Beruflich Dokumente
Kultur Dokumente
CHAPITRE 14
GRE Tunneling sur IPsec
Generic Routing Encapsulation (GRE) tunnels ont t autour depuis un certain temps. GRE
tait d'abord dvelopp par Cisco comme un moyen pour transporter d' autres protocoles
routs travers une prdominance IP rseau. Certains administrateurs rseau ont essay de
rduire les frais gnraux d'administration dans le noyau de leurs rseaux en supprimant tous
les protocoles sauf IP pour le transport. Comme ces protocoles, non-IP tels que IPX et
AppleTalk ont t Tunneled travers le noyau IP via GRE.
GRE ajoute un nouvel en- tte GRE au paquet existant. Ce concept est similaire tunnel IPsec
mode. Le paquet d'origine est effectu par l'intermdiaire du rseau IP, et seul le nouvel entte externe est utilis pour le transfert. Une fois que le paquet GRE atteint la fin du tunnel
GRE, l'extrieur en- tte est enlev, et le paquet interne est nouveau expos.
Aujourd'hui, les rseaux multiprotocoles ont essentiellement disparu. Il est difficile de trouver
des traces de la diffrents protocoles utiliss pour tre abondantes dans toute l'entreprise et les
principales infrastructures. Dans un rseau IP pure, GRE a d'abord t considr comme un
protocole d'hritage inutile. Mais la croissance d'IPsec a vu une renaissance dans l'utilisation
de GRE dans les rseaux IP. Ce chapitre parle de l'utilisation de GRE dans un
Environnement IPsec.
"Je ne sais dj?" Quiz
Le but du quiz "Do I Know Ce Dj?" Est de vous aider dcider si vous avez vraiment
besoin de lire tout le chapitre. Si vous avez dj l' intention de lire tout le chapitre, vous ne
ncessairement besoin de rpondre ces questions.
Le 15 questions du quiz, provenant des grandes sections dans la partie Fondation Sujets de
la chapitre, vous aide dterminer comment dpenser votre temps d'tude limite.
Tableau 14-1 dcrit les principaux sujets abords dans ce chapitre et le "Ne sais - je Cette
Dj? "Questions du quiz qui correspondent ces sujets.
Page 2
328 Chapitre 14: GRE Tunneling sur IPsec
1. Quel est le montant minimum de tte supplmentaire que le GRE ajoute un paquet?
une. 16 octets
b. 20 octets
c. 24 octets
r. 36 octets
e. 48 octets
2. Laquelle des options valides suivantes sont dans un en- tte de GRE (cochez toutes les
cases)?
une. GRE Header Length
b. Checksum Present
c. Prsent Key
r. Encryption externe
e. Protocole
3. Quel est le but d'une interface de tunnel GRE?
une. Il est toujours l'interface source du tunnel.
b. Il est toujours l'interface de destination du tunnel.
c. Il est o le protocole qui se dplace travers le tunnel est configur.
r. Il est l'interface qui correspond l'orifice du canal physique.
page 5
"Je ne sais dj?" Quiz
331
14.
Lorsque vous utilisez OSPF dans le GRE sur IPsec tunnel, quels paramtres OSPF doivent
correspondre pour que
les deux pairs tablissent une contigut OSPF (cochez toutes les cases)?
une.
Adresse IP de l'interface tunnel GRE
b.
Subnet de l'interface tunnel GRE
c.
Zone OSPF de l'interface tunnel GRE
r.
OSPF ID de processus de chaque routeur
e.
Nombre de rseaux configurs dans OSPF sur chaque routeur
15.
Dans le rsum de la fentre de configuration, comment la configuration affiche est
modifi?
une.
Saisissez les modifications directement dans la fentre de dfilement et cliquez sur le bouton
Appliquer en bas
de la fentre.
b.
Les modifications ne peuvent tre faites partir de toute assistant.
c.
Cliquez sur le bouton Modifier pour revenir la fentre de configuration.
r.
Cliquez sur le bouton Prcdent pour revenir la fentre de configuration.
e.
Cliquez sur le bouton Suivant pour passer la fentre Modifier la configuration.
Les rponses au quiz "Do I Know Ce Dj? Se trouvent l' annexe A, "Rponses la
'Dois - je le savez dj? Questionnaires et Q & A Sections. "Les choix proposs pour votre
prochaine tape
sont les suivants:
10 ou moins score global -Lire l'ensemble du chapitre. Cela inclut les "Sujets de la
Fondation,"
"Rsum de la Fondation," et "Q & A" sections.
