Page 1

CHAPITRE 14
GRE Tunneling sur IPsec
Generic Routing Encapsulation (GRE) tunnels ont t autour depuis un certain temps. GRE
tait d'abord dvelopp par Cisco comme un moyen pour transporter d' autres protocoles
routs travers une prdominance IP rseau. Certains administrateurs rseau ont essay de
rduire les frais gnraux d'administration dans le noyau de leurs rseaux en supprimant tous
les protocoles sauf IP pour le transport. Comme ces protocoles, non-IP tels que IPX et
AppleTalk ont t Tunneled travers le noyau IP via GRE.
GRE ajoute un nouvel en- tte GRE au paquet existant. Ce concept est similaire tunnel IPsec
mode. Le paquet d'origine est effectu par l'intermdiaire du rseau IP, et seul le nouvel entte externe est utilis pour le transfert. Une fois que le paquet GRE atteint la fin du tunnel
GRE, l'extrieur en- tte est enlev, et le paquet interne est nouveau expos.
Aujourd'hui, les rseaux multiprotocoles ont essentiellement disparu. Il est difficile de trouver
des traces de la diffrents protocoles utiliss pour tre abondantes dans toute l'entreprise et les
principales infrastructures. Dans un rseau IP pure, GRE a d'abord t considr comme un
protocole d'hritage inutile. Mais la croissance d'IPsec a vu une renaissance dans l'utilisation
de GRE dans les rseaux IP. Ce chapitre parle de l'utilisation de GRE dans un
Environnement IPsec.
"Je ne sais dj?" Quiz
Le but du quiz "Do I Know Ce Dj?" Est de vous aider dcider si vous avez vraiment
besoin de lire tout le chapitre. Si vous avez dj l' intention de lire tout le chapitre, vous ne
ncessairement besoin de rpondre ces questions.
Le 15 questions du quiz, provenant des grandes sections dans la partie Fondation Sujets de
la chapitre, vous aide dterminer comment dpenser votre temps d'tude limite.
Tableau 14-1 dcrit les principaux sujets abords dans ce chapitre et le "Ne sais - je Cette
Dj? "Questions du quiz qui correspondent ces sujets.
Page 2
328 Chapitre 14: GRE Tunneling sur IPsec
1. Quel est le montant minimum de tte supplmentaire que le GRE ajoute un paquet?
une. 16 octets
b. 20 octets
c. 24 octets
r. 36 octets
e. 48 octets
2. Laquelle des options valides suivantes sont dans un en- tte de GRE (cochez toutes les
cases)?
une. GRE Header Length
b. Checksum Present
c. Prsent Key
r. Encryption externe
e. Protocole
3. Quel est le but d'une interface de tunnel GRE?
une. Il est toujours l'interface source du tunnel.
b. Il est toujours l'interface de destination du tunnel.
c. Il est o le protocole qui se dplace travers le tunnel est configur.
r. Il est l'interface qui correspond l'orifice du canal physique.

e. Il ne sert pas aujourd'hui.

Tableau 14-1
"Je ne sais dj?" Sujets Fondation Section Question Mapping
Fondation Sujets Section
Questions abordes dans cette section
But
GRE Caractristiques
1 GRE - tte
2 Configuration GRE Basic
3 Scuriss GRE Tunnels
4-5 Configurer GRE sur IPsec Utilisation de SDM
6-15 Score total
ATTENTION L'objectif de l' auto-valuation est d'valuer votre matrise des sujets dans ce
chapitre.
Si vous ne connaissez pas la rponse une question ou ne sont que partiellement sr de la
rponse, vous devriez marquer cette mauvaise question des fins d'auto-valuation. Se donner
le crdit pour une rponse que vous devinez correctement biaise les rsultats de votre autovaluation et pourrait vous fournir un faux sentiment de scurit.
page 3
"Je ne sais dj?" Quiz
329
4. Lorsque le mode de transport IPSec est utilis, combien de ttes IP se trouvent dans le GRE
sur IPsec paquet?
une. Un en- tte IP d' origine est reproduite lorsque cela est ncessaire.
b. Deux- en- tte IP d' origine et l' en- tte GRE IP.
c. Deux- en- tte IP d' origine et l' en- tte IP IPsec.
r. Trois- en- tte d' origine IP, l' en- tte GRE IP et l' en- tte IP IPsec.
e. Quatre- en- tte IP d' origine, l' en- tte GRE IP, l' en- tte IP IPsec et l'IP externe entte.
5. Quelle fonctionnalit ne GRE introduire qui ne peut tre accompli avec IPsec normal?
une. GRE augmente la taille du paquet de telle sorte que la taille de paquet minimum est
facilement satisfaite.
b. GRE ajoute le cryptage robuste pour protger le paquet interne.
c. GRE ncessite le squenage de paquets de sorte que les paquets hors-commande peuvent
tre rassembls
correctement.
r.
GRE ajoute un en- tte IP supplmentaire confondre en outre des dispositifs de paquets
Snooping.
e.
GRE permet le routage dynamique entre les sites finaux.
6.
Quels sont les composants de base au sein de l'Assistant GRE (Secure cochez toutes les
cases)?
une.
Configuration de l' interface du routeur
b.
La configuration du tunnel GRE
c.

Configuration des paramtres IPSec

r.
Configuration de l' authentification du routeur
e.
Configuration des protocoles de routage
7.
Quelle est l'adresse IP l' intrieur du tunnel GRE utilis?
une.
Le point tunnel de peering GRE.
b.
Le point tunnel IPsec peering.
c.
Le point des protocoles de routage de peering.
r.
L'interface de gestion du routeur.
e.
Il n'y a pas d' adresse IP l' intrieur du tunnel GRE.
8.
Quelle option doit tre configure si un tunnel GRE scuris de sauvegarde est configur?
une.
Interface Source
b.
Source adresse IP
c.
Interface de destination
r.
Adresse IP de destination
e.
Destination nom du routeur
page 4
330 Chapitre 14: GRE Tunneling sur IPsec
9.
Quelles mthodes sont disponibles pour l' authentification VPN lorsqu'il est utilis avec un
tunnel GRE (tout slectionner
qui appliquent)?
une.
Les certificats numriques
b.
Cls pr-partages
c.
biomtrie
r.
OTP
e.
KMA
dix.
Lors de la cration / la slection d' une proposition IKE, qu'est-ce que le numro de priorit
indique?
une.

