Меню

Gre over ipsec cisco настройка



CISCO настройка GRE — IPSec

Разберем примеры IPSECGRE

Пример из Packet Tracer (Для второго роутера по аналогии):

1. Определение наборов трансформаций
crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac

2. Определение IPSec Crypto Map
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
!
crypto map PT-IPSEC 1000 ipsec-isakmp
description Packet Tracer IPSEC Test Crypto Map
set peer 172.16.2.1
set pfs group5
set security-association lifetime seconds 120
set transform-set MOSTSECURE
match address 100

3. Определение политики ISAKMP защиты ассоциации безопасности (шаг 2)
crypto isakmp policy 100
encr aes 256
authentication pre-share
group 5
lifetime 60

4. Определение Ключа аутентификации
crypto isakmp key samekey address 172.16.2.1

5. Привязка IPSec Crypto Map к исходящему интерфейсу
interface Serial0/0/0
ip address 172.16.1.1 255.255.255.252
crypto map PT-IPSEC

Роутер1:

interface fasthethernet 0/0
ip address 172.16.1.1 255.255.255.0
!
interface loopback 0
ip address 10.1.1.254 255.255.255.0
!
interface tunnel10
ip address 192.168.0.1 255.255.255.0
tunnel source 172.16.1.1
tunnel destination 172.16.2.1
!
router eigrp 10
network 10.1.1.0 0.0.0.255
network 192.168.0.0
!
access-list 172 permit gre host 172.16.1.1 host 172.16.2.1
!
crypto isakmp key cisco123 address 172.16.2.1
crypto isakmp policy 10
authentication pre-shared-key
encryption des
hash sha
group 1
!
crypto ipsec transform-set esp-3des esp-3des esp-sha-hmac
!
crypto map out_map 10 ipsec-isakmp
set peer 172.16.2.1
set transform-set esp-3des
match address 172
crypto map out_map local-address fastEthernet 0/0
!
interface fasthethernet0/0
crypto map out_map

Роутер2:

interface fasthethernet 0/0
ip address 172.16.2.1 255.255.255.0
!
interface loopback 0
10.2.2.254 255.255.255.0
!
interface tunnel10
ip address 192.168.0.2 255.255.255.0
tunnel source 172.16.2.1
tunnel destination 172.16.1.1
!
router eigrp 10
network 10.2.2.0 0.0.0.255
network 192.168.0.0
!
access-list 172 permit gre host 172.16.2.1 host 172.16.1.1
!
crypto isakmp key cisco123 address 172.16.1.1
crypto isakmp policy 10
authentication pre-shared-key
encryption des
hash sha
group 1
!
crypto ipsec transform-set esp-3des esp-3des esp-sha-hmac
!
crypto map out_map 10 ipsec-isakmp
set peer 172.16.1.1
set transform-set esp-3des
match address 172
crypto map out_map local-address fastEthernet 0/0
!
interface fasthethernet0/0
crypto map out_map

Роутер1:

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 2.2.2.2
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip unnumbered FastEthernet1/0
tunnel source FastEthernet1/0
tunnel destination 2.2.2.2
!
interface FastEthernet1/0
ip address 1.1.1.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip route 192.168.3.0 255.255.255.0 Tunnel0

Роутер2:

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 1.1.1.2
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface Tunnel0
ip unnumbered FastEthernet1/0
tunnel source FastEthernet1/0
tunnel destination 1.1.1.2
!
interface FastEthernet1/0
ip address 2.2.2.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 2.2.2.1
ip route 192.168.1.0 255.255.255.0 Tunnel0

На этом — все, желаю удачи!

Источник

Урок 47. Настройка GRE IPSec туннеля на Cisco

GRE (Generic Routing Encapsulation) — проприетарный протокол Cisco для организации VPN соединений. Работает он по такому же принципу, что и IPSec, то есть к исходному пакету данных добавляет свой заголовок, за которым следует новый IP заголовок с новыми IP адресами. Выглядит этот так:

Однако есть существенное отличие между IPSec и GRE. IPSec изначально разрабатывался для осуществления шифрованной связи, GRE не использует никакого алгоритма шифрования и аутентификации.

GRE прост в настройке и используется там, где нужно организовать простую туннельную связь, не обременяя при этом процессор сложным алгоритмом шифрования.

GRE также идеален для передачи IPv6 поверх IPv4 и наоборот.

При настройке GRE туннеля следует учитывать тот факт, что при добавлении GRE заголовка увеличивается MTU всего пакета. Это может привести к тому, что некоторые маршрутизаторы уничтожат пакеты, если не настроены на передачу с увеличенным MTU. Фрагментация GRE пакетов также запрещена, поэтому в идеале лучше уменьшить MTU в самом начале туннеля.

