Post on 27-Feb-2019
Top-Down cz.II.7a protokoły VPN i topologie
Projektowanie sieci metodą Top-Down
http://www.topdownbook.com
Wydanie w języku polskim PWN 2007
Copyright 2004 Cisco Press & Priscilla Oppenheimer
W tej części
• Część II: Projekt logiczny– Rozdział 5: Projektowanie topologii– Rozdział 6: Plan adresowania i nazewnictwa
– Rozdział 7: Protokoły L2 i L3 ( L2 )– Rozdział 7a: Przykłady L3 ( L3 i VPN)– Rozdział 8: Strategia bezpieczeństwa– Rozdział 9: Zarządzanie siecią
Top-Down cz.II.7a protokoły VPN i topologie
Nadmiarowość L3, co wiemy
Enterprise
Enterprise
Enterprise
ISP 1
ISP 1 ISP 2
ISP 1
ISP 1 ISP 2
EnterpriseOption A
Option B
Option C
Option D
Paris NY
Paris NY
Rozwój i zastosowania• Polecana skala - mała sieć, dostęp do HQ, Internetu• Możliwy wariant z dwoma ISP (uwaga NAT !!!!)• Łączenie GLBP i HSRP
Top-Down cz.II.7a protokoły VPN i topologie
Mała sieć cd.
Zastosowania - warstwa dostępu w kampusie
• Efektywne wykorzystanie łącza zapasowego
Top-Down cz.II.7a protokoły VPN i topologie
Zastosowania - dostęp do farmy serwerów
• Cisco IOS Server Load Balancing (IOS-SLB), • Cisco Content Switching Module (CSM)• Cisco Content Switching Services (CSS)
Nadmiarowość L3 – Cisco V3PN
• Łącza zapasowe dodzwaniane DDR SOHO• Łącza wielokrotne DSL CATV średnia firma• Łącza agregowane multilink PPP duża firma• VPN, a PVN
– Rozmaitość rozwiązań technologii VPN– Zdalny dostęp a tunel siec-sieć
• Trzy przykłady konfiguracji praktycznej– Przykład 1: Tunel VPN IPsec + GRE w 5 kroków– Przykład 2: VPN LAN-LAN HUB&Spoke ( certyfikaty)– Przykład 3: Easy VPN z Dial Backup
Top-Down cz.II.7a protokoły VPN i topologie
PVC z zapasem ISDN (PVC)• Łącze ISDN podnosi się przy:
– Awarii FR ( floating routes, DDR backup, dialer watch)– Wzroście ruchu w FR ponad określony poziom ( DDR
backup)• Czas reakcji to około 1 minuta (FR down) + zwłoka
DDR + nawiązanie połączenia ISDN ( kilka sekund )
Mała firma DSL i CATV
• Niedrogie rozwiązanie z oszczędnymi technologiami
• Przy zastosowaniu śledzenia TRACK można ustawić czas reakcji około 60 sekund
Top-Down cz.II.7a protokoły VPN i topologie
Mała firma, duża centrala• Połączenie spoke do dwóch HUB, (jeden)
Dynamic Multipoint Virtual Private Network (DMVPN)• Czas reakcji przy zastosowaniu EIGRP w tunelach
GRE zależy od timerów typowo 3x5 sekund = 15 plus zestawienie tunelu „zielonego” kilka sekund
Duża firma dwa łącza F-R I DSLTunele IPsec + GRE są zakończane na ruterze FR i DSL
( FR- PVC nie szyfrowane)Czas reakcji przy uszkodzeniu zależy od timerów HSRP i GRE i
protokołów rutowania• HSRP default hello time to 3 s i hold to10s. • EIGRP, default hello time to 5 s i hold time to 15 seconds.• GRE keepalives typowo to 10 s przy trzech retry daje czas 30 s
Top-Down cz.II.7a protokoły VPN i topologie
Duża firma Multilink PPPUżycie multilink PPP tam gdzie trzeba mieć przepustowość
zagregowaną• Drugie łącze jest podnoszone w ciągu ustawionego
czasu po osiągnięciu progu• Drugie łącze jest zamykane po pozostawaniu ruchu
poniżej poziomu przez dany czas ( histereza )
Tworzenie VPN i tunelowanie
• Tunelowanie L2 wybór rozwiązania:– PPTP - Point to Point Tunneling Protocol,
RFC2637 (Microsoft) = (Generic RoutingEncapsulation (GRE) + TCP sterowanie
– L2F - Layer 2 Forwarding RFC2341 (Cisco)– L2TP - Layer 2 Tunneling RFC3931 (+IPsec)
standard IETF 2005– OpenVPN – oparty na TCP
Top-Down cz.II.7a protokoły VPN i topologie
Dwa/trzy rodzaje VPN (PVC+2*VPN)
Dwa rodzaje VPN
• Zdalny dostęp Remote access VPN– Oparty o IPsec– Oparty o SSL
• Połączenie sieci Site-to-Site VPN
TAK !!TAK !!TAKCisco ASA 5500urządzenia dostępowe
NIETAKTAK !!Cisco ASR 1000 Router
TAK (tylko rutery)TAKTAK !!Cisco Routers iCisco Catalyst Switches
SSL Remote-Access VPNIPsec Remote-Access VPNSite-to-Site VPN
Top-Down cz.II.7a protokoły VPN i topologie
IPsec - przypomnienie• IPsec używa SA (security association ) i klucza
symetrycznego do wymiany danych p2p– Szyfrowanie DES, 3DES lub AES
• Wymiana klucza i jego obsługa to zadanie protokołuIKE (Internet Key Exchange), a.k.a. “ISAKMP” Internet Security Association and Key Management Protocol
• Przed wymianą klucza IKE następuje uwierzytelnienie stron– Współdzielone hasło– Klucze PKI
• Metoda Diffiego-Hellman’a służy do wymiany kluczy• Do zabezpieczenia integralności wiadomości używana jest
funkcja skrótu MD5 lub SHA
Formy IPsec• Są dwie/trzy formy IPsec• AH zapewnia integralność i autentyczność
– Upewnia że dane pochodzą ze źródła – Wykrywa manipulacje danych (hash)– Ale nie szyfruje danych
• ESP (Encapsulating Security Payload) szyfruje• Tryb transportowy ESP:
– szyfrowanie tylko danych użytkowych, oryginalny nagłówek IP– nagłówek ESP jest tuż przed nagłówkiem transportowym
• Tryb tunelowy ESP:– cały oryginalny pakiet jest szyfrowany (z nagłówkiem IP), a następnie
wysyłany jako dane nowego pakietu IP,– nowy nagłówek zawiera informacje wystarczające do przekazania
pakietu na miejsce, ale nie do analizy ruchu– wygodny sposób tworzenia VPN i łączenia sieci lokalnych przez Internet.
Top-Down cz.II.7a protokoły VPN i topologie
Złożone układy VPN, stan tuneli
GRE GRE - Generic Routing Encapsulation• Śledzenie stanu końców tunelu, keep-alive• Przenoszenie informacji o trasach, ruting dynamiczny• Stosowany wraz z PPTP do tworzenia VPN • Stosowany wraz z L2TP = IPsec VPN do
przenoszenia informacji o stanie tras• Znaczny narzut sięgający 76 B, czy zawsze trzeba
Top-Down cz.II.7a protokoły VPN i topologie
Klasa zastosowań
1 Gbps10,000 simultaneous VPN connectionsCisco ASA 5580-20 and 5580-40
425 Mbps5000 simultaneous VPN connectionsCisco ASA 5550
325 Mbps2500/5000 simultaneous VPN connectionsCisco ASA 5540
225 Mbps750 simultaneous VPN connectionsCisco ASA 5520
170 Mbps250 simultaneous VPN connectionsCisco ASA 5510
100 Mbps25 simultaneous VPN connectionsCisco ASA 5505
Maximum VPN ThroughputSSL/IPsec ScalabilityModel
Mniejsze
140 Mbps140 Mbps1500Cisco 2821 Integrated Services Router with AIM-VPN/SSL-2
56 Mbps56 Mbps250Cisco 2821 Integrated Services Router with onboard VPN
130 Mbps130 Mbps1500Cisco 2811 Integrated Services Router with AIM-VPN/SSL-2
55 Mbps55 Mbps200Cisco 2811 Integrated Services Router with onboard VPN
160 Mbps160 Mbps1500Cisco 2801 Integrated Services Router with AIM-VPN/SSL-2
50 Mbps50 Mbps150Cisco 2801 Integrated Services Router with onboard VPN
95 Mbps95 Mbps800Cisco 1841 Integrated Services Router with AIM-VPN/SSL-1
45 Mbps45 Mbps100Cisco 1841 Integrated Services Router with onboard VPN
40 Mbps40 Mbps50Cisco 1800 Series Integrated Services Router (Fixed Configuration)
30 Mbps30 Mbps10Cisco 870 Series Integrated Services Router
8 Mbps8 Mbps5Cisco 850 Series Integrated Services Router
Maximum AES Throughput
Maximum 3DES Throughput
MaximumTunnels
Cisco VPN Security Router
Top-Down cz.II.7a protokoły VPN i topologie
Przykład 1, prosty tunel IPsec
Konfiguracja w pięciu krokach1) Powołanie protokołu IKE2) Konfiguracja IPsec3) Definicja ruchu podlegającego tunelowaniu4) Mapa adresów końców tunelu5) Powiązanie z i/f ruterów i powołanie i/f tunel
Top-Down cz.II.7a protokoły VPN i topologie
Ustalenie IKE, współdzielony sekretRuter w oddziału Ruter Centrali HQ
Ustalenie rodzaju tunelu i ACLRuter w oddziału Ruter Centrali HQ
Top-Down cz.II.7a protokoły VPN i topologie
Mapa adresów końców tuneluRuter w oddziału Ruter Centrali HQ
Mapa adresów tunelu, powiązana z i/fRuter w oddziału Ruter Centrali HQ
Top-Down cz.II.7a protokoły VPN i topologie
LAN - LAN VPN przykład 2
• Konfiguracja serwera IOS CA na ruterze HUB• Ustanowienie kluczy i ich certyfikatów na IOS CA• konfiguracja rutera HUB• konfiguracja rutera Spoke
Ustanowienie CA na HUB i generacja kluczy
! crypto pki server ciscoissuer−name CN=mojhub.cisco.com ST=LODZ C=PLgrant auto! crypto pki trustpoint ciscorevocation−check crlrsakeypair cisco!! crypto pki trustpoint mojhubenrollment url http://1.1.1.1:80revocation−check none!crypto pki certificate map certmap 1issuer−name co cisco.com!crypto pki certificate chain ciscocertificate ca 013082022F 30820198…….certificate ca 0270E5022F 90820100…….
Top-Down cz.II.7a protokoły VPN i topologie
Serwer HUB! Uzywaj do VPN kluczy z certmap wcześniej podanegocrypto isakmp profile l2lvpnca trust−point mojhubmatch certificate certmap
! Parametry IPseccrypto ipsec transform−set strong ah−md5−hmac esp−des! Trwórz tunel dynamiczniecrypto dynamic−map dynmap 10set isakmp−profile l2lvpncrypto map mymap 10 ipsec−isakmp dynamic dynmap! Na i/f outinterface Serial 0/1
ip address 1.1.1.1 255.255.255.0crypto map mymap
interface FastEthernet 0/0ip address 10.1.1.1 255.255.255.0
! ip route 0.0.0.0 0.0.0.0 Serial 0/1
Na ruterze Spoke! Wskazanie CAcrypto pki trustpoint mojhub
enrollment url http://1.1.1.1:80revocation−check none
! Wskazanie kuczycrypto pki certificate map certmap 1
issuer−name co cisco.com! Jak jest zrobiony VPNcrypto isakmp profile l2lvpn
ca trust−point myhubmatch certificate certmap
!crypto map mymap 10 ipsec−isakmp
set peer 1.1.1.1set isakmp−profile l2lvpnmatch address 100
! Ten ruch weglug listy nr 100 przez VPNaccess−list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255! Zwiazanie z konkretnym i/f, wyjsciowyminterface Serial 0/0
ip address 1.1.1.2 255.255.255.0crypto map mymap
interface FastEthernet 0/0ip address 10.1.2.1 255.255.255.0
Top-Down cz.II.7a protokoły VPN i topologie
Przykład 3:konfiguracje nadmiarowe
• Easy VPN with Dial Backup
Dynamiczny tunel VPN jest tworzony przy awarii głównego VPN na łączu Dialup
Easy VPN with Dial Backup
track 123 rtr 1 reachability
backup bup track 123mode network-extensionpeer 10.0.149.203virtual-interface 1
interface Virtual-Template1 type tunnel• ip unnumbered FastEthernet0/0• tunnel mode ipsec ipv4
ip route 0.0.0.0 0.0.0.0 10.0.149.203 track 123ip route 0.0.0.0 0.0.0.0 Async0/0/0 240 permanentip route 10.0.149.203 255.255.255.255 dhcp