Le numro de priorit est un numro de squence.

b.
Le numro de priorit dtermine l'algorithme de chiffrement.
c.
Le numro de priorit permet de dterminer la mthode d'authentification.
r.
Le numro de priorit est li au groupe Diffie-Hellman.
e.
Le numro de priorit est ncessaire pour slectionner l'algorithme de hachage.
11.
Comment sont IPsec transformer des ensembles utiliss dans l'Assistant GRE scuris?
une.
Il doit y avoir un IPsec unique de transformation dfinie pour chaque peer VPN.
b.
Il doit y avoir un IPsec unique de transformation dfinie pour chaque tunnel GRE.
c.
Les deux extrmits d'un VPN doivent utiliser le mme IPsec transformer set.
r.
Le mme IPsec transformer ensemble peut tre utilis pour tous les pairs VPN.
e.
Site site VPN IPsec transformer les ensembles ne peuvent pas tre utiliss pour GRE sur
IPSec VPN.
12.
Quels protocoles de routage dynamique peuvent tre configurs dans le GRE sur IPsec tunnel
(tout slectionner
qui appliquent)?
une.
DCHIRURE
b.
OSPF
c.
EIGRP
r.
BGP
e.
Statique
13.
Quelles options de routage sont appropries lors de l' utilisation la fois primaire et un tunnel
GRE sauvegarde
(Slectionnez tout ce qui s'y rapporte)?
une.
DCHIRURE
b.
OSPF
c.
EIGRP
r.
BGP
e.
Statique

page 5
"Je ne sais dj?" Quiz
331
14.
Lorsque vous utilisez OSPF dans le GRE sur IPsec tunnel, quels paramtres OSPF doivent
correspondre pour que
les deux pairs tablissent une contigut OSPF (cochez toutes les cases)?
une.
Adresse IP de l'interface tunnel GRE
b.
Subnet de l'interface tunnel GRE
c.
Zone OSPF de l'interface tunnel GRE
r.
OSPF ID de processus de chaque routeur
e.
Nombre de rseaux configurs dans OSPF sur chaque routeur
15.
Dans le rsum de la fentre de configuration, comment la configuration affiche est
modifi?
une.
Saisissez les modifications directement dans la fentre de dfilement et cliquez sur le bouton
Appliquer en bas
de la fentre.
b.
Les modifications ne peuvent tre faites partir de toute assistant.
c.
Cliquez sur le bouton Modifier pour revenir la fentre de configuration.
r.
Cliquez sur le bouton Prcdent pour revenir la fentre de configuration.
e.
Cliquez sur le bouton Suivant pour passer la fentre Modifier la configuration.
Les rponses au quiz "Do I Know Ce Dj? Se trouvent l' annexe A, "Rponses la
'Dois - je le savez dj? Questionnaires et Q & A Sections. "Les choix proposs pour votre
prochaine tape
sont les suivants:

10 ou moins score global -Lire l'ensemble du chapitre. Cela inclut les "Sujets de la
Fondation,"
"Rsum de la Fondation," et "Q & A" sections.

11 ou 13 score global -Dbut avec la section "Rsum Foundation", puis aller la

Section "Q & A".

14 ou plus score global -Si vous voulez plus d' avis sur ces sujets, passez la Fondation
Rsum "section, puis passez la section" A "Q &. Sinon, passer au chapitre suivant.
page 6
332 Chapitre 14: GRE Tunneling sur IPsec

Fondation Sujets
GRE Caractristiques
La puissance initiale du GRE est que quelque chose pouvait tre encapsul en elle. La
principale utilisation de GRE
tait de transporter des paquets non-IP via un rseau IP; Cependant, le GRE a galement t
utilis pour transporter IP
paquets travers un nuage IP. Utilis de cette faon, l' en- tte IP d' origine est enterr l'
intrieur du GRE
en- tte et cach des regards indiscrets. Les caractristiques gnriques d'un tunnel GRE sont
les suivantes:

Un tunnel GRE est semblable un tunnel IPsec parce que le paquet original est plac l'
intrieur de
une enveloppe extrieure.

GRE est apatride, et propose aucun mcanisme de contrle de flux.

GRE ajoute au moins 24 octets de surcharge, y compris le nouvel en- tte IP de 20 octets.

GRE est multiprotocole et peut crer un tunnel tout OSI de protocole de couche 3.

GRE protocoles de routage permet de se dplacer travers le tunnel.

GRE tait ncessaire pour effectuer le trafic IP multicast jusqu' ce que l' IOS Cisco Release
12.4 (4) T.

GRE a relativement faibles caractristiques de scurit.

Le tunnel GRE lui - mme est semblable un tunnel IPsec. Le tunnel a deux points d'
extrmit. Le trafic entre
une extrmit du tunnel et sort par l'autre extrmit. Alors que dans le tunnel, les routeurs
utilisent le nouvel en- tte externe
seulement de transmettre les paquets.
Le tunnel GRE est apatride. Contrairement un tunnel IPsec, les points d' extrmit ne
coordonnent pas tout
paramtres avant d' envoyer le trafic travers le tunnel. Tant que la destination du tunnel est
route
le trafic peut circuler travers elle. En outre, par dfaut, le GRE fournit pas la fiabilit ou le
squenage. Tel
caractristiques sont gnralement traites par les protocoles de couche suprieure.
Tunnels GRE offrent une scurit minimale, alors que IPsec offre une scurit par le biais de
la confidentialit,
l' authentification des donnes, et l' assurance de l' intgrit. GRE possde un mcanisme de
cryptage de base, mais la cl
est ralise en mme temps que le paquet, qui contrecarre un peu le but.
GRE fait ajouter un en- tte supplmentaire de 24 octets de frais gnraux. Cette surcharge
contient un nouveau 20-byte IP
en- tte, qui indique les adresses IP source et destination du tunnel GRE. Le reste
4 octets sont l' en- tte GRE lui - mme. D' autres options GRE peuvent augmenter l' en- tte
GRE jusqu'
un autre 12 octets.