Итак, приступим к настройке протокола. Схема сети выглядит так:

В данном примере мы рассматриваем конфигурацию GRE типа IPv4-over-IPv4 с использованием NAT.

Читайте также:  Команда настройки интерфейсов маршрутизатора

Настраиваем туннельный интерфейс:

Headquarter(config)# interface Tunnel 10

Теперь нужно указать IP адрес данного интерфейса. Делается это для того, чтобы указать GRE какой сетевой протокол будет инкапсулироваться, IPv4 или IPv6 либо какой-нибудь другой протокол:

Headquarter(config-if)# ip address 100.0.0.1 255.255.255.0

Указываем начало туннеля:

Headquarter(config-if)# tunnel source 1.1.1.1

А также конец туннеля:

Headquarter(config-if)# tunnel destination 2.2.2.1

Осталось теперь пустить весь трафик, идущий в сеть 192.168.2.0/24 в наш туннель:

Headquarter(config)# ip route 192.168.2.0 255.255.255.0 interface tunnel 10

То же самое с учетом адресов проделываем и на противоположном конце. Вот как выглядят настройки на обоих маршрутизаторах:

Убедимся в работе туннеля запустив Ping на одном из компьютеров:

Взглянем как выглядит инкапсулированный пакет:


Keepalive

Что произойдет с туннелем, если интерфейс на конечном маршрутизаторе отключится интерфейс либо оборвется кабель на промежуточном участке связи?

Отключим интерфейс Tunnel 10 на маршрутизаторе Branch:

Если запустим Ping с главного офиса, то результат будет отрицательный. Взглянем на состояние интерфейсов на Headquarter:

Все интерфейсы и линейные протоколы связи в состоянии UP. Проверим сам интерфейс Tunnel в деталях:

Здесь тоже все в порядке. Попробуем “пингануть” туннельный интерфейс на противоположном конце с роутера Headquarter:

Данная информация косвенно подтверждает тот факт, что на противоположном конце не все гладко, конечно, при условии, что маршрутизация в целом и WAN интерфейс на Branch работают как надо.

Чтобы избежать такой ситуации в GRE предусмотрена отправка пакетов Keepalive. Давайте настроим ее на интерфейсе Tunnel 10:

Headquarter(config-if)# keepalive 10 3

Здесь мы указываем отправлять пакеты keepalive каждые 10 с. Если ответ не будет получен после 3-х попыток, то перевести туннель в состояние Down.

Loopback или реальный интерфейс

В официальной документации сказано, что качестве начала и конца туннеля можно указывать либо реальный интерфейс либо Loopback. Давайте разберемся в чем разница. Добавим к нашей сети еще один роутер для резервирования маршрута:

Если мы отключим роутер ISP, то туннель автоматически перекинется через резервный маршрутизатор и будет прекрасно работать. Однако, если мы отключим интерфейс Fa0/1 на Headquarter, то туннель перейдет в состояние Down. Это связано с тем, что в качестве начала туннеля указан адрес интерфейса Fa0/1 и теперь при отключении данного порта отключается и сам туннель.

Чтобы избежать подобной ситуации рекомендуется использовать Loopback интерфейс в качестве начала и конца туннеля, причем он должен иметь маршрутизируемый адрес. То есть порт должен быть доступен по сети.

Конечно, если у вас один uplink, то достаточно указать реальный WAN интерфейс, но если 2 и более, то лучше воспользоваться Loopback.

Настройка GRE over IPSec

GRE не поддерживает шифрование, однако, если необходимо организовать защищенный канал связи, то можно построить туннель GRE поверх IPSec. Организация защищенного канала IPSec состоит из 2-х фаз. В первой фазе мы определяем политику безопасности (ISAKAMP IKE) для создания служебного туннеля, а во второй — параметры туннеля (IPSec) для передачи данных.

Для начала настроим политику безопасности ISAKMP на маршрутизаторе Headquarter:

Headquarter(config)# crypto isakmp policy 1

Headquarter(config-iakmp)# encryption aes — метод шифрования aes

Headquarter(config-isakmp)# authentication pre-share — метод аутентификации pre-share

Headquarter(config-isakmp)# group 2 — метод обмена секретными ключами (метод Диффи-Хеллмана)

Headquarter(config-isakmp)# lifetime 10000 — время жизни сессии 10 000 с

Определим IP адрес конечной точки туннеля, то есть IP адрес Branch, а также их общий ключ pre-share для аутентификации:

Headquarter(config)# crypto isakmp key 6 PASSWORD address 2.2.2.1

Настроим параметры туннеля IPSec:

