Варіанти реалізації ipsec vpn тунелей на обладнанні cisco

У цій статті розглянемо різні технології реалізації статичних site-to-site IPSec тунелів на обладнанні Cisco з позиції того, як та чи інша технологія инкапсулирует вихідний пакет в нові заголовки і як це позначається на кінцевому розмірі та структурі пакета.

Використовувати будемо ось цю просту, зібрану в GNS3 топологію:

На транзитному роутере будемо спостерігати за ICMP-пакетами між лупбекамі маршрутизаторів Site A та Site B. Команди, які потрібно ввести на транзитному роутере для того, щоб мати можливість спостерігати за проходять через нього цікавлять нас трафіком, представлені на малюнку.

Для початку просто виконаємо ICMP ping з роутера Site A, щоб подивитися, як виглядає пакет до початку різного роду збочень над ним:

SiteA # ping 192.168.3.3 source lo0 size 100

У дебаге на транзитному роутере бачимо:

* Sep 2 12: 20: 06.715: IP: s = 192.168.1.1 (FastEthernet1 / 0), d = 192.168.3.3, len 100. input feature ... ..

Ну, це, власне зрозуміло - послали ICMP-пакет розміром 100 байт - таким він і дійшов до транзитного роутера. Тобто Зараз він (пакет), якщо не враховувати заголовок і трейлер канального рівня, виглядає так:

Тепер будемо експериментувати.

1. IPSec з «класичними» crypto-map

Відразу наведу конфігурацію для SiteA і SiteB маршрутизаторів. Виглядати вона буде так (все в найпростішому вигляді, все зайве успішно видалено, щоб не завантажувати непотрібної в рамках статті інформацією):

hostname SiteA
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.23.3
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.23.3
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet1 / 0
ip address 10.1.12.1 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
!
ip access-list extended CRYPTOACL
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

hostname SiteB
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.12.1
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.12.1
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface FastEthernet1 / 0
ip address 10.1.23.3 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
!
ip access-list extended CRYPTOACL
permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

SiteA # ping 192.168.3.3 source lo0 size 100

У дебаге на транзитному роутере тепер бачимо ось що:

* Sep 2 12: 44: 15.579: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 168 ....

Пакет тепер «важить» аж на 68 байт більше. З чого складається цей додатковий overhead? Подивимося на наступний малюнок:

По-друге, додалися поля протоколу ESP - заголовок. трейлер і поле аутентифікації. Довжина полів, що мають відношення до ESP залежить від обраних алгоритмів шифрування / хеширования. У нашому випадку був узятий IPSec transform set з алгоритмами aes і sha відповідно (цей вибір ми й залишимо для наступних експериментів). Якби, наприклад, замість aes використовувався des - розмір полів пакету, що мають відношення до ESP був би менше. У нашому випадку він дорівнює 168 (загальна довжина пакета) - 100 (розмір оригінального пакету) - 20 (розмір нового IP заголовка) = 48 байт.

2. GRE over IPSec

GRE over IPSec передбачає створення GRE-тунелю між VPN-шлюзами і подальше шифрування GRE-трафіку.

Для початку, давайте спочатку просто налаштуємо GRE-тунель між SiteA і SiteB без навішування на нього IPSec:

hostname SiteA
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.23.3
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.23.3
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip unnumbered FastEthernet1 / 0
tunnel source FastEthernet1 / 0
tunnel destination 10.1.23.3
!
interface FastEthernet1 / 0
ip address 10.1.12.1 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip access-list extended CRYPTOACL
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

hostname SiteB
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.12.1
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.12.1
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface Tunnel0
ip unnumbered FastEthernet1 / 0
tunnel source FastEthernet1 / 0
tunnel destination 10.1.23.3
!
interface FastEthernet1 / 0
ip address 10.1.23.3 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip access-list extended CRYPTOACL
permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

У наведеній таблиці, додані рядки виділені, а віддалені - закреслені.

Підтвердимо, що вищесказане відповідає дійсності, виконавши традиційний ICMP ping:

SiteA # ping 192.168.3.3 source lo0 size 100

Подивимося, що показує debug на транзитному роутере:

* Sep 2 14: 54: 32.183: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 124. sending full packet

Все дійсно так, як і передбачалося.

