1.6 Reseaux Prive Virtuels VPN

7/30/2019 1.6 Reseaux Prive Virtuels VPN

1/63

Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr

111

2Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved .

Rseaux privs virtuels (VPN)

Comment fonctionne le PATH MTU

dans les tunnels GRE et IPSec?

Martin Langlois

[email protected]


2/63


333 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003

Les VPNs

IPsec GRE L2TP/PPTP

HMAC-MD5 HMAC-SHA-1

RSA DigitalCertificats

Clef partage

B A N K

VPN Scurit

DES 3 DES AES

RFC IPSec

Tunnels Chiffrement Authentification Intgrit


Agenda

Applications

Considrations lors du design

VPN site site

Interaction avec dautres technologies


3/63



Internet VPN

Mobile

POP

Extranet

TltravailleurPOP

Accs Distant


Intranet

Internet VPNPOPDSLcble

Extranet

Site Principal

Replacement du lien WAN


4/63



Replacement du lien WAN

a) round trip passe de 195 ms avant a 90ms incluant encryption et transport. Avant impossible dans une fin desemaine de prendre un full backup du serveur (3 essais), aujourd'hui ca prend 4 heures - 4.5 heures encryptioncomprise. on fait un incrmental journalier en presque deux heures. Le temps rponse est beaucoup plus vite.

b) avant 1200$US portion us + 700$CDN portion Canada maintenant 1600$CDN bout a bout, contrat pris auprs decie canadienne. L'avantage majeur n'est pas le prix mais la possibilit de prendre des backup sans interventionde personne. Le site est dans une rgion propice aux temptes et tornades, donc possibilit d'vacuations. Encas de catastrophe, trs faile a relev de n'importe ou dans des dlais trs courts .

c) JAMAIS eu de downtime a part deux maintenaces de 5 minutes prvues par le telco et dans un dlai etconditions respectes. Temps d'installation beaucoup plus rapide qu'un point a point 2 semaine au lieu de 8 etavec le pix connection directe sur internet en floride donc plusrapide que de passer l'internet sur un lien ddi etde prendre l'internet ici.


Relve du lien principal

Intranet

Internet VPN(Relve)POP

DSLCble

Extranet

Site Principal

WAN traditionnel


5/63



Sige Social

Fournisseur deServices

Cble/DSL

Tltravailleur

Bureau rgional

Services de tlphonie IP

>T1

TlphoneIP

Tlphone IP

V3PN (VoIP/Video Enabled IPSec VPN)

SOHO

QoS Disponible Actuellement

Pas de QoS aujourdhui

Cisco Powered Networkhttp://www.cisco.com/pcgi-bin/cpn/cpn_pub_bassrch.pl


Agenda

Applications


VPN site site



6/63



Design Classique

Vers le WAN Vers le Campus

VPN

Concentrateur VPNConcentrateur VPN

Filtrage niveaux 4 7avec tat des sessionsFiltrage niveaux 4 7

avec tat des sessions

Filtrage niveau 3(IKE, ESP)


Analyseniveaux 47

Analyseniveaux 47

DMZ


Concentrateur VPN sans pare-feu intgr


VPN

Concentrateur VPNConcentrateur VPN

Filtrage niveaux 4 7 avectat des sessionsFiltrage niveaux 4 7 avectat des sessions

AnalyseNiveaux 47

AnalyseNiveaux 47



DMZ


7/63



Pare-feu avec concentrateur VPN intgr


Concentrateur VPNFiltrage niveaux 4 7


Concentrateur VPNFiltrage niveaux 4 7




AnalyseNiveaux 47

AnalyseNiveaux 47

DMZ


Vers le WANVers le Campus

Filtrage Niveau 3 lentre

Concentrateur VPN

Filtrage N4N7 Stateful

Filtrage Niveau 3 lentre

Concentrateur VPN

Filtrage N4N7 Stateful

AnalyseNiveaux 47

AnalyseNiveaux 47

VPN/Pare-feu intgr au Routeur

DMZ


8/63



Points considrer lors du Design

Adressage IP

Routage

Scurit

volutivit

QoS

Gestion

Migration

Les composantes La politique deScurit

Contrle daccs

Haute disponibilit

Performance

Interoprabilit

Authentification,autorisation, et lacomptabilit

Balancement de lacharge


Le positionnement des composantes Plan dadressage IP

Les composantes VPN sont gnralement places lafrontire entre le rseau publique et priv