Headquarter(config)# crypto ipsec transform-set GRE-IPSEC esp-3des esp-sha-hmac

Теперь создадим профиль подключения и назовем его GRE. В нем мы укажем параметры туннеля:

Headquarter(config)# crypto ipsec profile GRE

Headquarter(ipsec-profile)# set security-association lifetime seconds 10000

Headquarter(ipsec-profile)# set transform-set GRE-IPSEC

И наконец заключительный этап — мы привяжем наш профиль к туннельному интерфейсу:

Headquarter(config-if)# tunnel protection ipsec profile GRE

Теперь запустим Ping и проверим работоспособность туннеля. Однако почему-то он не работает. Дело в том, что у нас включена отправка Keepalive. Маршрутизатор отправляет keepalive пакеты по незащищенному каналу и поэтому IPSec туннель не устанавливается. Если отключить keepalive, то туннель сразу установится и начнет работать.

Читайте также:  Supernova cc pool настройка

Источник

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка Cisco Port-Security

Настройка Router-on-a-Stick на Cisco

Cisco ASA 5506-X: интерфейс BVI

3 способа убрать «Translating Domain Server» в Cisco IOS

Настройка протокола RIPv2 на оборудовании Cisco

Настройка DHCP-ретранслятора с поддержкой HSRP

Panasonic KX-HDV330RUB

Еженедельный дайджест

Настройка GRE туннеля на Cisco

Всем привет! Сегодня в статье мы расскажем про настройку Point-to-Point GRE VPN туннелей на оборудовании Cisco и о том, как сделать их защищенными при помощи IPsec. Generic Routing Encapsulation (GRE) — это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать широкий спектр протоколов сетевого уровня в point-to-point каналах.

Туннель GRE используется, когда пакеты должны быть отправлены из одной сети в другую через Интернет или незащищенную сеть. В GRE виртуальный туннель создается между двумя конечными точками (маршрутизаторами Cisco), а пакеты отправляются через туннель GRE.

Важно отметить, что пакеты, проходящие внутри туннеля GRE, не шифруются, поскольку GRE не шифрует туннель, а инкапсулирует его с заголовком GRE. Если требуется защита данных, IPSec должен быть настроен для обеспечения конфиденциальности данных — тогда GRE-туннель преобразуется в безопасный VPN-туннель GRE.

На приведенной ниже схеме показана процедура инкапсуляции простого незащищенного пакета GRE, проходящего через маршрутизатор и входящего в туннельный интерфейс:

Хотя многие могут подумать, что туннель GRE IPSec между двумя маршрутизаторами похож на VPN-соединение IPSec между сайтами, это не так. Основное отличие состоит в том, что туннели GRE позволяют multicast пакетам проходить через туннель, тогда как IPSec VPN не поддерживает multicast пакеты.

В больших сетях, где необходимы протоколы маршрутизации, такие как OSPF, EIGRP, туннели GRE — ваш лучший выбор. По этой причине, а также из-за того, что туннели GRE гораздо проще в настройке, инженеры предпочитают использовать GRE, а не IPSec VPN.

В этой статье объясняется, как создавать простые незащищенные (unprotected) и безопасные (IPSec encrypted) туннели GRE между конечными точками. Мы объясним все необходимые шаги для создания и проверки туннеля GRE (незащищенного и защищенного) и настройки маршрутизации между двумя сетями.

Создание Cisco GRE туннеля

Туннель GRE использует интерфейс «туннель» — логический интерфейс, настроенный на маршрутизаторе с IP-адресом, где пакеты инкапсулируются и декапсулируются при входе или выходе из туннеля GRE.

Первым шагом является создание нашего туннельного интерфейса на R1:

Все туннельные интерфейсы участвующих маршрутизаторов всегда должны быть настроены с IP-адресом, который не используется где-либо еще в сети. Каждому туннельному интерфейсу назначается IP-адрес в той же сети, что и другим туннельным интерфейсам.

В нашем примере оба туннельных интерфейса являются частью сети 172.16.0.0/24.

Поскольку GRE является протоколом инкапсуляции, мы устанавливаем максимальную единицу передачи (MTU — Maximum Transfer Unit) до 1400 байт, а максимальный размер сегмента (MSS — Maximum Segment Size) — до 1360 байт. Поскольку большинство транспортных MTU имеют размер 1500 байт и у нас есть дополнительные издержки из-за GRE, мы должны уменьшить MTU для учета дополнительных служебных данных. Установка 1400 является обычной практикой и гарантирует, что ненужная фрагментация пакетов будет сведена к минимуму.