Тепер додамо IPSec «поверх» GRE. Для цього створимо IPSec profile і повісимо його на тунельний інтерфейс кожного VPN-шлюзу:

crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode transport

Після чергового ping з роутера Site A на транзитному роутере бачимо наступне:

* Sep 2 15: 49: 00.802: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 168. sending full packet

Тепер довжина пакета - 168 байт. На 16 менше ніж в тунельному режимі. Чому не на 20, адже розмір IP заголовка від якого ми позбулися дорівнює 20 байтам? Тому, що цей заголовок був також зашифрований ESP, а довжина зашифрованого, як правило, не дорівнює довжині оригінального. В даному випадку це не настільки важливо. Важливо, що ми позбулися зайвого заголовка і тим самим зменшили overhead хоча б на якусь частину. Виглядає GRE over IPSec в транспортному режимі так:

Подивимося два моменти, які відображають всі, про що говорилося вище, і будуть корисні далі:

SiteA # sh int tunnel 0 | i transport | protection

Tunnel protocol / transport GRE / IP
Tunnel transport MTU 1434 bytes
Tunnel protection via IPSec (profile «IPSECPROFILE»)

SiteA # sh crypto ipsec sa | i inbound | outbound | setting

current outbound spi: 0xD761501C (3613478940)
inbound esp sas:
in use settings = Transport.>
outbound esp sas:
in use settings = Transport.>

Тут більш наочно видно, що тунельний інтерфейс працює в режимі GRE / IPі для його захисту використовується IPSec в транспортному режимі.

3. Virtual Tunnel Interface (VTI)

Що таке VTI і чим він відрізняється від звичайного GRE over IPSec? Щоб не вдаватися в деталі, скажу наступне: це той же GRE over IPSec, тобто конструкція, побудована з використанням тунельних інтерфейсів (через які з успіхом можуть функціонувати протоколи маршрутизації і інший мультикаст-трафік) з усіма їхніми плюсами, але виключений сам GRE заголовок. Тобто якщо взяти останню схему, де представлений GRE over IPSec з IPSec в транспортному режимі і перетворити її в Static VTI, отримаємо ось що:

Якщо порівняти з найпершої картинкою, де для створення тунелів використовувалися crypto-map, дуже складно побачити будь-які відмінності. А складно тому, що їх немає. На виході пакет виглядає однаково, незалежно від технології настройки тунелю. Довжина також становить 168 байт і є мінімально можливою для обраних алгоритмів шифрування / хеширования і розміру початкового пакету. Звідси висновок: технологія VTI в маршрутизаторах Cisco покликана забезпечити можливість побудови VPN-тунелів, що мають всі переваги технології GRE over IPSec (як, наприклад, підтримка динамічної маршрутизації), і при цьому зберегти overhead мінімальним (таким же, як і при використанні технології crypto- map).

Для того, щоб перетворити тунелі GRE over IPsec з попереднього прикладу в VTI, потрібно внести серйозні зміни в конфігурацію VPN-шлюзів:

Допоможемо з «Пральна Машина Чи не Віджимає Білизна»

Реальні відгуки покупців про крем Tinedol для лікування грибка на стопах.
дезінфікує уражені ділянки шкіри і зміцнює судини і м'які тканини.
Цей препарат давно довів свою результативність Його головна перевага системний догляд Навіть якщо у вас не помітні всі симптоми, слід почати використовувати Tinedol для профілактики невідкладно Грибок на ногах розвивається досить стрімко Зараз у вас дріб'язкова лущення та свербіж, а через пару днів вам буде необхідно лягати в клініку пити антибіотики 5 разів на добу Не тягніть Лікуйте проблему сьогодні Крім того, грибок заразний Якщо хворієте ви або хтось удома хворіє все сімейство.
Потім можна наносити крем, акуратно втираючи його потім почекати, поки Тінедол вбереться Застосовувати засіб необхідно один раз в день протягом місяця.
Оригінальний препарат Тінедол не має протипоказань Єдине, що може призвести до побічних дій індивідуальна непереносимість компонентів мазі Вплинути на якість і на прояв небажаних наслідків можуть умови зберігання продукту.
Дійсно, у кожного лікувального зовнішнього препарату повинні бути протипоказання Є вони і у Тінедола, але обмеження накладаються тільки на осіб, які мають індивідуальну непереносимість того чи іншого компонента Припустимо, у кого-то алергія на м'яту або на метилпарабен, але таких людей одиниці Тому крем і вважається майже універсальним.
голосів 134, в середньому 4,61 з 5.
Принцип дії мазі.
Мазь Тінедол Принципи дії і склад.
Фарсенол допомагає усунути шкідливі бактерії, бореться з поганими запахами.

Допоможемо з «Де пральної Машині»

17 hours agoRidiculousness Season 9 Episode 22 Grossest Episode Ever. author. admin of TV shows ... After completing graduation, Alexa Vega tried her luck in acting, and became popular with her early roles in many popular TV acts such as - Evening Shade,
new tv shows this week
'Houdini y Doyle', dos amigos contra el crimen - TV - Teleprograma Hay un esclarecedor momento en el primer capГ-tulo de Houdini y Doyle en el que un De todas formas, la serie que los canales AXN y AXN White estrenan el