GRE over IPsec

Publié le par BORY DIALLO

L'utilisation de L3 VPN sur un réseau multi-sites assure une connectivité IP et sécurisée certes, mais empêche le fonctionnement correcte de certaines applications  utilisant un trafic multicast par exemple. 

D'une part pour pallier à ces problèmes, des technologies d'encapsulation (GENEVE, VxLAN et GRE) ont été développées, dans le but de transporter un certain type de trafic qui ne transiterait correctement que dans Ethernet.

La limite de ces protocoles de tunneling réside notamment sur l'aspect sécuritaire car ils sont incapables de chiffrer les informations qu'ils transportent. Ce qui est recommandé est de coupler ces technologies d'encapsulation à des protocoles VPN notamment IPsec (qui assure la confidentialité dans les échanges et l'intégrité des données).

Dans cet atelier, nous allons déployer du GRE sur IKEv1 entre deux sites. 

Faire de bonnes configs IP

Sur HQ

!
interface Ethernet0/0
 ip address 67.21.3.2 255.255.255.252
!
interface Ethernet0/1
 ip address 192.168.1.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 67.21.3.1

Sur BRANCH

!
interface Ethernet0/0
 ip address 71.22.4.2 255.255.255.252
!
interface Ethernet0/1
 ip address 192.168.100.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 71.22.4.1

ISP

!
interface Ethernet0/0
 ip address 67.21.3.1 255.255.255.252
!
interface Ethernet0/1
 ip address 71.22.4.1 255.255.255.252
!

Architecture

Configurer le tunnel GRE

Sur HQ

int tunnel0
 ip add 172.18.0.1 255.255.255.252
 tunnel source 67.21.3.2
 tunnel destination 71.22.4.2
!
!
ip route 192.168.100.0 255.255.255.0 tunnel 0

Sur BRANCH

int tunnel0
 ip add 172.18.0.2 255.255.255.252
 tunnel source 71.22.4.2
 tunnel destination 67.21.3.2
!
!
ip route 192.168.1.0 255.255.255.0 tunnel 0

 

Configurer IPSec

Phase 1: Création des politiques ISAKMP

crypto isakmp policy 10
 encr 3des
 hash sha256
 authentication pre-share
 group 5
 lifetime 86400
!

La clé partagée

Sur HQ

crypto isakmp key CCNP_ENCOR2@25 address 71.22.4.2
 

Sur BRANCH

crypto isakmp key CCNP_ENCOR2@25 address 67.21.3.2

La phase 2

crypto ipsec transform-set CCNP_2025 esp-3des esp-sha256-hmac
 mode tunnel
!

Création du profil crypto IPsec

Sur HQ

crypto ipsec profile VPN
 set transform-set CCNP_2025
!

Application de la Crypto MAP sur les tunnel 

interface Tunnel0
 tunnel protection ipsec profile VPN
!

Génération du trafic entre les deux sites

Il est clair que le trafic emprunte le tunnel

Qu'en est-il des infos du IPsec ?

Les infos du profil

Ce que l'analyse du trafic nous nous dit ...

La sécurité est au rendez-vous avec ESP.

L'avantage de ce type de tunnel (GRE), nos sites géographiquement distants peuvent échanger des trames qui ne subiront pas les affres du transport L3 qui, pourrait bloquer certains type de trafic et empêcher le bon fonctionnement de certaines applications.

Publié dans Réseaux

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article