page 7
GRE - tte
333
Il est important de noter que la taille de paquet suprieure cause par les en- ttes
supplmentaires peuvent avoir une
effet nfaste sur les performances du rseau. Du fait que les en- ttes supplmentaires sont
dynamiquement
ajoute, la plupart des utilisateurs pensent que rien de mauvais peut se produire la suite.
Si un paquet est plus grand que le
l'unit d' interface de transmission maximale (MTU) permet, le routeur doit fragmenter le
paquet dans
petits morceaux pour adapter. Cet effort de fragmentation peut ajouter importante surcharge
de CPU un routeur, qui
peut affecter tout transfert de paquets.
GRE est un outil de tunneling simple mais puissant. Il peut tunnel tout OSI protocole de
couche 3 sur IP. Comme
tel, il est fondamentalement une connexion prive point point. Une connexion prive entre
deux
paramtres est la dfinition de base d'un VPN.
Contrairement IPsec, GRE permet des protocoles de routage (tels que OSPF et EIGRP)
travers la connexion.
Ce n'est pas le cas avec des tunnels IPsec typiques. Tunnels IPsec peuvent envoyer des
paquets IP, mais pas de routage
protocoles. Avant les paquets IP peuvent voyager travers le tunnel IPsec, cependant, les
routes statiques sont
ncessaire sur chaque noeud final pour le routage IPSec sensibilisation l'extrmit oppose.
Ce financement supplmentaire
les frais de configuration n'chelle pas bien avec un grand nombre de tunnels IPsec.
Jusqu' IOS Cisco Release 12.4 (4) multicast T, IP a d tre envoy sur le GRE. Avant cela
IOS version, IPsec ne pouvait pas porter le trafic IP multicast. Mme si IOS 12.4 (4) T prend
dsormais en charge IP
le trafic multicast, GRE sur IPsec doit encore tre utilis pour raliser des protocoles de
routage dynamique.
GRE n'a pas de fonctions de scurit solides. L' en- tte fournit une option, quoique faible,
la cl de scurit du mcanisme. Par consquent, aucune forte confidentialit, authentification
de la source de donnes, ou des donnes
mcanismes d'intgrit existent dans GRE. Cependant, IPsec assure la confidentialit (DES,
3DES, ou
AES), et l' authentification de la source et l' intgrit des donnes avec MD5 ou SHA-1
HMAC.
Ainsi, un tunnel GRE, qui transporte le trafic multicast et le routage, peut tre envoy par un
IPsec
tunnel pour une scurit accrue.
GRE - tte
L' en- tte GRE lui - mme contient 4 octets, ce qui reprsente la taille minimale d' en- tte
GRE avec
sans ajout d' options. La premire paire d'octets (bits 0 15) contient les indicateurs qui
indiquent le

prsence d'options GRE. Ces options, si elle est active, ajouter une charge supplmentaire l'
en- tte GRE. le
deuxime paire d'octets est le champ de protocole et indique le type de donnes qui est port
dans le GRE
tunnel. Tableau 14-2 dcrit les options d' en- tte GRE.
page 8
334 Chapitre 14: GRE Tunneling sur IPsec
La Checksum Option actuelle (bit 0) ajoute un champ de contrle de 4 octets facultatif la
tte GRE.
Cette somme de contrle apparat aprs le champ de protocole dans l' en- tte GRE seulement
si le prsent Checksum
bit est rgl. Normalement, cette option est ncessaire parce que d' autres protocoles de
couche suprieure fournissent
capacits checksum pour dtecter paquet corruption.
L'option actuelle Key (bit 2) ajoute un champ de cl de 4 octets facultatif la tte GRE. Ce
texte clair
cl suit le champ de contrle. La cl est utilise pour fournir l' authentification de base o
chaque GRE
point final a la cl. Toutefois, la cl elle - mme est expose dans l' en- tte GRE. En raison de
ce
la vulnrabilit, le chiffrement GRE est gnralement pas utilis. Toutefois, la valeur de la cl
peut tre utilise pour
identifier de faon unique plusieurs tunnels entre deux points d' extrmit. Ce serait semblable
un SPI IPsec.
L'option de numro de squence (bit 3) ajoute un champ de numro de squence de 4 octets
facultatif la GRE
entte. Cette valeur de squence suit l'option cl. Cette option est utilise pour squencer
correctement GRE
les paquets l' arrive. Semblable l'option de somme de contrle, il est gnralement pas
utilis parce que la couche suprieure
protocoles offrent galement cette fonctionnalit.
Bits 13-15 indiquent le numro de version GRE. 0 reprsente le GRE de base, tandis que la
figure 1 montre
Point-to-Point Tunneling Protocol (PPTP) est utilis. PPTP ne sont pas couverts dans ce livre.
La seconde 2 octets de l' en- tte GRE reprsentent le champ Protocole. Ces 16 bits identifient
le type
du paquet qui est port l' intrieur du tunnel GRE. Ethertype 0x0800 indique IP. Figure 14-1
montre
un paquet GRE avec toutes les options prsents ont ajout l' en- tte et des donnes IP.
Tableau 14-2
Options d'en- tte GRE
Bit GRE - tte
Option
La description
0
Checksum Present
Ajoute un champ de contrle de 4 octets l' en- tte GRE aprs la
champ de protocole si ce bit est mis 1.
2

Prsent Key
Ajoute une cl de chiffrement de 4 octets l' en- tte GRE aprs la
champ de contrle si ce bit est rgl sur 1.
3
Numro de squence
Prsent
Ajoute un numro de squence de 4 octets de l' en- tte GRE aprs la
champ de cl si ce bit est mis 1.
13-15
GRE Version
0 indique GRE de base, tandis que 1 est utilis pour PPTP.
page 9
Configuration GRE Basic
335
Figure 14-1
GRE Packet Format
Sur la figure 14-1, seul l' en- tte GRE requis et en- tte IP d' origine et de paquets
apparaissent typiquement
dans des configurations de tunnel GRE. Les options GRE ne sont normalement pas utilises
parce que la couche suprieure
protocoles offrent des fonctionnalits similaires.
Configuration GRE Basic
Un tunnel GRE comporte un certain protocole de couche 3 entre deux points d'extrmit IP.
Lors de l'utilisation initiale de
Tunnels GRE, le contenu du tunnel taient gnralement tout protocole , sauf IP. Aujourd'hui,
les tunnels GRE sont
utilis pour transporter des donnes IP sur un rseau IP. Mais le tunnel GRE lui - mme peut
tre envoy par un IPsec
tunnel pour la scurit. Figure 14-2 montre une configuration de base du tunnel GRE.
Figure 14-2
GRE Configuration Tunnel
Drapeaux GRE
Type de protocole
En- tte IP
Transport
Entte
Donnes
Requis GRE - tte
D' origine en- tte et paquets IP
En option GRE Header
Tunnel IP
Entte
20 octets
2 octets
2 octets
Checksum Offset
Cl
Squence
Nombre