14 ou plus score global -Si vous voulez plus d' avis sur ces sujets, passez la Fondation
Rsum "section, puis passez la section" A "Q &. Sinon, passer au chapitre suivant.
page 6
332 Chapitre 14: GRE Tunneling sur IPsec
Fondation Sujets
GRE Caractristiques
La puissance initiale du GRE est que quelque chose pouvait tre encapsul en elle. La
principale utilisation de GRE
tait de transporter des paquets non-IP via un rseau IP; Cependant, le GRE a galement t
utilis pour transporter IP
paquets travers un nuage IP. Utilis de cette faon, l' en- tte IP d' origine est enterr l'
intrieur du GRE
en- tte et cach des regards indiscrets. Les caractristiques gnriques d'un tunnel GRE sont
les suivantes:
Un tunnel GRE est semblable un tunnel IPsec parce que le paquet original est plac l'
intrieur de
une enveloppe extrieure.
GRE ajoute au moins 24 octets de surcharge, y compris le nouvel en- tte IP de 20 octets.
GRE est multiprotocole et peut crer un tunnel tout OSI de protocole de couche 3.
GRE tait ncessaire pour effectuer le trafic IP multicast jusqu' ce que l' IOS Cisco Release
12.4 (4) T.
page 7
GRE - tte
333
Il est important de noter que la taille de paquet suprieure cause par les en- ttes
supplmentaires peuvent avoir une
effet nfaste sur les performances du rseau. Du fait que les en- ttes supplmentaires sont
dynamiquement
ajoute, la plupart des utilisateurs pensent que rien de mauvais peut se produire la suite.
Si un paquet est plus grand que le
l'unit d' interface de transmission maximale (MTU) permet, le routeur doit fragmenter le
paquet dans
petits morceaux pour adapter. Cet effort de fragmentation peut ajouter importante surcharge
de CPU un routeur, qui
peut affecter tout transfert de paquets.
GRE est un outil de tunneling simple mais puissant. Il peut tunnel tout OSI protocole de
couche 3 sur IP. Comme
tel, il est fondamentalement une connexion prive point point. Une connexion prive entre
deux
paramtres est la dfinition de base d'un VPN.
Contrairement IPsec, GRE permet des protocoles de routage (tels que OSPF et EIGRP)
travers la connexion.
Ce n'est pas le cas avec des tunnels IPsec typiques. Tunnels IPsec peuvent envoyer des
paquets IP, mais pas de routage
protocoles. Avant les paquets IP peuvent voyager travers le tunnel IPsec, cependant, les
routes statiques sont
ncessaire sur chaque noeud final pour le routage IPSec sensibilisation l'extrmit oppose.
Ce financement supplmentaire
les frais de configuration n'chelle pas bien avec un grand nombre de tunnels IPsec.
Jusqu' IOS Cisco Release 12.4 (4) multicast T, IP a d tre envoy sur le GRE. Avant cela
IOS version, IPsec ne pouvait pas porter le trafic IP multicast. Mme si IOS 12.4 (4) T prend
dsormais en charge IP
le trafic multicast, GRE sur IPsec doit encore tre utilis pour raliser des protocoles de
routage dynamique.
GRE n'a pas de fonctions de scurit solides. L' en- tte fournit une option, quoique faible,
la cl de scurit du mcanisme. Par consquent, aucune forte confidentialit, authentification
de la source de donnes, ou des donnes
mcanismes d'intgrit existent dans GRE. Cependant, IPsec assure la confidentialit (DES,
3DES, ou
AES), et l' authentification de la source et l' intgrit des donnes avec MD5 ou SHA-1
HMAC.
Ainsi, un tunnel GRE, qui transporte le trafic multicast et le routage, peut tre envoy par un
IPsec
tunnel pour une scurit accrue.
GRE - tte
L' en- tte GRE lui - mme contient 4 octets, ce qui reprsente la taille minimale d' en- tte
GRE avec
sans ajout d' options. La premire paire d'octets (bits 0 15) contient les indicateurs qui
indiquent le
prsence d'options GRE. Ces options, si elle est active, ajouter une charge supplmentaire l'
en- tte GRE. le
deuxime paire d'octets est le champ de protocole et indique le type de donnes qui est port
dans le GRE
tunnel. Tableau 14-2 dcrit les options d' en- tte GRE.
page 8
334 Chapitre 14: GRE Tunneling sur IPsec
La Checksum Option actuelle (bit 0) ajoute un champ de contrle de 4 octets facultatif la
tte GRE.