В заключение мы определяем туннельный источник, который является публичным IP-адресом R1, и пункт назначения — публичный IP-адрес R2.

Как только мы завершим настройку R1, маршрутизатор подтвердит создание туннеля и сообщит о его состоянии:

Поскольку интерфейс Tunnel 0 является логическим интерфейсом, он останется включенным, даже если туннель GRE не настроен или не подключен на другом конце.

Читайте также:  Прога настройки гитары для смартфонов

Далее мы должны создать интерфейс Tunnel 0 на R2:

Интерфейс туннеля R2 настроен с соответствующим IP-адресом источника и назначения туннеля. Как и в случае с R1, маршрутизатор R2 сообщит нам, что интерфейс Tunnel0 работает:

Маршрутизация сетей через туннель GRE

На этом этапе обе конечные точки туннеля готовы и могут «видеть» друг друга. Echo icmp от одного конца подтвердит это:

Опять же, этот результат означает, что две конечные точки туннеля могут видеть друг друга. Рабочие станции в любой сети по-прежнему не смогут достичь другой стороны, если на каждой конечной точке не установлен статический маршрут:

На R1 мы добавляем статический маршрут к удаленной сети 192.168.2.0/24 через 172.16.0.2, который является другим концом нашего туннеля GRE. Когда R1 получает пакет для сети 192.168.2.0, он теперь знает, что следующим переходом является 172.16.0.2, и поэтому отправит его через туннель.

Та же конфигурация должна быть повторена для R2:

Теперь обе сети могут свободно общаться друг с другом через туннель GRE.

Защита туннеля GRE с помощью IPSec

Как упоминалось ранее, GRE является протоколом инкапсуляции и не выполняет шифрование. Создание туннеля GRE точка-точка без какого-либо шифрования чрезвычайно рискованно, поскольку конфиденциальные данные могут быть легко извлечены из туннеля и просмотрены другими.

Для этого мы используем IPSec для добавления уровня шифрования и защиты туннеля GRE. Это обеспечивает нам необходимое шифрование военного уровня и спокойствие. Наш пример ниже охватывает режим туннеля GRE IPSec.

Настройка шифрования IPSec для туннеля GRE (GRE over IPSec)

Шифрование IPSec включает в себя два этапа для каждого маршрутизатора. Эти шаги:

  • Настройка ISAKMP (ISAKMP Phase 1)
  • Настройка IPSec (ISAKMP Phase 2)
Настройка ISAKMP (ISAKMP Phase 1)

IKE существует только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношения SA (ISAKMP SA) с партнером.

Для начала, мы начнем работать над R1.

Первым шагом является настройка политики ISAKMP Phase 1:

Приведенные выше команды определяют следующее (в указанном порядке):

  • 3DES — метод шифрования, который будет использоваться на этапе 1 Phase 1
  • MD5 — алгоритм хеширования
  • Authentication pre-share — использование предварительного общего ключа в качестве метода проверки подлинности
  • Group 2 — группа Диффи-Хеллмана, которая будет использоваться
  • 86400 — время жизни ключа сеанса. Выражается в килобайтах или в секундах. Значение установлено по умолчанию.

Далее мы собираемся определить Pre Shared Key (PSK) для аутентификации с партнером R1, 2.2.2.10:

PSK ключ партнера установлен на merionet. Этот ключ будет использоваться для всех переговоров ISAKMP с партнером 2.2.2.10 (R2).

Создание IPSec Transform (ISAKMP Phase 2 policy)

Теперь нам нужно создать набор преобразований, используемый для защиты наших данных. Мы назвали это TS:

Вышеуказанные команды определяют следующее:

  • SP-3DES — метод шифрования
  • MD5 — алгоритм хеширования
  • Установите IPSec в транспортный режим.

Наконец, мы создаем профиль IPSec для соединения ранее определенной конфигурации ISAKMP и IPSec. Мы назвали наш профиль IPSec protect-gre:

Теперь мы готовы применить шифрование IPSec к интерфейсу туннеля:

Ну и наконец пришло время применить ту же конфигурацию на R2:

Проверка GRE over IPSec туннеля

Наконец, наш туннель был зашифрован с помощью IPSec, предоставляя нам столь необходимый уровень безопасности. Чтобы проверить и проверить это, все, что требуется, это попинговать другой конец и заставить туннель VPN IPSec подойти и начать шифрование/дешифрование наших данных:

Используя команду show crypto session, мы можем быстро убедиться, что шифрование установлено и выполняет свою работу:

Поздравляю! Мы только что успешно создали Point-to-point GRE over IPSec VPN туннель между двумя маршрутизаторами Cisco.

Было полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник

Adblock
detector