4 octets
4 octets
4 octets
Bureau central
192.168.102.0/24
Bureau distance
192.168.2.0/24
Internet
S2 / 1: 172.16.1.2
S3 / 2: 10.1.3.2
GRE Tunnel
interface srie 2/1
adresse ip 172.16.1.2 de 255.255.255.0
Interface tunnel 0
adresse ip 192.168.200.1 255.255.255.0
source de tunnel srie 2/1
tunnel destination 10.1.3.2
mode tunnel gre ip
interface srie 3/2
adresse ip 10.1.3.2 de 255.255.255.0
Interface tunnel 2
ip addr 192.168.200.2 255.255.255.0
Source de tunnel srie 02/03
tunnel destination 172.16.1.2
mode tunnel gre ip
routeur
routeur B
192.168.1.0/24
192.168.101.0/24
page 10
336 Chapitre 14: GRE Tunneling sur IPsec
Les composants de configuration de base d'un tunnel GRE comprennent

Une source de tunnel (une adresse d'interface ou IP locale ce routeur)

Une destination de tunnel (une adresse IP d'un routeur distant)

Un mode tunnel (GRE / IP est la valeur par dfaut)

La circulation du tunnel (donnes qui se dplace travers le tunnel, et qui est encapsul par l'
en- tte GRE)
Dans la figure 14-2, deux points d'extrmit IP ont un tunnel GRE configur entre eux. Le
tunnel GRE est
en fait dfinie comme une interface dans chaque routeur. L'interface GRE est ce qui rend GRE
multiprotocole. Cartes cryptographiques IPsec peuvent correspondre uniquement les listes
d'accs IP. Une interface de routeur peut tre
configur pour, et donc le transport, tout protocole. Les protocoles disponibles dpendent de
la
Cisco IOS fonctionnalits install.

La source de tunnel et de destination sont des interfaces IP. Ainsi, le GRE se dplace travers
un rseau IP.
Le protocole configur sur les interfaces GRE sont les donnes qui se dplace travers le
tunnel GRE.
La source de tunnel GRE une extrmit doit correspondre la destination l'autre extrmit,
et vice versa.
Cette validation IP est ralise comme le tunnel GRE est tabli. Pour un routage correct
travers le
Tunnel GRE, un sous - rseau commun doit tre configur dans le tunnel.
Dans la figure 14-2, IP est configur dans le tunnel GRE. Les deux sites, ainsi que le tunnel
lui - mme,
utiliser RFC 1918 adressage priv. Routage IP circule entre les sites travers le tunnel GRE
par
un moyen de votre protocole de routage prfr (non reprsent). Pour des fins de
documentation, le public
rseau utilise galement l' adressage priv, bien que ce soit certainement pas une exigence.
Scuriss GRE Tunnels
"GRE sur IPsec" implique que le paquet GRE se trouve plus haut dans la pile que la partie
IPsec.
Semblable la faon dont le protocole TCP / IP est reprsent, TCP est la couche 4, tandis
que IP est la couche 3. Lorsque prvu dans
un paquet graphique, la partie de TCP est l' intrieur de la partie IP. La mme chose est vraie
avec GRE sur IPsec.
Le paquet d' origine est la couche la plus interne. Ensuite , l'enveloppe GRE apparat. Enfin, le
IPsec
partie est ajoute pour la scurit. Figure 14-3 montre le format GRE sur IPsec de paquets.
ASTUCE Le logiciel Cisco Advisor (http://tools.cisco.com/Support/Fusion/FusionHome.do)
aide slectionner la fonction IOS approprie fixe pour toute plate - forme de routeur Cisco
donn.
page 11
Scuriss GRE Tunnels
337
Figure 14-3
GRE sur IPsec Packet Format
Comme le montre la figure 14-3, il y a plusieurs couches IP dans un GRE sur IPsec paquet. Le
plus l' intrieur
couche est le paquet IP d' origine. Cela reprsente des donnes qui se dplace entre deux
appareils, ou deux
des sites. Le paquet IP initial est encapsul dans un en- tte GRE pour permettre des
protocoles de routage pour voyager
entre dans le tunnel GRE (quelque chose qui IPsec seul ne peut pas faire). Et IPSec est ajout
en tant que la partie extrieure
couche pour assurer la confidentialit et l' intgrit ( ce qui est une lacune du GRE par lui mme). La fin
Il en rsulte que deux sites peuvent changer des paquets en toute scurit de l' information et
de routage IP.
Figure 14-3 est aussi un rappel des deux modes IPsec: tunnel et transport. Le mode de
transport est

utilis si l' en- tte IP d' origine peut tre expose, tandis que le mode tunnel protge l' en- tte
IP d' origine
dans un nouvel en- tte IP IPsec. Lorsque vous utilisez GRE sur IPsec, le mode de transport
est souvent suffisant,
parce que les points de terminaison du GRE et IPsec sont souvent les mmes. Que ce soit en
mode tunnel ou de transport est
slectionn, l' en- tte IP d' origine et de paquets sont entirement protgs.
Ce qui pourrait se perdre dans la figure 14-3 est la taille des nouveaux paquets crs en raison
de la plus
encapsulations. Chaque en- tte IP ajoute 20 octets la taille du paquet. Cela ne comprend pas
les frais gnraux
pour les en- ttes ESP et GRE. Pour petits paquets IP, il est possible que le GRE sur les enttes IPsec
peut tre beaucoup plus grande que le paquet d' origine lui - mme. L' efficacit du rseau
peut tre dtermin par la
rapport des donnes relles par rapport la surcharge associe au transport des donnes.
Quand il y a
plus de frais gnraux (en - ttes de paquets) que des donnes relles, le rseau est
intrinsquement moins efficace.
La plupart des GRE plus IPsec implmentations utilisent un design hub-and-spoke. Bien que
non obligatoire,
une telle conception minimise les frais gnraux de gestion vu avec la gestion d' un grand
nombre d'IPsec
les tunnels. Par exemple, si dix sites ont t entirement maill avec GRE sur les tunnels
IPsec, il faudrait
45 tunnels ([10 * 9] / 2). Dans un design hub-and-spoke, connectivit complte (via le hub)
est accompli
avec seulement neuf tunnels. Figure 14-4 compare graphiquement un maillage complet de
tunnels par rapport un centre-eta parl design.
Mode Tunnel
Mode de transport
ESP IP
Entte
GRE IP
Entte
ESP
Entte
ESP
Entte
GRE IP
Entte
ESP
Bande annonce
IP
Entte
TCP
Entte
Donnes
GRE