Cette somme de contrle apparat aprs le champ de protocole dans l' en- tte GRE seulement
si le prsent Checksum
bit est rgl. Normalement, cette option est ncessaire parce que d' autres protocoles de
couche suprieure fournissent
capacits checksum pour dtecter paquet corruption.
L'option actuelle Key (bit 2) ajoute un champ de cl de 4 octets facultatif la tte GRE. Ce
texte clair
cl suit le champ de contrle. La cl est utilise pour fournir l' authentification de base o
chaque GRE
point final a la cl. Toutefois, la cl elle - mme est expose dans l' en- tte GRE. En raison de
ce
la vulnrabilit, le chiffrement GRE est gnralement pas utilis. Toutefois, la valeur de la cl
peut tre utilise pour
identifier de faon unique plusieurs tunnels entre deux points d' extrmit. Ce serait semblable
un SPI IPsec.
L'option de numro de squence (bit 3) ajoute un champ de numro de squence de 4 octets
facultatif la GRE
entte. Cette valeur de squence suit l'option cl. Cette option est utilise pour squencer
correctement GRE
les paquets l' arrive. Semblable l'option de somme de contrle, il est gnralement pas
utilis parce que la couche suprieure
protocoles offrent galement cette fonctionnalit.
Bits 13-15 indiquent le numro de version GRE. 0 reprsente le GRE de base, tandis que la
figure 1 montre
Point-to-Point Tunneling Protocol (PPTP) est utilis. PPTP ne sont pas couverts dans ce livre.
La seconde 2 octets de l' en- tte GRE reprsentent le champ Protocole. Ces 16 bits identifient
le type
du paquet qui est port l' intrieur du tunnel GRE. Ethertype 0x0800 indique IP. Figure 14-1
montre
un paquet GRE avec toutes les options prsents ont ajout l' en- tte et des donnes IP.
Tableau 14-2
Options d'en- tte GRE
Bit GRE - tte
Option
La description
0
Checksum Present
Ajoute un champ de contrle de 4 octets l' en- tte GRE aprs la
champ de protocole si ce bit est mis 1.
2
Prsent Key
Ajoute une cl de chiffrement de 4 octets l' en- tte GRE aprs la
champ de contrle si ce bit est rgl sur 1.
3
Numro de squence
Prsent
Ajoute un numro de squence de 4 octets de l' en- tte GRE aprs la
champ de cl si ce bit est mis 1.
13-15
GRE Version
0 indique GRE de base, tandis que 1 est utilis pour PPTP.
page 9
Configuration GRE Basic
335
Figure 14-1
GRE Packet Format
Sur la figure 14-1, seul l' en- tte GRE requis et en- tte IP d' origine et de paquets
apparaissent typiquement
dans des configurations de tunnel GRE. Les options GRE ne sont normalement pas utilises
parce que la couche suprieure
protocoles offrent des fonctionnalits similaires.
Configuration GRE Basic
Un tunnel GRE comporte un certain protocole de couche 3 entre deux points d'extrmit IP.
Lors de l'utilisation initiale de
Tunnels GRE, le contenu du tunnel taient gnralement tout protocole , sauf IP. Aujourd'hui,
les tunnels GRE sont
utilis pour transporter des donnes IP sur un rseau IP. Mais le tunnel GRE lui - mme peut
tre envoy par un IPsec
tunnel pour la scurit. Figure 14-2 montre une configuration de base du tunnel GRE.
