Конфігурування Site-to-site тунеля GRE

↑

▷ Содержание

⇐ ПредыдущаяСтр 5 из 8Следующая ⇒

VPN

VPN – це віртуальна приватна мережа, що створюється як тунель через публічну мережу (наприклад, Інтернет).

Перші VPN були строго ІР-тунелями без автентифікації та кодування даних.  

Наприклад, GRE (Generic Routing Encapsulation – загальна інкапсуляція маршрутів) – це протокол тунелювання мережевих пакетів, разраблений компанією Cisco. Він інкапсулює пакети мережевого рівня в ІР-пакети. Це утворює віртуальний point-to-point лінк до маршрутизатора Cisco на віддалених точках через ІР-мережі.

Інший приклад VPN, який автоматично не забезпечує секьюрності – є мережі Frame Relay, ATM PVCs та MPLS (Multiprotocol Label Switching – мультипротокольна комутація по мітках).

Переваги використання VPN:

Економічність (збереження коштів) за рахунок уникнення необхідності використання виділених ліній та модемів. Крім того, з появою коштозберігаючих технологій, що забезпечують високу смугу пропускання (таких, як DSL), організація може використовувати VPNи для зниження вартості та підвищення пропускної спроможності.

Секретність – досягається шляхом захисту від несанкціонованого доступу за рахунок використання протоколів шифрування та автентифікації.

Масштабованість ­– є високою внаслідок того, що VPNи дозволяють використовувати інфраструктуру Інтернет, а це дозволяє легко додавати нових користувачів, фактично без зміни інфраструктури.

Сумісність з широкосмуговими технологіями – VPNи дозволяють мобільним та надомним робітникам отримати широкосмуговий, високошвидкісний доступ до їх корпоративних мереж підприємств, забезпечуючи при цьому високі гнучкість та ефективність такого зв’язку.

В найпростішому прикладі VPN можна розглядати як з’єднання двох точок через публічну мережу. Логічне з’єднання може працювати або на 2, або на 3 рівні моделі ISO/OSI. Прикладами VPNів, що використовують 3-ій рівень моделі ISO/OSI є GRE, IPsec (з’єднання типу point-to-point) та MPLS (з’єднання типу any-to-any).

Є два базових типи VPNів:

1. Site-to-site (між двома пунктами);

2. Remote-access (дистанційного, або віддаленого доступу).

VPN між сайтами відрізняється статичністю (стабільністю), тут сайти розташовуються на одному місці. Прикладами Site-to-site VPNів є Frame Relay, ATM, GRE, MPLS VPNи.

VPN віддаленого доступу передбачають, що співробітник зв’язується з роботою з дому або іншого (наперед невідомого) місця дома.

GRE (Generic Routing Encapsulation – загальна інкапсуляція маршрутів) – це протокол тунелювання мережевих пакетів, разраблений компанією Cisco. Він описується в RFC 1702 and RFC 2784. Даний протокол інкапсулює пакети мережевого рівня в ІР-пакети. Це утворює віртуальний point-to-point лінк до маршрутизатора Cisco на віддалених точках через ІР-мережі.

Особливості протоколу тунелювання GRE:

• Інкапсулює багато типів пакетів протоколів в ІР-тунель;
• Створює віртуальний лінк point-to-point до маршрутизаторів Cisco на віддалених точках поверх ІР-інтермережі.
• Для транспорту використовує ІР.
• Використовує як корисний вантаж додатковий заголовок для підтимки багатоадресної (multicasting) передачі або будь-яких інших протоколів 3-го рівня.

GRE інкапсулює цілий оригінальний ІР-пакет зі стандартним IP-загаловком та заголовком GRE. Заголовок GRE містить по меншій мірі два двобайтових обов’язкових поля:

· Прапор GRE (GRE flag).

· Тип протокола (Protocol type) – використовується для підтримки інкапсуляції будь-якого протоколу 3 рівня.

Заголовок GRE разом із заголовком тунелювання IP створює по меншій мірі 24 байти додаткових накладних витрат для кожного пакету, що тунелюється.

Для конфігурування тунеля GRE треба пройти 5 кроків:

1. Створити інтерфейс тунеля за допомогою команди interface tunnel 0.
2. Призначити тунелю ІР-адресу.
3. Ідентифікувати вхідний інтерфейс тунеля за допомогою команди tunnel source.
4. Ідентифікувати вихідний інтерфейс тунеля за допомогою команди tunnel destination.
5. Сконфігурувати який протокол GRE буде виконувати інкапсуляцію, використовуючи команду tunnel mode gre.

Приклад. Сконфігурувати тунель GRE для конфігурації, що наведена на рис.

В Packet Tracer це виглядає так:

Rt0(config)#interface tunnel 0

Rt0(config-if)#

%LINK-5-CHANGED: Interface Tunnel0, changed state to up

Rt0(config-if)#ip address 100.0.0.1 255.255.255.252

Rt0(config-if)#tunnel source fastEthernet 0/0

Rt0(config-if)#tunnel destination 10.2.0.2

Rt0(config-if)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up

+++

Rt2(config)#interface tunnel 0

%LINK-5-CHANGED: Interface Tunnel0, changed state to up

Rt2(config-if)#ip address 100.0.0.2 255.255.255.252

Rt2(config-if)#tunnel source fastEthernet 0/0

Rt2(config-if)#tunnel destination 10.1.0.1

Rt2(config-if)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up

IPsec описується в документах RFC 2401-2412, які визначають, як можна сконфігурувати VPN на базі ІР-протоколу. IPsec не визначає якесь специфічне шифрування, автентифікацію, секретність, технологію обміну ключами. IPsec ­– це така конструкція, що містить відкриті стандарти, які описують правила для секретної комунікації. IPsec реалізує існуючі алгоритми для забезпечення шифрування, автентифікації, секретності, та обміну ключами.

IPsec працює на мереженому рівні, захищаючі та автентифікуючи пакет між двома IPsec пристроями. В результаті IPsec може захищати віртуально весь трафік застосувань, оскільки захист може бути від 4 до 7 рівнів. Заголовок ІР в IPsec представляється у відкритому тексті – тому відсутні проблеми з маршрутизацією. IPsec функціонує поверх усіх протоколів 2 рівня, таких як Ethernet, ATM, Frame Relay, SDLC (Synchronous Data Link Control) та HDLC (High-Level Data Link Control).

Конструкція IPsec складається з 5 таких будівельних блоків:

1. Протокол IPsec. Можна вибрати ESP або AH.

2. Тип конфіденційності, за рахунок використання протоколу шифрування або DES, або 3DES, або AES, або SEAL, залежно від рівня секретності.

3. Цілісність за рахунок використання протоколів або MD5 або SHA.

4. Алгоритм обміну секретними ключами це або наперед встановлений ключ спільного використання (pre-shared), або цифрове призначення (digitally signed), з використанням алгоритму RSA.

5. Алгоритм з групи алгоритмів Ді́ффі-Хе́ллмана (Diffie-Hellman, DH). Існує 4 алгоритми обміну ключами: DH групи 1 (DH1), DH групи 2 (DH2), DH групи 5 (DH5), DH групи 7 (DH7). Вибір групи алгоритму залежить від специфіки потреби.

Рис. 1. IPsec Framework

Рис. 2. Реалізації IPSec

IPsec надає структуру, а адміністратор сам вибирає потрібні алгоритми. Такий підхід є гнучким і дозволяє застосовувати найсучасніші і найкращі алгоритми без зміни існуючої конструкції IPsec.

IPsec забезпечує такі основні функції:

Конфіденційність – за рахунок застосування алгоритмів шифрування.

Цілісність ­– IPsec гарантує, що дані до пункту призначення надходять незміненими за рахунок використання алгоритма хешування MD5 або SHA.

Автентифікація – IPsec використовує протокол IKE з метою автентифікації користувачів та пристроїв, які можуть утворювати зв’язок. ІКЕ використтовує кілька типів автентифікації, включаючи ім’я користувача та пароль, одноразовий пароль, біометричні дані, наперед визначені спільні ключі, цифрові сертифікати.

Секретний обмін ключами – IPsec використовує алгоритми DH для обміну публічними ключами.

Далі зупинимось детальніше на цих функціях.

Конфіденційність досягається за рахунок шифрування трафіку, який проходить по VPN. Ступінь безпеки залежить від довжини ключа алгоритму шифрування. Якщо хтось намагається зламати ключ методом атаки грубої сили (brute-force), число варіантів спроб є функцією довжини ключа. Час для обробки всіх можливостей є функцією потужності комп'ютера зловмисника. Чим коротший ключ – тим легше зламати. Так, наприклад, злам 64-бітного ключа за допомогою відносно складною комп'ютера може зайняти близько одного року, а злам 128-бітного ключа з тим же комп’ютером може зайняти близько 10¹⁹ років.

Нижче наводяться деякі алгоритми шифрування і довжини ключів, які використовують VPN:

1. DES – використовує 56-бітний ключ, забезпечуючи високу продуктивність шифрування. DES є симетричним ключем криптосистеми.

2. 3DES – варіант 56-бітного DES. 3DES використовує три незалежних 56-розрядних ключів шифрування на блок 64-біт, забезпечуючи значно сильніше шифрування по DES. 3DES є симетричним ключем криптосистеми.

3. AES ­– забезпечує більш високий рівень безпеки, ніж DES, а обчислення більш ефективні, ніж у 3DES. AES пропонує три різних довжини ключа: 128, 192 та 256 бітів. AES є симетричним ключем криптосистеми.

4. SEAL (Software-Optimized Encryption Algorithm ­– програмно-оптимізований алгоритм шифрування ) – потоковий шифр (розроблений у 1993 році Філіпом Рогевеєм (Phillip Rogaway) та Доном Копперсмітом), який використовує 160-бітний ключ. SEAL є симетричним ключем криптосистеми.

Познавательные статьи:



Коммуникативные барьеры и пути их преодоления

Рынок недвижимости. Сущность недвижимости

Решение задач с использованием генеалогического метода

История происхождения и развития детской игры