ESP
Bande annonce
IP
Entte
TCP
Entte
Donnes
GRE
page 12
338 Chapitre 14: GRE Tunneling sur IPsec
Figure 14-4
Mesh complte contre Hub-and-Spoke
Dans un tunnel IPsec normal, les routes statiques sont ncessaires pour les paquets IP directs
dans le tunnel IPsec VPN.
Les protocoles de routage peuvent fonctionner l' intrieur du tunnel GRE, la cration d' une
topologie de routage dynamique. GRE
fournit la connectivit de routage, alors que IPsec fournit la confidentialit et de l' intgrit.
Avec
GRE, les protocoles de routage peut maintenant fonctionner l' intrieur du tunnel IPsec.
Mesh complet
Hub and Spoke
page 13
Configurer GRE sur IPsec Utilisation de SDM
339
Configurer GRE sur IPsec Utilisation de SDM
Ce chapitre explore comment configurer GRE sur IPsec en utilisant l'outil de SDM. Le
chapitre prcdent
vous a donn la possibilit de crer un tunnel IPsec dans SDM, et se familiariser avec le SDM
interface. Cette section se dveloppe sur les comptences de navigation prcdentes que vous
avez appris.
Lancez le GRE sur Assistant IPsec
Le GRE sur IPsec assistant est accessible partir de la mme fentre qui a commenc le VPN
de site site
Assistant comme on le voit dans le chapitre 13. Figure 14-5 montre comment accder la
GRE sur IPsec assistant.
Figure 14-5
GRE sur Assistant IPsec
Semblable la faon dont l' assistant de site site VPN a t lanc dans le chapitre 13, le
GRE sur IPsec
Assistant est accessible comme suit:
tape 1
Cliquez sur le bouton Configurer en haut de la fentre.
tape 2
Cliquez sur le bouton VPN dans la barre des tches sur la gauche.
tape 3
Cliquez sur l'option de site site VPN en haut du menu.
tape 4
Cliquez sur l'onglet Crer un site site VPN dans la fentre.

Etape 5
Cliquez sur le lien Crer un tunnel GRE scuris (GRE sur IPSec) bouton radio.
Etape 6
Cliquez sur le bouton Lancer la tche slectionne au bas de la fentre.
page 14
340 Chapitre 14: GRE Tunneling sur IPsec
Quand vous accomplissez avec succs ces tches, l'Assistant GRE scuris commence. Le
Secure GRE
Tunnel (GRE sur IPsec) fentre vous rappelle les capacits et le but d'un tel tunnel.
Les tapes de base de l'Assistant GRE scuris sont les suivantes:
tape 1
Crer le tunnel GRE.
tape 2
Crer un tunnel GRE sauvegarde ( en option).
tape 3
Slectionnez la mthode d'authentification IPsec VPN.
tape 4
Slectionnez les propositions IPsec VPN IKE.
Etape 5
Slectionnez le VPN IPsec transformer des ensembles.
Etape 6
Slectionnez la mthode de routage pour le GRE sur IPsec tunnel.
Etape 7
Valider la GRE sur IPsec configuration.
Pour continuer dans l'assistant, cliquez sur Suivant> en bas de la fentre.
tape 1: Crer le tunnel GRE
La premire partie de la GRE sur IPsec tunnel est le tunnel GRE. La Figure 14-3 montre les
diverses
couches au sein du GRE sur IPsec tunnel. Le paquet IP d' origine est la partie la plus interne.
Prochain
vient la couche GRE. Figure 14-6 montre la fentre GRE Tunnel information.
Figure 14-6
GRE Tunnel information
page 15
Configurer GRE sur IPsec Utilisation de SDM
341
La fentre GRE Tunnel information est la premire fentre de configuration du GRE scuris
Sorcier. Il existe deux ensembles d'adresses IP qui sont appliques la GRE interface du
tunnel tunnel
la source et la destination (en haut de la fentre) reprsenter l' en- tte GRE IP (reprsente sur
la figure
14-3).
La source de tunnel est soit slectionn dans une liste droulante des interfaces dans ce
routeur ou entre
manuellement. Si une interface est slectionne dans la liste, l'adresse IP de l'interface est
automatiquement
utilis comme source de tunnel GRE. La destination du tunnel est l'adresse IP du pair GRE
distance

et doivent tre saisies manuellement.

L'adresse IP du tunnel GRE est le sous - rseau IP utilis dans le tunnel lui - mme. Ce sous rseau peut tre
utilis pour la gestion (l'autre extrmit peut tre ping) ou, plus important encore , pour le
protocole de routage
voisins. Le peer GRE distant doit utiliser une adresse IP unique sur le mme sous - rseau
interne.
Path MTU est activ par dfaut. Rappelez - vous que le GRE sur IPsec augmente
considrablement le IP
taille du paquet. Path MTU dcouverte utilise Internet Message Control Protocol (ICMP)
Inaccessible
messages pour dterminer la taille de paquet maximale possible entre les pairs du GRE. Si
besoin,
la fragmentation peut alors tre effectue par les points d' extrmit de GRE, par rapport en
cours de route, o il ne pourrait pas
tre effectue du tout.
Lorsque vous avez termin avec la fentre GRE Tunnel Information, cliquez sur Suivant> au
bas de
la fentre.
tape 2: Crer un GRE Tunnel de sauvegarde
L'Assistant GRE scuris offre la possibilit de crer un second tunnel GRE pour la survie. Si
la
Tunnel GRE choue pour une raison quelconque, le tunnel IPsec qui est port l' intrieur il
choue galement. Une sauvegarde
Tunnel GRE assure le basculement sans tat en cas de la perte du tunnel GRE primaire.
Figure
14-7 montre la fentre GRE Tunnel Informations de sauvegarde.
Parce qu'un tunnel GRE sauvegarde est une fonctionnalit optionnelle, vous devez cocher la
Crer une sauvegarde scurise
Tunnel GRE pour la bote de rsilience pour activer cette fentre. Une fois vrifis, les
options de configuration
sont trs semblables ceux utiliss pour crer le tunnel GRE primaire.
La mme source de tunnel est utilis pour les deux tunnels principaux et de sauvegarde du
GRE, donc il n'y a pas
possibilit de slectionner une source de tunnel dans la fentre de sauvegarde. Soit une
interface ou une adresse IP locale
adresse a dj t entre pour le tunnel GRE primaire. Il suffit de saisir l'adresse IP du
supplant pairs pour ce tunnel GRE sauvegarde. Cette adresse IP peut tre une interface
diffrente sur la
mme routeur par les pairs, ou un dispositif tout fait diffrent sur le site distant.
page 16
342 Chapitre 14: GRE Tunneling sur IPsec
Figure 14-7
Sauvegarde GRE Tunnel Informations
Comme pour le tunnel GRE primaire, vous devez crer une adresse IP unique sur un nouveau
sous - rseau IP au sein de
ce tunnel de secours. L'homologue distant doit utiliser le mme sous - rseau avec une adresse
IP exclusive de son

possder. Comme pour le tunnel GRE primaire, les adresses IP internes sont utilises pour
tablir le protocole de routage
voisins.
Lorsque vous avez termin avec la fentre GRE Tunnel Informations de sauvegarde, cliquez
sur Suivant> au
en bas de la fentre.
tapes 3-5: Information VPN IPsec
La couche la plus externe du GRE sur IPsec tunnel est le VPN IPsec. Les diffrentes fentres
utilises pour
entrez les informations IPsec sont presque identiques celles utilises pour crer un site site
IPsec VPN
discut dans le chapitre 13, Oprations VPN de site site."
La premire tche IPsec VPN est d'entrer les informations d'authentification VPN. Similaire
la figure 13-14,
soit des certificats numriques ou des cls pr-partages peuvent tre utiliss. Si les cls prpartages sont slectionns, la cl
doit tre entr deux fois pour assurer l' exactitude.
La deuxime tche IPsec VPN est de slectionner ou crer des propositions IKE. Cette fentre
est identique
celle de la figure 13-15, comme le sont les procdures utilises pour slectionner une
proposition IKE approprie pour
ce VPN IPsec. Rappelez - vous que l'homologue IPsec distant doit avoir une proposition IKE
identique
configur, et que la mme proposition IKE peut tre utilis pour de nombreux pairs distance.
page 17
Configurer GRE sur IPsec Utilisation de SDM
343
La troisime tche IPsec VPN est de slectionner ou crer IPsec transformer des ensembles.
Cette fentre est identique
celui reprsent sur la figure 13-16. A partir de l, de nouveaux ensembles de transformation
peuvent tre crs, et appropri
transformer ensemble peut tre slectionn pour une utilisation avec ce IPsec VPN. Rappelez
- vous que l'homologue IPsec distance
doit avoir un IPSec identique de transformation dfinie configur, et que le mme IPsec
transformer ensemble peut
tre utilis pour de nombreux pairs distance.
tape 6: Routing Information
Une fois la fois le tunnel GRE et les tunnels IPsec ont t configurs, la dernire tape
consiste slectionner un
protocole de routage pour traverser le tunnel GRE. Rappelez - vous que d'un VPN IPsec
typique, le seul
l' option de routage est de configurer des routes statiques de chaque ct. Ces itinraires
statiques dterminent manuellement
qui prfixes sont accessibles par l'intermdiaire du VPN IPsec. Figure 14-8 montre le Select
Routage
Fentre de protocole de l'Assistant GRE scuris.
Figure 14-8
Slectionnez Protocole de routage

Routage statique est l'option par dfaut (bouton radio) dans le processus de slection du
protocole de routage. L
sont quatre options de routage pris en charge dans le tunnel GRE:

EIGRP

OSPF

DCHIRURE

Routage statique
page 18
344 Chapitre 14: GRE Tunneling sur IPsec
Chaque option de routage utilise la fentre Routing Information pour configurer les options
individuelles. Routes
qui sont configurs manuellement (statique) ou dynamiquement changs (RIP, OSPF, EIGRP
ou) par
le GRE sur tunnel IPsec devenir le "trafic intressant" dcrit qui dcide o le trafic est
crypt par le tunnel IPsec. Une fois que vous avez slectionn un protocole de routage,
cliquez sur Suivant> au
bas de la fentre pour passer la fentre d' information de routage pour le routage appropri
protocole.
Lorsque vous utilisez le GRE sur l' assistant IPsec, RIP est pas une option de routage
dynamique disponible partir du
Slectionnez la fentre Routing Protocol si un tunnel GRE sauvegarde a t configur
prcdemment. Seulement OSPF ou
EIGRP peut tre activ lorsque deux tunnels GRE la mme distance sont utiliss.
Routes statiques
Le routage statique est gnralement utilis pour soutenir les petits sites de stub qui ont
seulement un seul sous - rseau. Non
des informations de routage dynamique est chang entre les sites. Si un site a plusieurs sous rseaux qui sont
utiliser le VPN, ou si un site utilise des tunnels VPN de sauvegarde, puis le routage statique
est inapproprie.
Si le routage statique est slectionn dans la fentre Slection du protocole de routage de
l'assistant, le premier choix
prsent est de savoir si faire split tunneling ou non. Split tunneling permet au routeur
d'envoyer certains
le trafic via le VPN IPSec vers le ct distant, et le reste du trafic non protg en
le rseau public. Ceci est trs similaire la dfinition du trafic intressant avec IPsec VPN.
Entrez un sous - rseau IP et le masque de sous - rseau qui doit tre protge dans le tunnel
VPN.
Les permis de l' assistant seulement un itinraire statique simple configurer au sein de
l'option split tunneling. Si
la tunnelisation est pas slectionn (l'option Tunnel Tout le trafic), puis une route par dfaut
est ajout la
routeur qui envoie tout le trafic travers le GRE sur IPsec tunnel.
Lorsque vous avez termin avec les options de routage statique, cliquez sur Suivant> en bas
de la fentre pour

avancer au Rsum de la fentre de configuration.

DCHIRURE
La premire option de configuration RIP est la version. Slectionnez la version 1 utiliser
l'ancienne version classful
du RIP, ou la version 2 pour la version sans classes plus moderne qui envoie le masque de
sous - rseau avec le
les mises jour de routage. Ensuite, cliquez sur Ajouter ... rseaux locaux bouton pour le
protocole de routage RIP.
Rappelez -vous que vous pouvez ajouter uniquement les numros de rseau classful entiers
pour RIP, et tous les sous - rseaux de ce
numro de rseau sont inclus. Vous devez ajouter le sous - rseau IP de l'interface GRE pour
RIP utiliser la
interface.
Routes qui ne sont pas ajouts la configuration RIP ne sont pas changes par le GRE sur
IPsec
tunnel. Seul le trafic sur les routes changes est protg par le VPN. Le trafic extrieur du
RIP
page 19
Configurer GRE sur IPsec Utilisation de SDM
345
routes vite le VPN. Il est important que le routeur distant galement configurer correctement
si RIP
routage voisins peuvent tre forms.
Lorsque vous avez termin avec les options RIP, cliquez sur Suivant> en bas de la fentre
pour faire avancer
au Rsum de la fentre de configuration.
OSPF
La premire tche OSPF est de slectionner ou de crer un processus OSPF ID. Si OSPF est
dj oprationnel dans
le routeur, vous pouvez slectionner un ID de processus dans le menu droulant. Si non, vous
devez crer un nouveau
Processus OSPF dans le routeur. Une fois que l'ID de processus est configur, vous devez
dterminer la zone OSPF
ID utiliser dans le GRE sur IPsec tunnel.
Ensuite, vous devez cliquer sur le bouton Ajouter ... pour ajouter des rseaux locaux pour le
protocole de routage OSPF. Dans
OSPF, vous devez entrer un numro de sous - rseau, un masque gnrique, et une zone pour
chaque rseau. Vous devez
ajouter le sous - rseau / masque / zone IP de l'interface GRE pour OSPF utiliser l'interface.
Routes qui ne sont pas ajouts la configuration OSPF ne sont pas changes par le GRE au
cours
Tunnel IPsec. Seul le trafic sur les routes changes est protg par le VPN. Circulation l'
extrieur de la
Routes OSPF vite le VPN. Il est important que le routeur distant galement configurer
correctement OSPF
alors contiguts de routage peuvent tre forms. Pour OSPF, cela signifie que les deux pairs
utilisent un sous - rseau commun
et la mme zone OSPF.

Lorsque vous avez termin avec les options OSPF, cliquez sur Suivant> en bas de la fentre
pour faire avancer
au Rsum de la fentre de configuration.
EIGRP
La premire tche EIGRP est de slectionner ou de crer un systme autonome EIGRP (AS)
nombre. Si EIGRP
est dj oprationnel dans le routeur, vous pouvez slectionner un nombre AS dans le menu
droulant. Sinon,
vous devez crer une nouvelle EIGRP AS numro dans le routeur.
Ensuite, vous devez cliquer sur le Ajouter ... bouton pour ajouter des rseaux locaux pour le
protocole de routage EIGRP. Dans
EIGRP, vous devez entrer un numro de sous-rseau et un masque gnrique pour chaque
rseau. Vous devez ajouter le
sous-rseau / masque de l'interface GRE pour EIGRP utiliser l'interface IP.
Routes qui ne sont pas ajouts la configuration EIGRP ne sont pas changes par le GRE au
cours
tunnel IPsec. Seul le trafic sur les routes changes est protg par le VPN. Circulation
l'extrieur de la
routes EIGRP vite le VPN. Il est important que le routeur distant galement configurer
correctement
EIGRP voisins afin de routage peuvent tre forms. Pour EIGRP, cela signifie que les deux
pairs utilisent une commune
sous-rseau et la mme EIGRP AS.
page 20
346 Chapitre 14: GRE Tunneling sur IPsec
Lorsque vous avez termin avec les options EIGRP, cliquez sur Suivant > en bas de la fentre
pour
avancer au Rsum de la fentre de configuration.
Etape 7: Valider la GRE sur Configuration IPsec
Une fois que vous avancez au-del de l'une des options de routage (les informations de
routage approprie
fentre), vous atteignez le Rsum de la fentre de configuration. Vous devez probablement
utiliser la
scrollbar pour afficher l'ensemble de la configuration cr par l'Assistant GRE scuris. Cette
fentre est
identique la fentre de rsum la fin du site de site l'Assistant VPN. Les diffrences ici
sont les options de configuration supplmentaires du tunnel GRE et le protocole de routage (si
l'on a t
configur).
Comme avec le site de site l'Assistant VPN, vous pouvez cliquez sur Terminer pour terminer
l'assistant de cette
fentre ou cliquez sur <Retour retourner dans l'assistant pour modifier toutes les
configurations reprsentes.
Une fois la configuration termine, les procdures pour tester et surveiller le GRE sur tunnel
IPsec
sont identiques celles pour le tunnel de site site IPsec dcrit au chapitre 13.
page 21
Rsum Fondation

347
Rsum Fondation
Les caractristiques gnriques d'un tunnel GRE sont les suivantes:

Un tunnel GRE est semblable un tunnel IPsec parce que le paquet d'origine est enroul
l'intrieur
une enveloppe extrieure.

GRE est apatride et propose aucun mcanisme de contrle de flux.

GRE ajoute au moins 24 octets de surcharge, y compris le nouvel en-tte IP de 20 octets.

GRE est multiprotocole et peut crer un tunnel tout OSI de protocole de couche 3.

GRE protocoles de routage permet de se dplacer travers le tunnel.

GRE tait ncessaire pour effectuer le trafic IP multicast jusqu' 12.4 (4) T.

GRE a relativement faibles caractristiques de scurit.