Figure 14-2
GRE Configuration Tunnel
Drapeaux GRE
Type de protocole
En- tte IP
Transport
Entte
Donnes
Requis GRE - tte
D' origine en- tte et paquets IP
En option GRE Header
Tunnel IP
Entte
20 octets
2 octets
2 octets
Checksum Offset
Cl
Squence
Nombre
4 octets
4 octets
4 octets
Bureau central
192.168.102.0/24
Bureau distance
192.168.2.0/24
Internet
S2 / 1: 172.16.1.2
S3 / 2: 10.1.3.2
GRE Tunnel
interface srie 2/1
adresse ip 172.16.1.2 de 255.255.255.0
Interface tunnel 0
adresse ip 192.168.200.1 255.255.255.0
source de tunnel srie 2/1
tunnel destination 10.1.3.2
mode tunnel gre ip
interface srie 3/2
adresse ip 10.1.3.2 de 255.255.255.0
Interface tunnel 2
ip addr 192.168.200.2 255.255.255.0
Source de tunnel srie 02/03
tunnel destination 172.16.1.2
mode tunnel gre ip
routeur
routeur B
192.168.1.0/24
192.168.101.0/24
page 10
336 Chapitre 14: GRE Tunneling sur IPsec
Les composants de configuration de base d'un tunnel GRE comprennent
La circulation du tunnel (donnes qui se dplace travers le tunnel, et qui est encapsul par l'
en- tte GRE)
Dans la figure 14-2, deux points d'extrmit IP ont un tunnel GRE configur entre eux. Le
tunnel GRE est
en fait dfinie comme une interface dans chaque routeur. L'interface GRE est ce qui rend GRE
multiprotocole. Cartes cryptographiques IPsec peuvent correspondre uniquement les listes
d'accs IP. Une interface de routeur peut tre
configur pour, et donc le transport, tout protocole. Les protocoles disponibles dpendent de
la
Cisco IOS fonctionnalits install.
La source de tunnel et de destination sont des interfaces IP. Ainsi, le GRE se dplace travers
un rseau IP.
Le protocole configur sur les interfaces GRE sont les donnes qui se dplace travers le
tunnel GRE.
La source de tunnel GRE une extrmit doit correspondre la destination l'autre extrmit,
et vice versa.
Cette validation IP est ralise comme le tunnel GRE est tabli. Pour un routage correct
travers le
Tunnel GRE, un sous - rseau commun doit tre configur dans le tunnel.
Dans la figure 14-2, IP est configur dans le tunnel GRE. Les deux sites, ainsi que le tunnel
lui - mme,
utiliser RFC 1918 adressage priv. Routage IP circule entre les sites travers le tunnel GRE
par
un moyen de votre protocole de routage prfr (non reprsent). Pour des fins de
documentation, le public
rseau utilise galement l' adressage priv, bien que ce soit certainement pas une exigence.
Scuriss GRE Tunnels
"GRE sur IPsec" implique que le paquet GRE se trouve plus haut dans la pile que la partie
IPsec.
Semblable la faon dont le protocole TCP / IP est reprsent, TCP est la couche 4, tandis
que IP est la couche 3. Lorsque prvu dans
un paquet graphique, la partie de TCP est l' intrieur de la partie IP. La mme chose est vraie
avec GRE sur IPsec.
Le paquet d' origine est la couche la plus interne. Ensuite , l'enveloppe GRE apparat. Enfin, le
IPsec
partie est ajoute pour la scurit. Figure 14-3 montre le format GRE sur IPsec de paquets.
ASTUCE Le logiciel Cisco Advisor (http://tools.cisco.com/Support/Fusion/FusionHome.do)
aide slectionner la fonction IOS approprie fixe pour toute plate - forme de routeur Cisco
donn.
page 11
Scuriss GRE Tunnels
337
Figure 14-3
GRE sur IPsec Packet Format
Comme le montre la figure 14-3, il y a plusieurs couches IP dans un GRE sur IPsec paquet. Le
plus l' intrieur
couche est le paquet IP d' origine. Cela reprsente des donnes qui se dplace entre deux
appareils, ou deux
des sites. Le paquet IP initial est encapsul dans un en- tte GRE pour permettre des
protocoles de routage pour voyager
entre dans le tunnel GRE (quelque chose qui IPsec seul ne peut pas faire). Et IPSec est ajout
en tant que la partie extrieure
couche pour assurer la confidentialit et l' intgrit ( ce qui est une lacune du GRE par lui mme). La fin
Il en rsulte que deux sites peuvent changer des paquets en toute scurit de l' information et
de routage IP.
Figure 14-3 est aussi un rappel des deux modes IPsec: tunnel et transport. Le mode de
transport est
utilis si l' en- tte IP d' origine peut tre expose, tandis que le mode tunnel protge l' en- tte
IP d' origine
dans un nouvel en- tte IP IPsec. Lorsque vous utilisez GRE sur IPsec, le mode de transport
est souvent suffisant,
parce que les points de terminaison du GRE et IPsec sont souvent les mmes. Que ce soit en
mode tunnel ou de transport est
slectionn, l' en- tte IP d' origine et de paquets sont entirement protgs.
Ce qui pourrait se perdre dans la figure 14-3 est la taille des nouveaux paquets crs en raison
de la plus
encapsulations. Chaque en- tte IP ajoute 20 octets la taille du paquet. Cela ne comprend pas
les frais gnraux
pour les en- ttes ESP et GRE. Pour petits paquets IP, il est possible que le GRE sur les enttes IPsec
peut tre beaucoup plus grande que le paquet d' origine lui - mme. L' efficacit du rseau
peut tre dtermin par la
rapport des donnes relles par rapport la surcharge associe au transport des donnes.
Quand il y a
plus de frais gnraux (en - ttes de paquets) que des donnes relles, le rseau est
intrinsquement moins efficace.
La plupart des GRE plus IPsec implmentations utilisent un design hub-and-spoke. Bien que
non obligatoire,
une telle conception minimise les frais gnraux de gestion vu avec la gestion d' un grand
nombre d'IPsec
les tunnels. Par exemple, si dix sites ont t entirement maill avec GRE sur les tunnels
IPsec, il faudrait
45 tunnels ([10 * 9] / 2). Dans un design hub-and-spoke, connectivit complte (via le hub)
est accompli
avec seulement neuf tunnels. Figure 14-4 compare graphiquement un maillage complet de
tunnels par rapport un centre-eta parl design.
Mode Tunnel
Mode de transport
ESP IP
Entte
GRE IP
Entte
ESP
Entte
ESP
Entte
GRE IP
Entte
ESP
Bande annonce
IP
Entte
TCP
Entte
Donnes
GRE
ESP
Bande annonce
IP
Entte
TCP
Entte
Donnes
GRE
page 12
338 Chapitre 14: GRE Tunneling sur IPsec
Figure 14-4
Mesh complte contre Hub-and-Spoke
Dans un tunnel IPsec normal, les routes statiques sont ncessaires pour les paquets IP directs
dans le tunnel IPsec VPN.
Les protocoles de routage peuvent fonctionner l' intrieur du tunnel GRE, la cration d' une
topologie de routage dynamique. GRE
fournit la connectivit de routage, alors que IPsec fournit la confidentialit et de l' intgrit.
Avec
GRE, les protocoles de routage peut maintenant fonctionner l' intrieur du tunnel IPsec.
Mesh complet
Hub and Spoke
page 13
Configurer GRE sur IPsec Utilisation de SDM
339
Configurer GRE sur IPsec Utilisation de SDM
Ce chapitre explore comment configurer GRE sur IPsec en utilisant l'outil de SDM. Le
chapitre prcdent
vous a donn la possibilit de crer un tunnel IPsec dans SDM, et se familiariser avec le SDM
interface. Cette section se dveloppe sur les comptences de navigation prcdentes que vous
avez appris.
Lancez le GRE sur Assistant IPsec
Le GRE sur IPsec assistant est accessible partir de la mme fentre qui a commenc le VPN
de site site
Assistant comme on le voit dans le chapitre 13. Figure 14-5 montre comment accder la
GRE sur IPsec assistant.
Figure 14-5
GRE sur Assistant IPsec
Semblable la faon dont l' assistant de site site VPN a t lanc dans le chapitre 13, le
GRE sur IPsec
Assistant est accessible comme suit:
tape 1
Cliquez sur le bouton Configurer en haut de la fentre.
tape 2
Cliquez sur le bouton VPN dans la barre des tches sur la gauche.
tape 3
Cliquez sur l'option de site site VPN en haut du menu.
tape 4
Cliquez sur l'onglet Crer un site site VPN dans la fentre.
Etape 5
Cliquez sur le lien Crer un tunnel GRE scuris (GRE sur IPSec) bouton radio.
Etape 6
Cliquez sur le bouton Lancer la tche slectionne au bas de la fentre.
page 14
340 Chapitre 14: GRE Tunneling sur IPsec
Quand vous accomplissez avec succs ces tches, l'Assistant GRE scuris commence. Le
Secure GRE
Tunnel (GRE sur IPsec) fentre vous rappelle les capacits et le but d'un tel tunnel.
Les tapes de base de l'Assistant GRE scuris sont les suivantes:
tape 1
Crer le tunnel GRE.
tape 2
Crer un tunnel GRE sauvegarde ( en option).
tape 3
Slectionnez la mthode d'authentification IPsec VPN.
tape 4
Slectionnez les propositions IPsec VPN IKE.
Etape 5
Slectionnez le VPN IPsec transformer des ensembles.
Etape 6
Slectionnez la mthode de routage pour le GRE sur IPsec tunnel.
Etape 7
Valider la GRE sur IPsec configuration.
Pour continuer dans l'assistant, cliquez sur Suivant> en bas de la fentre.
tape 1: Crer le tunnel GRE
La premire partie de la GRE sur IPsec tunnel est le tunnel GRE. La Figure 14-3 montre les
diverses
couches au sein du GRE sur IPsec tunnel. Le paquet IP d' origine est la partie la plus interne.
Prochain
vient la couche GRE. Figure 14-6 montre la fentre GRE Tunnel information.
Figure 14-6
GRE Tunnel information
page 15
Configurer GRE sur IPsec Utilisation de SDM
341
La fentre GRE Tunnel information est la premire fentre de configuration du GRE scuris
Sorcier. Il existe deux ensembles d'adresses IP qui sont appliques la GRE interface du
tunnel tunnel
la source et la destination (en haut de la fentre) reprsenter l' en- tte GRE IP (reprsente sur
la figure
14-3).
La source de tunnel est soit slectionn dans une liste droulante des interfaces dans ce
routeur ou entre
manuellement. Si une interface est slectionne dans la liste, l'adresse IP de l'interface est
automatiquement
utilis comme source de tunnel GRE. La destination du tunnel est l'adresse IP du pair GRE
distance
possder. Comme pour le tunnel GRE primaire, les adresses IP internes sont utilises pour
tablir le protocole de routage
voisins.
Lorsque vous avez termin avec la fentre GRE Tunnel Informations de sauvegarde, cliquez
sur Suivant> au
en bas de la fentre.
tapes 3-5: Information VPN IPsec
La couche la plus externe du GRE sur IPsec tunnel est le VPN IPsec. Les diffrentes fentres
utilises pour
entrez les informations IPsec sont presque identiques celles utilises pour crer un site site
IPsec VPN
discut dans le chapitre 13, Oprations VPN de site site."
La premire tche IPsec VPN est d'entrer les informations d'authentification VPN. Similaire
la figure 13-14,
soit des certificats numriques ou des cls pr-partages peuvent tre utiliss. Si les cls prpartages sont slectionns, la cl
doit tre entr deux fois pour assurer l' exactitude.
La deuxime tche IPsec VPN est de slectionner ou crer des propositions IKE. Cette fentre
est identique
celle de la figure 13-15, comme le sont les procdures utilises pour slectionner une
proposition IKE approprie pour
ce VPN IPsec. Rappelez - vous que l'homologue IPsec distant doit avoir une proposition IKE
identique
configur, et que la mme proposition IKE peut tre utilis pour de nombreux pairs distance.
page 17
Configurer GRE sur IPsec Utilisation de SDM
343
La troisime tche IPsec VPN est de slectionner ou crer IPsec transformer des ensembles.
Cette fentre est identique
celui reprsent sur la figure 13-16. A partir de l, de nouveaux ensembles de transformation
peuvent tre crs, et appropri
transformer ensemble peut tre slectionn pour une utilisation avec ce IPsec VPN. Rappelez
- vous que l'homologue IPsec distance
doit avoir un IPSec identique de transformation dfinie configur, et que le mme IPsec
transformer ensemble peut
tre utilis pour de nombreux pairs distance.
tape 6: Routing Information
Une fois la fois le tunnel GRE et les tunnels IPsec ont t configurs, la dernire tape
consiste slectionner un
protocole de routage pour traverser le tunnel GRE. Rappelez - vous que d'un VPN IPsec
typique, le seul
l' option de routage est de configurer des routes statiques de chaque ct. Ces itinraires
statiques dterminent manuellement
qui prfixes sont accessibles par l'intermdiaire du VPN IPsec. Figure 14-8 montre le Select
Routage
Fentre de protocole de l'Assistant GRE scuris.
Figure 14-8
Slectionnez Protocole de routage
Routage statique est l'option par dfaut (bouton radio) dans le processus de slection du
protocole de routage. L
sont quatre options de routage pris en charge dans le tunnel GRE:
EIGRP
OSPF
DCHIRURE
Routage statique
page 18
344 Chapitre 14: GRE Tunneling sur IPsec
Chaque option de routage utilise la fentre Routing Information pour configurer les options
individuelles. Routes
qui sont configurs manuellement (statique) ou dynamiquement changs (RIP, OSPF, EIGRP
ou) par
le GRE sur tunnel IPsec devenir le "trafic intressant" dcrit qui dcide o le trafic est
crypt par le tunnel IPsec. Une fois que vous avez slectionn un protocole de routage,
cliquez sur Suivant> au
bas de la fentre pour passer la fentre d' information de routage pour le routage appropri
protocole.
Lorsque vous utilisez le GRE sur l' assistant IPsec, RIP est pas une option de routage
dynamique disponible partir du
Slectionnez la fentre Routing Protocol si un tunnel GRE sauvegarde a t configur
prcdemment. Seulement OSPF ou
EIGRP peut tre activ lorsque deux tunnels GRE la mme distance sont utiliss.
Routes statiques
Le routage statique est gnralement utilis pour soutenir les petits sites de stub qui ont
seulement un seul sous - rseau. Non
des informations de routage dynamique est chang entre les sites. Si un site a plusieurs sous rseaux qui sont
utiliser le VPN, ou si un site utilise des tunnels VPN de sauvegarde, puis le routage statique
est inapproprie.
Si le routage statique est slectionn dans la fentre Slection du protocole de routage de
l'assistant, le premier choix
prsent est de savoir si faire split tunneling ou non. Split tunneling permet au routeur
d'envoyer certains
le trafic via le VPN IPSec vers le ct distant, et le reste du trafic non protg en
le rseau public. Ceci est trs similaire la dfinition du trafic intressant avec IPsec VPN.
Entrez un sous - rseau IP et le masque de sous - rseau qui doit tre protge dans le tunnel
VPN.
Les permis de l' assistant seulement un itinraire statique simple configurer au sein de
l'option split tunneling. Si
la tunnelisation est pas slectionn (l'option Tunnel Tout le trafic), puis une route par dfaut
est ajout la
routeur qui envoie tout le trafic travers le GRE sur IPsec tunnel.
Lorsque vous avez termin avec les options de routage statique, cliquez sur Suivant> en bas
de la fentre pour
Lorsque vous avez termin avec les options OSPF, cliquez sur Suivant> en bas de la fentre
pour faire avancer
au Rsum de la fentre de configuration.
EIGRP
La premire tche EIGRP est de slectionner ou de crer un systme autonome EIGRP (AS)
nombre. Si EIGRP
est dj oprationnel dans le routeur, vous pouvez slectionner un nombre AS dans le menu
droulant. Sinon,
vous devez crer une nouvelle EIGRP AS numro dans le routeur.
Ensuite, vous devez cliquer sur le Ajouter ... bouton pour ajouter des rseaux locaux pour le
protocole de routage EIGRP. Dans
EIGRP, vous devez entrer un numro de sous-rseau et un masque gnrique pour chaque
rseau. Vous devez ajouter le
sous-rseau / masque de l'interface GRE pour EIGRP utiliser l'interface IP.
Routes qui ne sont pas ajouts la configuration EIGRP ne sont pas changes par le GRE au
cours
tunnel IPsec. Seul le trafic sur les routes changes est protg par le VPN. Circulation
l'extrieur de la
routes EIGRP vite le VPN. Il est important que le routeur distant galement configurer
correctement
EIGRP voisins afin de routage peuvent tre forms. Pour EIGRP, cela signifie que les deux
pairs utilisent une commune
sous-rseau et la mme EIGRP AS.
page 20
346 Chapitre 14: GRE Tunneling sur IPsec
Lorsque vous avez termin avec les options EIGRP, cliquez sur Suivant > en bas de la fentre
pour
avancer au Rsum de la fentre de configuration.
Etape 7: Valider la GRE sur Configuration IPsec
Une fois que vous avancez au-del de l'une des options de routage (les informations de
routage approprie
fentre), vous atteignez le Rsum de la fentre de configuration. Vous devez probablement
utiliser la
scrollbar pour afficher l'ensemble de la configuration cr par l'Assistant GRE scuris. Cette
fentre est
identique la fentre de rsum la fin du site de site l'Assistant VPN. Les diffrences ici
sont les options de configuration supplmentaires du tunnel GRE et le protocole de routage (si
l'on a t
configur).
Comme avec le site de site l'Assistant VPN, vous pouvez cliquez sur Terminer pour terminer
l'assistant de cette
fentre ou cliquez sur <Retour retourner dans l'assistant pour modifier toutes les
configurations reprsentes.
Une fois la configuration termine, les procdures pour tester et surveiller le GRE sur tunnel
IPsec
sont identiques celles pour le tunnel de site site IPsec dcrit au chapitre 13.
page 21
Rsum Fondation
347
Rsum Fondation
Les caractristiques gnriques d'un tunnel GRE sont les suivantes:
Un tunnel GRE est semblable un tunnel IPsec parce que le paquet d'origine est enroul
l'intrieur
une enveloppe extrieure.
GRE est multiprotocole et peut crer un tunnel tout OSI de protocole de couche 3.
GRE tait ncessaire pour effectuer le trafic IP multicast jusqu' 12.4 (4) T.
la circulation du tunnel (donnes qui se dplace travers le tunnel, et qui est encapsul par
l'en-tte GRE)
Tableau 14-3
options de GRE
Bit GRE-tte
Option
La description
0
Checksum Present
Ajoute un champ de contrle de 4 octets l'en-tte GRE aprs
le champ de protocole, si ce bit est mis 1.
2
Prsent Key
Ajoute une cl de chiffrement de 4 octets l'en-tte GRE aprs
le champ de somme de contrle si ce bit est mis 1.
3
Numro de squence
Prsent
Ajoute un numro de squence de 4 octets de l'en-tte GRE aprs
le champ de cl si ce bit est mis 1.
13-15
GRE Version
chemin facultatif dcouverte MTU de savoir si la fragmentation doit tre effectue sur ce
routeur en raison
la taille de paquet suprieure cre par le GRE sur IPsec
page 23
Rsum Fondation
349
La fentre GRE Tunnel Informations de sauvegarde est l'endroit o la sauvegarde tunnel GRE
est configur dans
SDM. Le tunnel GRE sauvegarde utilise la mme source que le tunnel GRE primaire.
Configuration
comprend
EIGRP
OSPF
DCHIRURE
Routage statique
Le routage statique peut configurer un seul sous-rseau et ne convient pas pour les sites avec
plusieurs sous-rseaux
ou pour les sites utilisant deux tunnels GRE.
RIP ne peut pas tre configur si un tunnel GRE de sauvegarde est configur.
Les deux OSPF et EIGRP utilisent des masques inverses lors de l'ajout des sous-rseaux au
protocole de routage.
Assurez-vous d'inclure le sous-rseau IP interne du tunnel GRE dans la configuration du
protocole de routage
de sorte que le protocole configur utilisera l'interface tunnel GRE.
La fentre Rsum de configuration vous permet de visualiser la configuration vient de crer
avec le
sorcier. Vous pouvez revenir l'assistant en cliquant sur le <Retour bouton pour effectuer des
modifications, ou vous pouvez
terminer l'assistant en cliquant sur le Finish bouton.
page 24
350 Chapitre 14: GRE Tunneling sur IPsec
Q&A
Les questions et les scnarios dans ce livre sont conus pour tre difficile et pour vous assurer
que vous
savoir la rponse. Plutt que de permettre de driver les rponses partir d'indices cachs
l'intrieur du
questions elles-mmes, les questions remettent en question votre comprhension et le rappel
du sujet.
Heureusement, la matrise de ces questions vous aidera limiter le nombre de questions
d'examen sur lequel
vous affiner votre choix deux options, puis deviner.
Vous pouvez trouver les rponses ces questions dans l'Annexe A. Pour plus de pratique avec
examen comme
formats de questions, utilisez le moteur de l'examen sur le CD-ROM.
1.
Quel type de fonctions de scurit ne GRE ont nativement?
2.
Quels sont les trois ttes facultatifs possibles avec GRE?
3.
Quel est le chiffrement GRE gnralement utilis?
4.
Quelle est la relation entre les adresses source et destination du GRE sur le tunnel
critres d'valuation?
5.
Quels modes IPsec peut tre utilis avec GRE sur IPsec?
6.
Quel est le principal moteur de dploiement GRE sur IPsec?
7.
Quelle est la squence pour lancer l'Assistant GRE scuris dans SDM?
8.
Quelles options doivent tre configures sur le tunnel GRE primaire dans l'Assistant GRE
scuris?
9.
Quelle option configuration GRE est pas ncessaire lors de la cration d'un tunnel GRE de
sauvegarde?
dix.
Quelles sont les trois tches IPsec qui sont configurs dans l'Assistant GRE scuris?
11.
Quelles options de routage sont disponibles dans le GRE sur IPsec configuration?
12.
Combien de routes statiques peuvent tre configurs dans l'Assistant GRE scuris?
13.
Quels protocoles de routage doit tre utilis si un tunnel GRE sauvegarde est dploy?
14.
Quelles sont les options disponibles dans la fentre Rsum de la configuration?