Tunely GRE v praxi: bezpečné tunelování dat Cisco přes IPSec

Většina firem dnes potřebuje propojit oddělené pobočky nebo dedikovaná zařízení – například firemní servery, kamerové systémy nebo pracovní LAN sítě – přes stávající internetovou infrastrukturu. GRE tunely (Generic Routing Encapsulation) jsou v tomto skvělým řešením, protože dokáží přenášet téměř jakýkoli IP protokol v rámci virtuálního kanálu pro IPv4 i IPv6. Takový tunel je ale nešifrovaný – a zde přichází na scénu IPSec. Kombinace GRE nad IPSec poskytuje jak flexibilitu, tak i bezpečnost. V tomto článku si projdeme celý proces: kdy se hodí, jak tunel nastavit krok za krokem, co sledovat a jak výsledek otestovat.

1. Proč kombinovat GRE s IPSec?

GRE samo o sobě: podporuje multicast, QoS informace, různé protokoly – statické i dynamické směrování (OSPF, EIGRP, BGP).

IPSec samo o sobě: poskytuje bezpečnost – šifrování dat, autentizaci, ochranu integrity a anti-replay ochranu.

Varianta „GRE over IPSec“ spojuje to nejlepší z obou světů. Můžete propojovat privátní sítě nebo běžné pobočkové sítě přes Internet, přičemž si zachováte flexibilitu směrování a šifrovaný přenosový kanál.

2. Architektura: jak to funguje

Představte si dva Cisco routery: Router A (pobočka A) a Router B (pobočka B). Každý má veřejnou IP adresu na WAN rozhraní a vnitřní síť:

Router A: WAN = 203.0.113.1, LAN = 10.1.1.0/24
Router B: WAN = 198.51.100.1, LAN = 10.2.2.0/24

Cíl: vytvořit šifrovaný kanál, který přenese síťové pakety, včetně multicastu a protokolů jako OSPF, EIGRP nebo jednoduché routování. GRE tunel běží nad IPSec tunelem.

3. Krok za krokem konfigurace

3.1 Konfigurace GRE na Routeru A

interface Tunnel0
 ip address 10.10.10.1 255.255.255.252
 tunnel source 203.0.113.1
 tunnel destination 198.51.100.1
 tunnel mode gre ip

Tato konfigurace definuje „virtuální“ rozhraní Tunnel0 s adresou 10.10.10.1/30 pro spojení mezi WAN A a WAN B. Na Routeru B nastavíte obdobně Tunnel0 s adresou 10.10.10.2.

3.2 Konfigurace IPSec Peer a ACL definice

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
crypto isakmp key CistoSilneHeslo address 198.51.100.1

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map CMAP 10 ipsec-isakmp
 set peer 198.51.100.1
 set transform-set TS
 match address 100

access-list 100 permit gre host 203.0.113.1 host 198.51.100.1

Zde definujeme IKE policy, přednastavený klíč, šifrovací transformaci a mapu propojenou s ACL pro určení provozu, který bude šifrován.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

3.3 Aplikace crypto map na externí rozhraní

interface GigabitEthernet0/0
 ip address 203.0.113.1 255.255.255.0
 crypto map CMAP

Tím aktivujeme IPSec šifrování pro GRE pakety směrem k peer routeru.

3.4 Nastavení Routeru B

interface Tunnel0
 ip address 10.10.10.2 255.255.255.252
 tunnel source 198.51.100.1
 tunnel destination 203.0.113.1
 tunnel mode gre ip

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
crypto isakmp key CistoSilneHeslo address 203.0.113.1

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map CMAP 10 ipsec-isakmp
 set peer 203.0.113.1
 set transform-set TS
 match address 100

access-list 100 permit gre host 198.51.100.1 host 203.0.113.1

interface GigabitEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 crypto map CMAP

4. Testování a ověření funkčnosti

show crypto isakmp sa – zobrazení aktivních ISAKMP spojení
show crypto ipsec sa – šifrovací statistiky tunelu
ping 10.10.10.2 source 10.10.10.1 – test funkčnosti tunelu
show interface Tunnel0 – stav tunelového rozhraní

Pokud vidíte stav „up“ na Tunnel0 a ping funguje – tunel je aktivní a GRE pakety jsou přenášeny šifrovaně.

5. Optimalizace a tipy z praxe

MTU snížení: GRE a IPSec přidávají hlavičky – doporučuje se MTU nastavit např. na 1400.
Anti-replay ochrana: aktivována automaticky díky SHA v ESP autentizaci.
Keepalive a detekce výpadku peeru: použijte ISAKMP keepalives.
QoS pro tunely: označte GRE/IPSec pakety pomocí DSCP/TOS a aplikujte prioritní fronty v jádru sítě.

6. Využití v reálných scénářích

Příklad A – propojení poboček: Firemní sítě 10.1.1.0/24 a 10.2.2.0/24 propojené pomocí GRE/IPSec tunelu. OSPF běžící přes Tunnel0 zajišťuje dynamické směrování, včetně podpory multicastu.

Příklad B – multicast VPN: GRE podporuje multicast – takže můžete bezpečně přenášet video, VoIP nebo telemetrické streamy přes VPN.

Závěr

GRE tunely nad IPSec poskytují ideální řešení pro bezpečné a flexibilní tunelování v Cisco sítích. Pokrývají široké spektrum potřeb – od směrování po zabezpečený multicast. Díky tomuto návodu si můžete vybudovat profesionální propojení mezi pobočkami, které odolá odposlechům a zachová plnou funkcionalitu vašich aplikací.

Zajímá vás tato technologie? Vyzkoušejte si ji v reálném labu spolu s AAA, DMZ a ASA firewally v kurzu NP3 – Pokročilá síťová bezpečnost, GRE tunelování, AAA a základy ASA/PIX firewallu.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NP3 - Pokročilá síťová bezpečnost, GRE tunelování, AAA a základy ASA/PIX Firewallu

Marián Knězek