Tableau 14-3 dcrit les options d'en-tte GRE.
Les composants de configuration de base d'un tunnel GRE comprennent

Une source de tunnel (une adresse d'interface ou IP locale ce routeur)

Une destination de tunnel (une adresse IP d'un routeur distant)

Un mode tunnel (GRE / IP est la valeur par dfaut)

la circulation du tunnel (donnes qui se dplace travers le tunnel, et qui est encapsul par
l'en-tte GRE)
Tableau 14-3
options de GRE
Bit GRE-tte
Option
La description
0
Checksum Present
Ajoute un champ de contrle de 4 octets l'en-tte GRE aprs
le champ de protocole, si ce bit est mis 1.
2
Prsent Key
Ajoute une cl de chiffrement de 4 octets l'en-tte GRE aprs
le champ de somme de contrle si ce bit est mis 1.
3
Numro de squence
Prsent
Ajoute un numro de squence de 4 octets de l'en-tte GRE aprs
le champ de cl si ce bit est mis 1.
13-15
GRE Version

0 indique GRE de base, tandis que 1 est utilis pour PPTP.

page 22
348 Chapitre 14: GRE Tunneling sur IPsec
GRE sur IPsec utilise le tunnel GRE pour raliser des protocoles de routage IP dynamiques, et
utilise IPsec pour
respecter la confidentialit et de l'intgrit.
GRE sur IPsec en mode tunnel a un total de trois ttes IP dans le paquet. GRE sur IPsec
en utilisant le mode de transport n'a que deux ttes IP dans le paquet.
La plupart des GRE plus IPsec implmentations utilisent un design hub-and-spoke pour
limiter le nombre d'IPsec
tunnels pour garantir l'ensemble du rseau.
L'Assistant GRE scuris est accessible comme suit:
tape 1
Cliquez sur le Configurer bouton en haut de la fentre.
tape 2
Cliquez sur le VPN bouton dans la barre des tches sur la gauche.
tape 3
Cliquez sur le site site VPN option en haut du menu.
tape 4
Cliquez sur le Crer un site site VPN onglet dans la fentre.
Etape 5
Cliquez sur le Crer un tunnel GRE scuris (GRE sur IPSec) bouton radio.
Etape 6
Cliquez sur le lancement de la tche slectionne bouton au bas de la fentre.
Les tapes de base de l'Assistant GRE scuris comprennent
tape 1
Crer le tunnel GRE.
tape 2
Crer un tunnel GRE sauvegarde (en option).
tape 3
Slectionnez la mthode d'authentification IPsec VPN.
tape 4
Slectionnez les propositions IPsec VPN IKE.
Etape 5
Slectionnez le VPN IPsec transformer des ensembles.
Etape 6
Slectionnez la mthode de routage pour le GRE sur IPsec tunnel.
Etape 7
Valider la GRE sur IPsec configuration.
La fentre GRE Tunnel information est l'endroit o le tunnel GRE est configur dans SDM.
configuration comprend

source de tunnel (interface ou adresse IP locale)

destination du tunnel (adresse IP distante)

Adresse IP du tunnel intrieur et le masque de sous-rseau

chemin facultatif dcouverte MTU de savoir si la fragmentation doit tre effectue sur ce
routeur en raison
la taille de paquet suprieure cre par le GRE sur IPsec
page 23
Rsum Fondation
349
La fentre GRE Tunnel Informations de sauvegarde est l'endroit o la sauvegarde tunnel GRE
est configur dans
SDM. Le tunnel GRE sauvegarde utilise la mme source que le tunnel GRE primaire.
Configuration
comprend

Activer le tunnel de sauvegarde

destination du tunnel (adresse IP distante)

Adresse IP du tunnel intrieur et le masque de sous-rseau

La configuration VPN IPsec comprend trois phases, qui sont tous identiques ceux trouvs
dans le site site processus de configuration IPsec VPN:
1.
l'authentification VPN
2.
propositions IKE
3.
IPsec transformer ensembles
Il existe quatre options de routage pris en charge dans le tunnel GRE:

EIGRP

OSPF

DCHIRURE

Routage statique
Le routage statique peut configurer un seul sous-rseau et ne convient pas pour les sites avec
plusieurs sous-rseaux
ou pour les sites utilisant deux tunnels GRE.
RIP ne peut pas tre configur si un tunnel GRE de sauvegarde est configur.
Les deux OSPF et EIGRP utilisent des masques inverses lors de l'ajout des sous-rseaux au
protocole de routage.
Assurez-vous d'inclure le sous-rseau IP interne du tunnel GRE dans la configuration du
protocole de routage
de sorte que le protocole configur utilisera l'interface tunnel GRE.
La fentre Rsum de configuration vous permet de visualiser la configuration vient de crer
avec le
sorcier. Vous pouvez revenir l'assistant en cliquant sur le <Retour bouton pour effectuer des
modifications, ou vous pouvez
terminer l'assistant en cliquant sur le Finish bouton.

page 24
350 Chapitre 14: GRE Tunneling sur IPsec
Q&A
Les questions et les scnarios dans ce livre sont conus pour tre difficile et pour vous assurer
que vous
savoir la rponse. Plutt que de permettre de driver les rponses partir d'indices cachs
l'intrieur du
questions elles-mmes, les questions remettent en question votre comprhension et le rappel
du sujet.
Heureusement, la matrise de ces questions vous aidera limiter le nombre de questions
d'examen sur lequel
vous affiner votre choix deux options, puis deviner.
Vous pouvez trouver les rponses ces questions dans l'Annexe A. Pour plus de pratique avec
examen comme
formats de questions, utilisez le moteur de l'examen sur le CD-ROM.
1.
Quel type de fonctions de scurit ne GRE ont nativement?
2.
Quels sont les trois ttes facultatifs possibles avec GRE?
3.
Quel est le chiffrement GRE gnralement utilis?
4.
Quelle est la relation entre les adresses source et destination du GRE sur le tunnel
critres d'valuation?
5.
Quels modes IPsec peut tre utilis avec GRE sur IPsec?
6.
Quel est le principal moteur de dploiement GRE sur IPsec?
7.
Quelle est la squence pour lancer l'Assistant GRE scuris dans SDM?
8.
Quelles options doivent tre configures sur le tunnel GRE primaire dans l'Assistant GRE
scuris?
9.
Quelle option configuration GRE est pas ncessaire lors de la cration d'un tunnel GRE de
sauvegarde?
dix.
Quelles sont les trois tches IPsec qui sont configurs dans l'Assistant GRE scuris?
11.
Quelles options de routage sont disponibles dans le GRE sur IPsec configuration?
12.
Combien de routes statiques peuvent tre configurs dans l'Assistant GRE scuris?
13.
Quels protocoles de routage doit tre utilis si un tunnel GRE sauvegarde est dploy?
14.
Quelles sont les options disponibles dans la fentre Rsum de la configuration?