GRE over IPsec
L'utilisation de L3 VPN sur un réseau multi-sites assure une connectivité IP et sécurisée certes, mais empêche le fonctionnement correcte de certaines applications utilisant un trafic multicast par exemple.
D'une part pour pallier à ces problèmes, des technologies d'encapsulation (GENEVE, VxLAN et GRE) ont été développées, dans le but de transporter un certain type de trafic qui ne transiterait correctement que dans Ethernet.
La limite de ces protocoles de tunneling réside notamment sur l'aspect sécuritaire car ils sont incapables de chiffrer les informations qu'ils transportent. Ce qui est recommandé est de coupler ces technologies d'encapsulation à des protocoles VPN notamment IPsec (qui assure la confidentialité dans les échanges et l'intégrité des données).
Dans cet atelier, nous allons déployer du GRE sur IKEv1 entre deux sites.
Faire de bonnes configs IP
Sur HQ
!
interface Ethernet0/0
ip address 67.21.3.2 255.255.255.252
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 67.21.3.1
Sur BRANCH
!
interface Ethernet0/0
ip address 71.22.4.2 255.255.255.252
!
interface Ethernet0/1
ip address 192.168.100.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 71.22.4.1
ISP
!
interface Ethernet0/0
ip address 67.21.3.1 255.255.255.252
!
interface Ethernet0/1
ip address 71.22.4.1 255.255.255.252
!
Architecture
/image%2F3625927%2F20250106%2Fob_18a3af_1.png)
Configurer le tunnel GRE
Sur HQ
int tunnel0
ip add 172.18.0.1 255.255.255.252
tunnel source 67.21.3.2
tunnel destination 71.22.4.2
!
!
ip route 192.168.100.0 255.255.255.0 tunnel 0
Sur BRANCH
int tunnel0
ip add 172.18.0.2 255.255.255.252
tunnel source 71.22.4.2
tunnel destination 67.21.3.2
!
!
ip route 192.168.1.0 255.255.255.0 tunnel 0
/image%2F3625927%2F20250106%2Fob_3a376a_2.png)
Configurer IPSec
Phase 1: Création des politiques ISAKMP
crypto isakmp policy 10
encr 3des
hash sha256
authentication pre-share
group 5
lifetime 86400
!
La clé partagée
Sur HQ
crypto isakmp key CCNP_ENCOR2@25 address 71.22.4.2
Sur BRANCH
crypto isakmp key CCNP_ENCOR2@25 address 67.21.3.2
La phase 2
crypto ipsec transform-set CCNP_2025 esp-3des esp-sha256-hmac
mode tunnel
!
Création du profil crypto IPsec
Sur HQ
crypto ipsec profile VPN
set transform-set CCNP_2025
!
Application de la Crypto MAP sur les tunnel
interface Tunnel0
tunnel protection ipsec profile VPN
!
Génération du trafic entre les deux sites
/image%2F3625927%2F20250106%2Fob_4a9ed9_3.png)
Il est clair que le trafic emprunte le tunnel
Qu'en est-il des infos du IPsec ?
/image%2F3625927%2F20250106%2Fob_87e243_5.png)
/image%2F3625927%2F20250106%2Fob_0007e4_6.png)
Les infos du profil
/image%2F3625927%2F20250106%2Fob_5fa481_7.png)
Ce que l'analyse du trafic nous nous dit ...
/image%2F3625927%2F20250107%2Fob_5d1c3a_9.png)
La sécurité est au rendez-vous avec ESP.
L'avantage de ce type de tunnel (GRE), nos sites géographiquement distants peuvent échanger des trames qui ne subiront pas les affres du transport L3 qui, pourrait bloquer certains type de trafic et empêcher le bon fonctionnement de certaines applications.