site VPN/13

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Transforms és transform sets meghatározása Site-to-Site VPN/14

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Transforms és transform sets meghatározása Site-to-Site VPN/15

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Az IPSec társak részletes adatainak meghatározása Site-to-Site VPN/16

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Példa Site-to-Site VPN/17

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 3. A konfiguráció ellenőrzése Site-to-Site VPN/18

Az IKE és az IPSec konfigurálása a Cisco IOS-ben 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel Az alábbi ACL-részlettel ki kell egészíteni a meglévő hozzáférési listákat, hogy ne szűrjük ki az ISAKMP forgalmat Site-to-Site VPN/19

Az IKE és az IPSec konfigurálása a Cisco IOS-ben Az IKE be/kikapcsolása [no] crypto isakmp enable Globálisan engedélyezi vagy tiltja az IKE-t a forgalomirányítón Az IKE alapértelmezetten be van kapcsolva Az IKE globálisan minden interfészen engedélyezve vagy tiltva van Az IKE forgalom ACL-lel tiltható interfészeken Site-to-Site VPN/20

Az IKE és az IPSec konfigurálása a Cisco IOS-ben Ha az IKE-t nem engedélyezzük az IPSec-et manuálisan kell beállítani az IPSec kapcsolat nem törlődik időtúllépés miatt a titkosító kulcs nem változik a kapcsolat ideje alatt a visszajátszás elleni védelem nem működik a CA támogatás nem használható Site-to-Site VPN/21

VPN konfigurációs példa R1 192.168.12.0/24 R2 192.168.23.0/24.1.2.2.3 R3 Fa0/0 Fa0/0 S1/1 S1/1 Loopback0: 172.16.1.1/24 Loopback0: 172.16.3.1/24 IPSec tunnel Site-to-Site VPN/22

Konfiguráció VPN nélkül: R1 VPN konfigurációs példa hostname R1 interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 no shutdown router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary Site-to-Site VPN/23

Konfiguráció VPN nélkül: R2 VPN konfigurációs példa hostname R2 interface FastEthernet0/0 ip address 192.168.12.2 255.255.255.0 no shutdown interface Serial1/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/24

Konfiguráció VPN nélkül: R3 VPN konfigurációs példa hostname R3 interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial1/1 ip address 192.168.23.3 255.255.255.0 no shutdown router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/25

Konfiguráció VPN-nel: R1 VPN konfigurációs példa hostname R1 IKE 1. fázis crypto isakmp policy 10 Prioritás = 10 A prioritás arra való, hogy ha több policy-t adunk meg mindkét oldalon eltérő prioritással, a legnagyobb prioritású, azonos tartalmú policy lesz kiválasztva. A kisebb szám nagyobb prioritást jelent. encr 3des Titkosítás hash md5 Hash algotitmus authentication pre-share Pre-share hitelesítés group 5 Diffie-Hellman group lifetime 3600 Az SA élettartama crypto isakmp key cisco address 192.168.23.3 Pre-shared kulcs + a társ VPN végpont megadása Az ISAKMP konfiguráció ellenőrzése: show crypto isakmp policy Site-to-Site VPN/26

Konfiguráció VPN-nel: VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 1. A transform set konfigurálása a crypto ipsec transform-set paranccsal 2. Az IPSec globális SA élettartamának konfigurálása a crypto ipsec security-association lifetime paranccsal 3. Crypto ACL konfigurálása az access-list paranccsal 4. Crypto map konfigurálása a crypto map paranccsal 5. A Crypto map hozzárendelése a VPN végponthoz az interfész crypto map paranccsal Site-to-Site VPN/27

Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 1. A transform set konfigurálása crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac A transform set a biztonsági protokollok és algoritmusok egy kombinációját írja le. Az IPSec SA egyeztetés (negotiation) során kiválasztanak a megadott transform set-ek közül egyet. Legfeljebb egy AH és 2 ESP adható meg 2. Az IPSec globális SA élettartamának konfigurálása crypto ipsec security-association lifetime seconds 1800 Site-to-Site VPN/28

Konfiguráció VPN-nel: VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása A Crypto ACL leírja, hogy milyen forgalmat kell védenie az IPSec protokollnak Az ACL szintaxisa hasonlít a kiterjesztett ACL-éhez A permit-tel megadott forgalmat védeni kell, a deny-al megadottat nem Site-to-Site VPN/29

Konfiguráció VPN-nel: IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása VPN konfigurációs példa A két végponton az ACL-ek egymás tükörképei legyenek Az ACL a kimenő irányra vonatkozik. Ez alapján dől el, hogy mely forgalmat kell titkosítani A válaszforgalmat is ugyanazzal az ACL-lel kell értelmezni a forrás és a cél megcserélésével Site-to-Site VPN/30

Konfiguráció VPN-nel: VPN konfigurációs példa 4. Crypto map konfigurálása a crypto map paranccsal Ez a parancs rendeli egymáshoz a különböző konfigurációs egységeket: Milyen forgalmat véd az IPSec A társ végpont megadása A helyi cím megadása Az IPSec típusának megadása Az SA létesítésének módja (kézi vagy IKE) Egyéb paraméterek Site-to-Site VPN/31

Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 4. Crypto map konfigurálása crypto map MYMAP 10 ipsec-isakmp Létrehozza a crypto map-et Ugyanazt a nevet használva különböző sorszámokkal megadott crypto map-ek crypto map set-et alkotnak set peer 192.168.23.3 Megadja a társ végpontot set security-association lifetime seconds 900 Felülírja a globális konfigurációt set transform-set 50 Több transform set is megadható set pfs group5 Megadja a D-H group-ot match address 101 Hozzárendeli a crypto ACL-t Site-to-Site VPN/32

Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 5. A Crypto map hozzárendelése a VPN végponthoz interface FastEthernet0/0 crypto map MYMAP A crypto map hozzárendelése az interfészhez Site-to-Site VPN/33

VPN konfigurációs példa Az IPSec konfiguráció ellenőrzése Az ISAKMP policy megjelenítése: show crypto isakmp policy A konfigurált transform set-ek megjelenítése: show crypto ipsec transform-set Az IPSec SA-k pillanatnyi állapotának megjelenítése: show crypto ipsec sa A konfigurált crypto map-ek megjelenítése: show crypto map Az ISAKMP folyamat nyomkövetése: debug crypto isakmp Az IPSec folyamat nyomkövetése: debug crypto ipsec Site-to-Site VPN/34

Az IPSec konfiguráció: R1 VPN konfigurációs példa hostname R1 crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.23.3 crypto ipsec security-association lifetime seconds 1800 crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac crypto map MYMAP 10 ipsec-isakmp set peer 192.168.23.3 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101 Site-to-Site VPN/35

Az IPSec konfiguráció: R1 (folytatás) VPN konfigurációs példa interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 crypto map MYMAP no shutdown router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 Site-to-Site VPN/36

Az IPSec konfiguráció: R3 VPN konfigurációs példa hostname R3 crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.12.1 crypto ipsec security-association lifetime seconds 1800 crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac crypto map MYMAP 10 ipsec-isakmp set peer 192.168.12.1 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101 Site-to-Site VPN/37

Az IPSec konfiguráció: R3 (folytatás) VPN konfigurációs példa interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial1/1 ip address 192.168.23.3 255.255.255.0 crypto map MYMAP no shutdown router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 Site-to-Site VPN/38

Generic routing encapsulation (GRE) IP alagút (tunnel) protokoll A Cisco fejlesztette ki RFC 1701 Sokféle protokoll szállítható az IP alagútban (lásd a következő diát) Virtuális pont-pont kapcsolat (alagút) jön létre távoli forgalomirányítók virtuális interfészei között A GRE használatával különféle protokollokat használó alhálózatok kapcsolhatók össze egyetlen, IP gerinchálózat segítségével Az alagúton használt dinamikus forgalomirányító protokollok lehetővé teszik irányítási információk cseréjét a virtuális hálózaton Site-to-Site VPN/39

Generic routing encapsulation (GRE) Protocol Family PTYPE Reserved 0000 SNA 0004 OSI network layer 00FE XNS 0600 IP 0800 RFC 826 ARP 0806 Frame Relay ARP 0808 VINES 0BAD DECnet (Phase IV) 6003 Transparent Ethernet Bridging 6558 Raw Frame Relay 6559 Ethertalk (Appletalk) 809B Novell IPX 8137 RFC 1144 TCP/IP compression 876B IP Autonomous Systems 876C Secure Data 876D Reserved FFFF A GRE alagútban szállítható protokollok (Nem teljes lista) Site-to-Site VPN/40

Generic routing encapsulation (GRE) Lényegében tetszőleges OSI Layer 3 protokollok szállíthatók az alagútban A GRE állapotmentes protokoll (nincs flow control) Nincs biztonsági funkciója (IPSec-et lehet használni) Legalább 24 bájt többletterhelés (IP fejléc: 20 bájt, GRE fejléc: 4 bájt) Az ábra az alapértelmezett GRE fejlécet ábrázolja A GRE alagútjában szállított protokoll az alábbi példában: IP Site-to-Site VPN/41

Generic routing encapsulation (GRE) Opcionális fejléc mezők is használhatók Key: o Hitelesítésre használható (nyílt szöveg, nem sokat ér) o Párhuzamos csatornák megkülönböztetésére is alkalmas Sequence Number: A sorrenden kívül érkező csomagokat eldobja GRE keepalive konfigurálható: Segítségével a forgalomirányító felismeri az alagút másik végének leállását, és ennek alapján megváltoztatja az irányítótábláját Site-to-Site VPN/42

GRE Tunnel konfiguráció Tunnel 0 - Virtuális interfész, az alagút logikai végpontja Tunnel source - Fizikai interfész, amelyen a tényleges forgalom halad Tunnel destination - Az alagút távoli végpontja fizikai interfészének IP-címe Tunnel mode - A szállított protokoll megadása Serial 0/0 Serial 0/0 Site-to-Site VPN/43

GRE Tunnel konfiguráció Működés Ha a forgalomirányító kap egy csomagot, és az irányítótáblából az derül ki, hogy az alagúton kell továbbítani, a forgalomirányító a Tunnel interfész konfigurációjából megállapítja, hogy: o Melyik interfészen kell kiküldeni (tunnel source) o Mi a cél IP-cím (tunnel destination) o Beágyazza a csomagot (IP, GRE) o Beágyazza a csomagot (2. rétegű protokoll) o Kiküldi Serial 0/0 Serial 0/0 Site-to-Site VPN/44

GRE Tunnel konfiguráció Működés (folytatás) Ha a forgalomirányítónak egy tunnel source-ként konfigurált interfészén GRE csomag érkezik, a forráscíméből megállapítja, hogy melyik tunnel interfészhez érkezett o Eltávolítja a külső IP fejlécet és a GRE fejlécet o A beágyazott 3. rétegű protokoll irányítótáblája alapján tovább küldi Serial 0/0 Serial 0/0 Site-to-Site VPN/45

GRE Tunnel konfigurációs példa Az AS 1 autonóm körzet hálózata (pl. az Internet) a hordozó gerinchálózat Az AS 2 autonóm körzet hálózata a virtuális hálózat A példában mindkét hálózaton EIGRP forgalomirányító protokollt kell használni, a két autonóm körzet között nem biztosítunk átjárást Az alagút EIGRP irányítási információt és bármilyen más forgalmat átvisz az AS 2 körzetbe tartozó hálózatok között Az EIGRP 1 irányítótáblájában nincs bejegyzés a 172.16.0.0/16 hálózatról Az EIGRP 2 irányítótáblájában nincs bejegyzés a 192.168.12.0/24 és a 192.168.23.0/24 hálózatról Site-to-Site VPN/46

A GRE forgalom biztonságának megteremtése A GRE jó alagút protokoll. Bármilyen 3. rétegű protokoll szállítására alkalmas Azonban nem rendelkezik biztonsági funkciókkal: titkosítás, adatforrás hitelesítés, integritás védelem Az IPsec rendelkezik mindezekkel a biztonsági funkciókkal Az IPsec viszont nem tökéletes alagút protokoll: o Multicast támogatása nem jó o Csak IP szállítására alkalmas o Forgalomirányító protokoll nem továbbítható A megoldás: GRE IPsec felett Site-to-Site VPN/47

A GRE forgalom biztonságának megteremtése Tipikus alkalmazása: Logikai csillag topológia (Hub and spoke) Site-to-Site VPN/48

GRE IPsec felett konfigurációs példa GRE IPsec felett A beágyazó protokoll: IPsec A beágyazott protokoll: GRE Site-to-Site VPN/49

R1 konfiguráció GRE IPsec felett konfigurációs példa crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.23.3 crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 192.168.23.3 set transform-set mytrans match address 101 interface Tunnel0 ip address 172.16.13.1 255.255.255.0 tunnel source Serial 0/0/0 tunnel destination 192.168.23.3 Site-to-Site VPN/50

GRE IPsec felett konfigurációs példa R1 konfiguráció (folytatás) interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface Serial 0/0/0 ip address 192.168.12.1 255.255.255.0 crypto map mymap no shutdown router eigrp 1 network 192.168.12.0 no auto-summary router eigrp 2 network 172.16.0.0 no auto-summary access-list 101 permit gre host 192.168.12.1 host 192.168.23.3 end Site-to-Site VPN/51

R3 konfiguráció GRE IPsec felett konfigurációs példa crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.12.1 crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 192.168.12.1 set transform-set mytrans match address 101 interface Tunnel0 ip address 172.16.13.3 255.255.255.0 tunnel source Serial 0/0/1 tunnel destination 192.168.12.1 Site-to-Site VPN/52

GRE IPsec felett konfigurációs példa R3 konfiguráció (folytatás) interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial 0/0/1 ip address 192.168.23.3 255.255.255.0 crypto map mymap no shutdown router eigrp 1 network 192.168.23.0 no auto-summary router eigrp 2 network 172.16.0.0 no auto-summary access-list 101 permit gre host 192.168.23.3 host 192.168.12.1 end Site-to-Site VPN/53

R2 konfiguráció GRE IPsec felett konfigurációs példa interface Serial0/0/0 ip address 192.168.12.2 255.255.255.0 no shutdown interface Serial0/0/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/54

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés