GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Podobné dokumenty
VPN - Virtual private networks

Uživatelský modul. Transparent Mode

Uživatelský modul. File Uploader

Uživatelský modul. Modem Bonding

Semestrální projekt do předmětu SPS

Uživatelský modul. DF1 Ethernet

Uživatelský modul. WiFi STA

Uživatelský modul. Band Select ˇ PRÍRU CKA

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Uživatelský modul GPS

Konfigurace sítě s WLAN controllerem

Uživatelský modul. wm-bus Concentrator

Bezpečnost vzdáleného přístupu. Jan Kubr

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

TheGreenBow IPSec VPN klient

VLSM Statické směrování

Praktikum WIFI. Cíl cvičení:

Uživatelský modul. WiFi SSID Switch

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

VLSM Statické směrování

Střední odborná škola a Střední odborné učiliště, Hořovice

5. Směrování v počítačových sítích a směrovací protokoly

Uživatelský modul Stunnel

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Nová cesta ip. Stará cesta ifconfig, route. Network address translation NAT

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Route reflektory protokolu BGP

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Osobní firewall s iptables

Počítačové sítě 1 Přednáška č.5

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Další nástroje pro testování

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

NAS 323 NAS jako VPN Server

PB169 Operační systémy a sítě

Podsíťování. Počítačové sítě. 7. cvičení

Administrace služby - GTS Network Storage

Nezávislé unicast a multicast topologie s využitím MBGP

MPLS MPLS. Label. Switching) Michal Petřík -

Projekt VRF LITE. Jiří Otisk, Filip Frank

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Analýza protokolů rodiny TCP/IP, NAT

Josef Hajas.

Základy IOS, Přepínače: Spanning Tree

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

2N EasyRoute UMTS datová a hlasová brána

OpenVPN a dynamické směrování

L2 multicast v doméně s přepínači CISCO

L2 multicast v doméně s přepínači CISCO

Technologie počítačových sítí

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Quido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m

GTS internet DSL. Návod nastavení modemu a spuštění služby. (platné pro Zyxel Prestige 870HN-53b)

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Desktop systémy Microsoft Windows

Použití Virtual NAT interfaces na Cisco IOS

Administrace služby IP komplet premium

GTS internet DSL. Návod nastavení modemu a spuštění služby. (platné pro Zyxel Prestige VMG1312-B30B)

Nasazení IPv6 v podnikových sítích a ve státní správě

MPLS Penultimate Hop Popping

Směrované a přepínané sítě

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

32-bitová čísla Autonomních Systémů v protokolu BGP

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje

Protokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266)

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

DMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)

Návod na nastavení bezdrátového routeru Asus WL-520g Deluxe v režimu klient

Obsah. Úvod 13. Věnování 11 Poděkování 11

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Administrace služby IP komplet premium

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Rozhraní pro připojení požárních ústředen do systému C4

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9

32-bitová čísla Autonomních Systémů v protokolu BGP

Poděkování 21 O autorovi 23 Úvod 25 Síťové certifikace Cisco 25

X36PKO Úvod Protokolová rodina TCP/IP

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Transkript:

GRE tunel APLIKAC NÍ PR ÍRUC KA

POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné problémy, ke kterým může dojít ve specifických případech. Informace, poznámka informace, které obsahují užitečné rady, nebo zajímavé poznámky. Conel s.r.o., Sokolská 71, 562 04 Ústi nad Orlicí, Česká Republika Příručka byla vydána v ČR, 17. října 2014 i

OBSAH Obsah 1 Protokol GRE 1 2 Konfigurace GRE tunelu 2 3 Příklady konfigurace GRE tunelu 4 3.1 GRE tunel mezi dvěma Conel routery....................... 4 3.2 GRE tunel mezi Conel routerem a OS Linux.................... 6 3.3 GRE tunel mezi Conel routerem a Cisco routerem................ 8 3.4 GRE tunel v IPsec tunelu (GRE over IPsec).................... 9 4 Doporučená literatura 13 ii

SEZNAM OBRÁZKŮ Seznam obrázků 1 Vlevo princip GRE tunelu. Vpravo zapouzdření probíhá v sít ové vrstvě, příklad zapouzdření IPv6 paketů pro přenos přes IPv4 sít............. 1 2 Přehled GRE tunelů................................. 2 3 Konfigurace GRE tunelu (po kliknutí na Edit)................... 2 4 Topologie příkladu konfigurace GRE tunelu mezi Conel routery......... 4 5 Router A (modrá sít ) konfigurace GRE tunelu.................. 4 6 Router B (červená sít ) konfigurace GRE tunelu................. 5 7 Network Status sít ové rozhraní gre1....................... 5 8 Program ping přes sít ové rozhraní gre1...................... 6 9 Program tcpdump pro zachytávání paketů ověření GRE komunikace..... 6 10 Příklad GRE tunel mezi Conel routerem a OS Linux.............. 6 11 Nastavení GRE tunelu v Conel routeru....................... 7 12 Příklad GRE tunel mezi Conel routerem a Cisco routerem........... 8 13 Router B (červená sít ) konfigurace GRE tunelu................. 8 14 Program ping přes sít ové rozhraní gre1...................... 9 15 Topologie příkladu GRE over IPsec......................... 9 16 Router A konfigurace IPsec (položka IPsec v sekci Customization)...... 10 17 Router A konfigurace GRE............................ 10 18 Router B konfigurace IPsec (položka IPsec v sekci Customization)...... 11 19 Router B konfigurace GRE............................ 11 20 Router B IPsec Status, tunel sestaven (established).............. 12 21 Router B ESP pakety zachycené programem tcpdump............. 12 iii

SEZNAM TABULEK Seznam tabulek 1 Přehled GRE tunelů................................. 2 2 Konfigurace GRE tunelu............................... 3 iv

1. PROTOKOL GRE 1. Protokol GRE GRE Generic Routing Encapsulation (obecné zapouzdření při směrování) je jednoduchý tunelovací protokol vyvinutý firmou Cisco Systems. Tento protokol umí zapouzdřit širokou škálu protokolů sít ové vrstvy uvnitř virtuálního přímého spojení (GRE tunelu) přes IP protokol (internet). Takovýto GRE tunel vytváří propojení dvou sítí LAN do jedné, která se zevnitř tváří jako homogenní. Použitím GRE tunelu je možné posílat pakety z jedné sítě do druhé tak, že nejsou po cestě mezilehlými routery vyhodnocovány jako IP pakety. GRE funguje tak, že zapouzdřuje užitečná data vnitřní paket určený k doručení do vzdálené sítě do vnějšího paketu. Tento je poslán skrze GRE tunel, mezilehlé routery jej směrují jako vnější paket, takže jej předají do cílové sítě, kde je vnější paket odebrán a původní paket je směrován k cíli určení. Na rozdíl od IP-to-IP tunelu, GRE tunel může sloužit k přenosu multicastu a IPv6 paketů mezi propojenými sítěmi. Obrázek 1: Vlevo princip GRE tunelu. Vpravo zapouzdření probíhá v sít ové vrstvě, příklad zapouzdření IPv6 paketů pro přenos přes IPv4 sít. Výhody GRE protokolu: Zapouzdření mnoha různých protokolů do jediného páteřního protokolu, řešení pro sítě s omezeným počtem skoků, propojení podsítí v různých oddělených oblastech do jediné, možnosti VPN (Virtual Private Network). Příklady využití GRE protokolu: Ve spolupráci s protokolem PPTP lze vytvořit VPN, ve spolupráci s VPN pomocí IPsec lze předávat směrovací informace mezi propojenými sítěmi, využití v Mobility protokolech, možnost vytvoření ad-hoc GRE tunelů z Linuxu či BSD pro IP komunikaci s Cisco zařízeními a další. Protokol GRE poskytuje bezestavové privátní spojení, není však šifrovaným (zabezpečeným) protokolem, protože nepoužívá šifrování jako např. ESP (Encapsulating Security Payload) u protokolu IPsec. Protokol GRE je popsán ve specifikacích RFC 2784 a RFC 2890. V IP záhlaví je v poli Protocol označen číslem 47. 1

2. KONFIGURACE GRE TUNELU 2. Konfigurace GRE tunelu Router umožňuje vytvořit až čtyři GRE tunely, jejichž konfiguraci je možné vyvolat volbou položky GRE v menu, sekce Configuration. V okně GRE Tunnels Configuration jsou čtyři řádky, přičemž každý řádek odpovídá konfiguraci jednoho tunelu. Položka Create Description Edit Popis Vytvořit tato položka zapíná jednotlivé tunely. Popis tato položka zobrazuje název tunelu, zadaný v konfiguraci tunelu. Upravit konfigurace GRE tunelu. Tabulka 1: Přehled GRE tunelů Obrázek 2: Přehled GRE tunelů Obrázek 3: Konfigurace GRE tunelu (po kliknutí na Edit) Na obrázku 3 jsou vidět možnosti nastavení pro každý ze čtyř GRE tunelů. Tunel lze aktivovat zaškrtnutím položky Create 1st GRE tunnel (ekvivalentní s položkou Create o úroveň výše, na obr. 2). Jednotlivé položky nastavení popisuje následující tabulka: 2

2. KONFIGURACE GRE TUNELU Položka Description Remote IP Address Remote Subnet Remote Subnet Mask Local Interface IP Address Remote Interface IP Address Multicasts Popis Popis - volitelný název tunelu, zobrazuje se pak o úroveň výše, v přehledu tunelů (obr. 2) IP adresa protější (vzdálené) strany tunelu Adresa sítě za protější stranou tunelu Maska sítě za protější stranou tunelu Interní IP adresa lokální strany tunelu Interní IP adresa protější strany tunelu Povoluje, resp. zakazuje multicast: disabled multicast zakázán enabled multicast povolen Pre-shared Key Volitelná položka, která definuje 32 bit sdílený klíč v číselném formátu, pomocí kterého se filtrují data procházející tunelem. Tento klíč musí být na obou routerech definován stejně, jinak bude router zahazovat přijaté pakety. Pomocí tohoto klíče se nezabezpečují data procházející tunelem. Tabulka 2: Konfigurace GRE tunelu Pozor, GRE tunel neprojde přes překlad adres NAT. Potřebujete-li vytvořit tunel který projde přes NAT, použijte IP-to-IP tunel (IP pakety zapouzdřeny do jiných IP paketů) nebo IPsec tunel (šifrovaný tunel a následný transport pomocí GRE protokolu). Všechny změny v nastavení se projeví až po stisknutí tlačítka Apply. 3

3. PŘÍKLADY KONFIGURACE GRE TUNELU 3. Příklady konfigurace GRE tunelu 3.1 GRE tunel mezi dvěma Conel routery Obrázek 4: Topologie příkladu konfigurace GRE tunelu mezi Conel routery Tento příklad ukazuje, jakým způsobem je možné pomocí GRE tunelu propojit dvě LAN sítě. Výchozí branou pro zařízení v modré síti bude router A (192.168.1.1), pro zařízení v červené síti to bude router B (192.168.2.1). Parametry GRE tunelu na obou routerech budou nastaveny podle následujících obrázků: Obrázek 5: Router A (modrá sít ) konfigurace GRE tunelu 4

3. PŘÍKLADY KONFIGURACE GRE TUNELU Obrázek 6: Router B (červená sít ) konfigurace GRE tunelu Po aktivaci GRE tunelu se na obou routerech v sekci Status pod položkou Network objeví nové sít ové rozhraní gre1 viz obrázek: Obrázek 7: Network Status sít ové rozhraní gre1 5

3. PŘÍKLADY KONFIGURACE GRE TUNELU Nyní by již mělo být spojení mezi sítěmi přes GRE tunel funkční. Ověřit jej lze například pomocí programu ping po přihlášení přes SSH do jednoho z routerů. Na obr. 14 je konzole routeru B (192.168.2.1), v níž je zobrazen příkaz programu ping a výsledek. Přepínač -c nastavuje počet ping požadavků, přepínač -I potom udává právě rozhraní použité gre1. Obrázek 8: Program ping přes sít ové rozhraní gre1 Ověření, že komunikace probíhá v protokolu GRE je možné např. spuštěním programu tcpdump na zachytávání paketů na jednom z routerů, viz vyznačený řádek na následujícím obrázku. Zde program tcpdump spuštěn s přepínačem -i pro výběr sít ového rozhraní (ppp0 pro sledování Mobile WAN komunikace, která na tomto rozhraní probíhá). Obrázek 9: Program tcpdump pro zachytávání paketů ověření GRE komunikace 3.2 GRE tunel mezi Conel routerem a OS Linux Zde je uveden příklad vytvoření GRE tunelu mezi Conel routerem a OS Linux. Protože i na Conel routeru běží Linux, je tento případ velmi jednoduchý. Obrázek 10: Příklad GRE tunel mezi Conel routerem a OS Linux 6

3. PŘÍKLADY KONFIGURACE GRE TUNELU Pro IP adresy podle předchozího obrázku je nutné nastavit GRE tunel v Conel routeru následujícím způsobem: Obrázek 11: Nastavení GRE tunelu v Conel routeru V OS Linux si potom pustíme terminál a následujícím způsobem vytvoříme GRE tunel. Nejprve je dobré is ověřit, že modul, který GRE tunelování umnožňuje, je součástí jádra systému. To je možné ověřit následujícími příkazy: $ sudo modprobe ip_gre $ lsmod grep gre V případě přítomnosti modulu v jádře jsou vypsány např. následující řádky: ip_gre 22432 0 gre 12989 1 ip_gre Nyní je již možné vytvořit samotný GRE tunel následujícími příkazy: $ sudo ip tunnel add gre1 mode gre remote 10.40.28.64 local 10.40.28.127 ttl 255 $ sudo ip link set gre1 up $ sudo ip addr add 10.10.10.124 dev gre1 Vytvoření tunelu je možné ověřit vypsáním směrovací tabulky příkazem ip route show. Jsou vidět směrovací pravidla pro nově vytvořené sít ové rozhraní gre1. Také po spuštění programu ifconfig, který vypíše informace o sít ových zařízeních, je nově vytvořené rozhraní zobrazeno. Pro vypnutí a smazání tunelu je možné použít následující příkazy: $ sudo ip link set gre1 down $ sudo ip tunnel del gre1 Výše uvedené příkazy je možno používat pro vytvoření GRE tunelu i v Conel routeru (např. přes SSH), protože jeho operačním systémem je také Linux a program ip je v routeru také k dispozici, viz příručka Commands and Scripts. 7

3. PŘÍKLADY KONFIGURACE GRE TUNELU 3.3 GRE tunel mezi Conel routerem a Cisco routerem Následuje příklad vytvoření GRE tunelu mezi Conel routerem a Cisco. Zapojení a nastavení adres dle obrázku níže: Obrázek 12: Příklad GRE tunel mezi Conel routerem a Cisco routerem V Conel routeru je nutné provést nastavení následujícím způsobem: Obrázek 13: Router B (červená sít ) konfigurace GRE tunelu Po přihlášení do konzole Cisco routeru (např. telnet, sériová linka), je třeba vstoupit do konfiguračního terminálu příkazem config terminal. Potom je možné vytvořit GRE tunel následujícími příkazy: Router(config)# interface Tunnel0 Router(config-if)# ip address 10.20.30.1 255.255.255.0 Router(config-if)# tunnel source 10.40.28.89 Router(config-if)# tunnel destination 10.40.28.64 Router(config-if)# end Případně je možné upravit maximální délku paketu, aby nedocházelo k časté zbytečné fragmentaci a přidat směrovací cestu pro stanice připojené za routerem (např. v síti 192.168.1.0). Router(config-if)# ip mtu 1400 Router(config-if)# ip tcp adjust-mss 1360 Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.30.1 8

3. PŘÍKLADY KONFIGURACE GRE TUNELU Nastavení je možné ověřit příkazem show running-config (již mimo konfigurační terminál), který vypíše stávající konfiguraci Cisco routeru. U rozhraní Tunnel0 by měly být uvedeny výše nastavené adresy. Pro podrobnější nastavení viz Cisco dokumentaci k příslušnému Cisco routeru. Nyní by měl fungovat program ping s úspěšným výsledkem (z Cisco routeru na Conel router přes GRE tunel na adresu 10.20.30.2 nebo naopak). Ověřit zapouzdření do GRE protokolu je možné například tak, že z konzole Cisco routeru se přes telnet a přes GRE tunel připojíme na Conel router (telnet 10.20.30.2) a zde spustíme program tcpdump pro zachytávání paketů. Veškeré zachycené pakety budou mít označení GRE protokolu viz následující obrázek. Obrázek 14: Program ping přes sít ové rozhraní gre1 3.4 GRE tunel v IPsec tunelu (GRE over IPsec) Příklad vytvoření GRE tunelu v IPsec tunelu šifrované spojení, které umožňuje i přenos směrovacích protokolů a tím předávání směrovacích informací mezi propojenými sítěmi. Obrázek 15: Topologie příkladu GRE over IPsec Pro GRE spojení uvnitř IPsec je nutné nastavit IPsec spojení a také GRE spojení u obou routerů. Na následujících obrázcích je nastavení IPsec a GRE routerů A a B pro uvedenou topologii příkladu. 9

3. PŘÍKLADY KONFIGURACE GRE TUNELU Obrázek 16: Router A konfigurace IPsec (položka IPsec v sekci Customization) Obrázek 17: Router A konfigurace GRE 10

3. PŘÍKLADY KONFIGURACE GRE TUNELU Obrázek 18: Router B konfigurace IPsec (položka IPsec v sekci Customization) Obrázek 19: Router B konfigurace GRE 11

3. PŘÍKLADY KONFIGURACE GRE TUNELU V případě správného nastavení bude u obou routerů v sekci Status pod položkou IPsec (nebo také v System Log) vypsána informace o úspěšném navázání IPsec tunelu (established). Obrázek 20: Router B IPsec Status, tunel sestaven (established) Šifrování GRE tunelu pomocí IPsec lze ověřit po přihlášení přes telnet nebo SSH do terminálů obou routerů. Např. na routeru B spustíme program tcpdump s parametry pro vyfiltorvání pouze protokolu ESP (IPsec): tcpdump -s0 protochain 50. Z konzole routeru A se potom opět přes telnet nebo SSH přihlásíme na router B a to přes GRE tunel tedy na adresu 10.20.30.2 aby sledovaná komunikace probíhala přes GRE tunel. Při psaní do konzole routeru A by měl nyní spuštěný program tcpdump na routeru B zachytávat šifrované ESP pakety, takže komunikace přes GRE tunel probíhá zároveň šifrovaně přes IPsec. Obrázek 21: Router B ESP pakety zachycené programem tcpdump 12

4. DOPORUČENÁ LITERATURA 4. Doporučená literatura [1] Conel: Konfigurační manuál pro v2 routery [2] Conel: Konfigurační manuál pro v3 routery 13

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář