GRE tunely v praxi: bezpečné tunelovanie Cisco dát cez IPSec

Väčšina firiem dnes potrebuje spojiť oddelené pobočky alebo dedikované zariadenia – napríklad firemné servery, kamerové systémy alebo pracovné LAN siete – nad existujúcou internetovou infraštruktúrou. GRE tunely (Generic Routing Encapsulation) sú v tomto skvelým riešením, pretože dokážu preniesť takmer akýkoľvek IP protokol v rámci virtuálneho kanála pre IPv4 aj IPv6. Ale takýto tunel je nezašifrovaný – a tu prichádza na scénu IPSec. Kombinácia GRE nad IPSec poskytuje flexibilitu aj bezpečnosť. V tomto článku si prejdeme celý proces: kedy sa hodí, ako nastaviť tunel krok za krokom, čo sledovať a ako testovať výsledok.

1. Prečo kombinovať GRE s IPSec?

GRE samé osebe: podporuje multicast, QoS informácie, rôzne protokoly – statické aj dynamické routingy (OSPF, EIGRP, BGP).

IPSec samé osebe: poskytuje bezpečnosť – šifrovanie dát, autentifikáciu, ochranu integrity a anti-replay ochrany.

Pero ako “GRE over IPSec” spojuje to najlepšie z oboch. Môžete prepájať súkromné siete alebo bežné siete v pobočkách aj cez Internet, so zachovaním flexibility smerovania a šifrovaného domáceho kanála.

2. Architektúra: ako to funguje

Predstavte si dva Cisco smerovače: Router A (pobočka A) a Router B (pobočka B). Každý má verejnú IP na WAN rozhraní a internú sieť:

Router A: WAN = 203.0.113.1, LAN = 10.1.1.0/24
Router B: WAN = 198.51.100.1, LAN = 10.2.2.0/24

Cieľ: vytvoriť šifrovaný kanál, ktorý prenesie sieťové pakety, vrátane multicastu a protokolov OSPF, EIGRP, alebo jednoduchého routovania. GRE tunel preto beží nad IPSec kanálom.

3. Krok za krokom konfigurácia

3.1 Konfigurácia GRE na Routeri A

interface Tunnel0
 ip address 10.10.10.1 255.255.255.252
 tunnel source 203.0.113.1
 tunnel destination 198.51.100.1
 tunnel mode gre ip

Tieto príkazy definujú “virtuálne” rozhranie Tunnel0 s point-to-point adresou 10.10.10.1/30, ktorá smeruje od zdroja (WAN A) k cieľu (WAN B). Obdobne nastavíte Tunnel0 na Routeri B so spätnou adresou 10.10.10.2.

3.2 Konfigurácia IPSec Peer a ACL definície

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
crypto isakmp key CistoSilneHeslo address 198.51.100.1

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map CMAP 10 ipsec-isakmp
 set peer 198.51.100.1
 set transform-set TS
 match address 100

access-list 100 permit gre host 203.0.113.1 host 198.51.100.1

Tu nastavujeme policy pre IKE (ISAKMP), pre-shared key, transform-set pre ESP šifru + autentifikáciu a mapu krypcia viazanú na ACL definujúci, ktorý tunelový traffic šifrovať.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

3.3 Aplikácia crypto map na vonkajšie rozhranie

interface GigabitEthernet0/0
 ip address 203.0.113.1 255.255.255.0
 crypto map CMAP

Rozhranie spustí IPSec režim pre GRE pakety na adresovanie do peer routera.

3.4 Nastavenie strane B (Router B)

interface Tunnel0
 ip address 10.10.10.2 255.255.255.252
 tunnel source 198.51.100.1
 tunnel destination 203.0.113.1
 tunnel mode gre ip

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
crypto isakmp key CistoSilneHeslo address 203.0.113.1

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map CMAP 10 ipsec-isakmp
 set peer 203.0.113.1
 set transform-set TS
 match address 100

access-list 100 permit gre host 198.51.100.1 host 203.0.113.1

interface GigabitEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 crypto map CMAP

4. Testovanie a overenie funkčnosti

show crypto isakmp sa – zobrazenie aktívnych ISAKMP vedúcych spojení
show crypto ipsec sa – ukáže štatistiky šifrovaných tunelov
ping 10.10.10.2 source 10.10.10.1 – testovanie tunela
show interface Tunnel0 – kontrola stavu tunelového rozhrania

Ak vidíte “up” stav na Tunnel0 a môžete pingovať cez tunel – všetko funguje a šifrovanie zabezpečuje, že GRE paket prechádza len v rámci šifrovaného kanála.

5. Optimalizácia a tipy v praxi

MTU zníženie: GRE + IPSec pridávajú hlavičky, preto odporúčame nastaviť MTU Tunnel0 na napr. 1400.
Anti-replay: vyplýva z esp s SHA resp. autentifikáciou, aktivované automaticky.
Keepalive a dead-peer detekcia: použite ISAKMP keepalives.
QoS pre tunely: označte GRE/IPSec paket pomocou DSCP/TOS a aplikujte prioritné queue v jadre siete.

6. Použitie v reálnych scenároch

Príklad A – pobočka 1 a pobočka 2: Firemné siete 10.1.1.0/24 a 10.2.2.0/24 sú prepojené cez GRE/IPSec. Môžete nasadiť OSPF cez Tunnel0 pre dynamické routovanie, prípadne prenášať multicast pre kamerové systémy.

Príklad B – multicast VPN: GRE podporuje multicast – šifrovaný VPN, na ktorom môžu bežať IP multicastové streamy – napr. video, VoIP, senzory, telemetria.

Záver

GRE tunely nad IPSec poskytujú ideálne riešenie pre bezpečné, flexibilné tunelovanie v Cisco sieťach. Pokrývajú všetky potreby – od jednoduchého routovania až po šifrovaný multicast. Postup krok za krokom z tohto návodu vám umožní vybudovať profesionálne spoľahlivý kanál medzi pobočkami, ktorý odolá odpočúvaniu a zachová plnú funkcionalitu vašich aplikácií.

Ak vás táto technológia zaujíma a chcete si ju vyskúšať v detailnom lab nastavení spolu s AAA, DMZ alebo ASA firewallmi, odporúčame kurz NP3 – Pokročilá sieťová bezpečnosť, GRE tunelovanie, AAA a základy ASA/PIX firewallu.

Kurz NA0 - Administrácia LAN/WAN a návrh TCP/IP sietí - základné koncepty