Les composantes qui terminent le VPN doivent avoirune adresse IP routable dans le rseau publique

Le NAT nest pas forcment requis puisque lesadresses internes sont maintenant caches par IPSec

Les pare-feu et la politique de scurit vontprobablement avoir un impact.

RoutageIl faut pouvoir router du trafic chiffr et non chiffr

Le routage dynamique est ncessaire pour les grandsdploiements.


9/63



Le positionnement des composantes - II

ScuritComment ajuster les pare-feu et les rgles defiltrage

Intranet vs Extranet

volutionLes composantes doivent supportelaugmentation de la charge

Composante multifonctions ou ddieRoutage, robustesse, balancement de lacharge et les options pour se reli au WAN


Le positionnement des composantes - III

QoS

Les paquets devraient maintenir ltiquette deQoS en place et les composantes doiventpouvoir lhonorer

Gestion

Composantes ddies sont plus simple

dpanner vs nombre de composantes.

Plusieurs groupes peuvent tre impliqus


10/63



Agenda

Applications


VPN site site



Quest ce quun Tunnel

Contrat entre deux parties sur une politique de scurit incluant:Algorithme de chiffrementAlgorithme dauthentificationClefs partages pour la sessionDure de vie des SA

Quelles donnes doivent tre protges (IPsec SAs seulement) Types de SAs

Bidirectionnel pour la gestion (IKE SA)Unidirectionnel pour les donnes (IPsec SA)1 Tunnel = 1 IKE SA + 2 IPsec SAs

IKE SA

IPsec SAsVPN VPN


11/63



Topologie en toile

192.168.100.0

172.21.114.0

172.21.115.0

.1 .2

.2

Charlie

IPSecIPSec

172.21.116.0

.1

.1

.2IPSecIPSec

Fameux

IPSecIPSec

Dtective

192.168.150.0

Sige Social


Topologie en toile: Routeur Charlie Cfg 1

! Soyons courageux et entrons un

! crypto map par voisin

! ...

crypto map HQ 10 ipsec-isakmp

set peer 172.21.115.2

set transform-set encrypt-des

match address 101

crypto map HQ 20 ipsec-isakmp

set peer 172.21.116.2

set transform-set encrypt-des

match address 102


12/63



Topologie en toile simplifie

Charlie

IPSecIPSec

IPSecIPSec

Fameux

IPSecIPSec

Dtective

Sige Social

Charlie accepteTous les tunnels IPSec

(crypto maps dynamiques)

Une dfinition IPSecStatique

Pour rejoindre Charlie

Une dfinition IPSecStatique

Pour rejoindre Charlie

Seulement deux configurations:Seulement deux configurations:-- Configuration du concentrateur est dynamiqueConfiguration du concentrateur est dynamique-- Configurations des rgions sont semblablesConfigurations des rgions sont semblables


Topologie en toile: Routeur Charlie Cfg 2

! Plaons plutt une commande unique de

! Dynamic crypto map!

crypto map DYNAMICDYNAMIC 10 ipsec-isakmp dynamic TEMPLATETEMPLATE

! Template est utilis pour dfinir: transforms, lifetime,! Identities, ...

crypto dynamic-map TEMPLATETEMPLATE 10

set transform-set ...


13/63



Tunnel Endpoint Discovery (TED)

Alice

Bob

X1

Y

A Bdoivent tre protgs

Pas SA => sonde

IP: A B

IKE:AB(Sonde=X1)

Trafic vers Bdoit tre protg

Pas SA & sonde reue=> bloque & rpondre la sonde

IKE:YX1

IOS 12.1IOS 12.1IOS 12.1

X2


TED Configuration

! Template pour dfinir: transforms, lifetime,

! Identities, ...

crypto dynamic-map TEMPLATETEMPLATE 10

set transform-set ...

crypto map TEDTED 10 ipsec-isakmp dynamic TEMPLATETEMPLATE discover

TED a t dploy sur un rseau de 120 nudsTED a t dploy sur un rseau de 120 nudsAvec une interconnexion totale (Fully Mesh)Avec une interconnexion totale (Fully Mesh)


14/63



Limitations de TED

Adressage

Comme la sonde utilise les adresses des composantesprotges (A, B), ces adresses doivent tre routables.

TED nest donc pas applicable pour du VPN sur Internet

Dploiement

Tous les routeurs IPSec doivent avoir TED actif

Le dploiement sur tous les routeurs doit tre ralissimultanment ...


IPSec PassiveMode

Le but est de simplifier les grands dploiements dIPSec

Sans passive mode

Tous les routeurs doivent avoir IPSec actifs au mme moment

Pas de communications jusqu ce que les deux bouts du tunnelsoient actifs

Passive mode

Utilise IPSec lorsque les deux bouts ont activ IPSecUtilise aucun chiffrement si un des bouts nest pas configurpour IPSec

12.2(13)T12.2(13)T


15/63



Fonctionnement de IPSec Passive Mode

Routeur Transmet:- IKE pour le trafic chiffrer

Sil y a une rponse, le tunnel est tabli comme dhabitude

Sil ny a pas de rponse (aprs dlai):

+ Cration dun passive SA: SA normal, avec une bit passivePas de chiffrement! Dure de vie trs courte pour ce SA

Routeur qui reoit:- Rpond IKE et tabli le tunnel

- Paquets chiffrs: Tout est normal

- Paquets non chiffrs: Transmet, ne pas dropp

-Mme si un SA (pour les Peers redondant)

(bleu pour le changement de comportement)


Passive IPSec: CLI IPSec Passive nest pas actif par dfaut !

Commandes Globales :

crypto ipsec optionalcrypto ipsec optional retry Secondescrypto ipsec optionalcrypto ipsec optional retry Secondes

Par dfaut, le routeur va essayer aux 5minutes de chiffrer la session


16/63



Dynamique Multipoint VPNDMVPN


VPNs avec IPSec Topologie en toile

+ Tout le trafic doit passer par le site central+ Facile dployerrDeux chiffrementsrBesoin de plus de bande passante vers le site centralrPeut donner des configurations trs longues

Interconnexion complte (Full Mesh)+ Communication directe entre les rgions

rPetits routeurs nont pas les ressources pourmaintenir les connexionsrAjout dun site = beaucoup de planificationrUn casse-tte dvolution, donc la plupart des

entreprises utilisent une topologie en toile


17/63



Dynamique Multipoint VPN - DMVPN

Spoke

Addresses IPpubliques

Dynamiques(ou statiques)

10.100.1.0 255.255.255.0

10.1.1.0 255.255.255.0

10.1.1.1

10.100.1.1

= TunnelsIPsec Dynamiques &Permanentsspoke-to-hub

= Tunnels IPSec Dynamiques &Temporaires Spoke-to-spoke

Adresse IPPubliqueStatique

10.1.2.0 255.255.255.0

10.1.2.1

130.25.13.1


DMVPN Comment a marche

Bas sur deux technologiesNHRP Next Hop Resolution Protocol

Client/serveur: Site central est le serveur; Rgions sont clients

Site central maintien la BD (NHRP) pour toutes les adressespubliques des rgions

Chaque rgion enregistre son adresse publique au dmarrage

Rgions demandent la BD NHRP pour ladresse publique de ladestination pour tablir le tunnels

Interface Tunnel Multipoint GRE (mGRE) RFC2547

Permet une interface GRE de supporter plusieurs tunnelsIPSec


18/63



Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0

192.168.1.0 /24

192.168.1.1

10.100.1.1

= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37

Publique: 173.1.13.101Prive (Tunnel): 10.0.0.10

Publique: 158.200.2.181Priv (Tunnel): 10.0.0.2


Routeur A

Routeur B

1. PC (192.168.1.25)derrire le routeur A veutcontacter le serveur web(192.168.2.37) derrire lerouteur B.



192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37

Publique: 173.1.13.101

Prive (Tunnel): 10.0.0.10



Routeur A

Routeur B

2. Le routeur A cherche laroute dans sa table de routagepour la destination(192.168.2.0). Le table donneune adresse IP next-hop de10.0.0.2 via linterface tunnel0.



19/63




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37




Routeur A

Routeur B

3. Routeur A regardesa table de NHRPpour la destination10.0.0.2 et ne trouvepas dentre. Alors, ilenvoie une requte auNHRP serveur




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37

Publique: 173.1.13.101




Routeur A

Routeur B

4. Le Serveur NHRPindique que 10.0.0.2correspond ladressepublique (158.200.2.181)et envoie la rponse aurouteur A



20/63




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37




Routeur A

Routeur B

5. Routeur A reoit larponse et linscrit dans satable de NHRP. Cecidclanche un tunnel IPSecdirectement 158.200.2.181.(Routeur A utilise sonadresse publique commepeer IPSec)




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37

Publique: 173.1.13.101




Routeur A

Routeur B

6. Par le tunnel,Routeur Aenvoi lepaquet au routeur B.Le trafic estunidirectionnelactuellement.



21/63




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37




SPOKE A

SPOKE B

7. Le serveur Web reoit lepaquet du PC et transmet larponse. Ceci dclanche lamme squence dvnementsque dans les tapes 2, 3, et 4 partir du routeur B. Un fois queB dans sa table un map NHRPpour le routeur A le paquet peuttre envoy directement. Letunnel a dj t cr.




192.168.1.0 /24

192.168.1.1

10.100.1.1

192.168.2.0 /24

192.168.2.1

PC

www

192.168.1.25

192.168.2.37

Publique: 173.1.13.101




SPOKE A

SPOKE B

8. Aprs un dlai(programmable), lentredans la table NHRP vadisparatre,entranant ladestruction du tunneldynamique rgion rgion.



22/63



Configuration Site Central

crypto isakmp policy 1

authentication pre-share

crypto isakmp key cisco47 address 0.0.0.0

!

crypto IPsec transform-set trans2 esp-des esp-md5-hmac

!

crypto ipsec profile vpnprof

set transform-set trans2

!


Configuration Site Central suiteinterface Tunnel0

bandwidth 1000

ip address 10.0.0.1 255.255.255.0

ip mtu 1416

ip nhrp authentication donttell

ip nhrp map multicast dynamic

ip nhrp network-id 99

ip nhrp holdtime 300

no ip split-horizon eigrp 1

no ip next-hop-self eigrp 1

delay 1000

tunnel source Ethernet0

tunnel mode gre multipoint

tunnel key 100000

tunnel protection ipsec profile vpnprof


23/63



Configuration Site Central Suite.

interface Ethernet0

ip address 130.25.13.1 255.255.255.0

!

interface Ethernet1

ip address 192.168.0.1 255.255.255.0

!

router eigrp 1

network 10.0.0.0 0.0.0.255 area 0

network 192.168.0.0 0.0.0.255 area 0

!

Pas de configuration particulire pour les Rgions!!!


Configuration Rgions

crypto isakmp policy 1

authentication pre-share

crypto isakmp key cisco47 address 0.0.0.0

!

crypto IPsec transform-set trans2 esp-des esp-md5-hmac

!

crypto ipsec profile vpnprof

set transform-set trans2

!


24/63



Configuration Rgions Suite

interface Tunnel0

bandwidth 1000

ip address 10.0.0.3 255.255.255.0

ip mtu 1416

ip nhrp authentication donttell

ip nhrp map 10.0.0.1 130.25.13.1

ip nhrp network-id 99

ip nhrp holdtime 300

ip nhrp nhs 10.0.0.1

delay 1000

tunnel source Ethernet0tunnel mode gre multipoint

tunnel key 100000

tunnel protection ipsec profile vpnprof


Configuration Rgions Suite!

interface Ethernet0

ip address dhcp hostname Spoke1

!

interface Ethernet1

ip address 192.168.1.1 255.255.255.0

!

router eigrp 1

network 10.0.0.0 0.0.0.255

network 192.168.1.0 0.0.0.255

Toutes les rgions possdent la mme configuration lexemption des adresses sur linterface du tunnel etcelle du rseau local.


25/63



Recommandations

Certificats/PKI

Si vous utilisez des clef partages et que la clef estcompromise, il faut changer les clefs dans tous les rgions.

Lauthentification avec NHRP

NHRP Network ID et mot de passe

mGRE Network ID

Ces paramtres sont transmis par le tunnel IPSec entre lesite central et les rgions et sont chiffrs

Il est possible de configurer plusieurs serveurs NHRP sur

plusieurs sites centraux pour la redondance


Plateformes et version dIOS

12.2(15)T

7200, 37xx, 36xx, 26xx, 17xx

12.2.(13)ZG

Pour les 831, 836 et 837

www.cisco.com/go/fn


26/63



Agenda Applications Considrations lors du design

VPN site site


Fragmentation des paquets IPFragmentation des paquets IP

Path MTU Discovery

Impact de GRE

Impact de IPSec

Impact de GRE et IPSecImpact de IPSec sur la QoS


Fragmentation des paquets IPFragmentation des paquets IP


27/63



Grosseur dun paquet IP

Un paquet IP peut avoir 65536 octets

Les couches 1 et 2 offrent normalement une grandeur limiteaux trames

MTU: Maximum Transmission Unit

Habituellement, 1500 octets pour Ethernet

Les htes ou les routeurs doivent fragmenter lorsque latrame IP est plus grande que le MTU

Les fragments sont transmis comme des paquets IP

(routage, fragmentation additionnelle, etc..)


Un paquet IP

0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Version| IHL |Type of Service| Total LengthTotal Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| IdentificationIdentification |FlagsFlags| Fragment OffsetFragment Offset |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Time to Live | Protocol | Header Checksum |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Destination Address |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Internet Datagram Header


28/63



Les champs dun paquet fragment

Tous les fragments conservent le champidentificationidentificationoriginaloriginal

Les fragments sont identifi par unfragment offsetfragment offset

FlagsFlagspeut contenir:

MFMF: Dautres Fragments (More Fragments)DFDF: Ne pas fragmenter (Do not Fragment)


Fragmentation IP

ID=x,TL=1300,FO=0,MF=0 Donnes 1280

ID=xTL=500,FO=0,MF=1 Donnes 480

ID=x,TL=500,FO=480,MF=1 Donnes 480

ID=x;TL=340,FO=960,MF=0 Donnes 320

Avant la fragmentation:

Aprs la fragmentation (MTU = 500):

En-tte IP Donnes


29/63



Pour reconstruire la trame

Lhte de DLhte de Destinationestinationreconstruite la trame en se basant sur

Adresse IP de Source

Le champ identification

Les Fragments

MF flags

Les routeurs ne devraient jamais reconstruire une trame saufsils sont la destination

Fragments perdu = Perte complte de la trame IP


Impact de la Fragmentation

La fragmentation doit tre vite tout prix:Augmente le nombre de paquets perdus

Consommation du CPU des htes

Certains produits (PAT boxes) sont incapables defonctionner avec des fragments La communication ne fonctionne simplement pas

Les Routeurs perdent leur efficacitIls doivent allouer des gros bloques de mmoire

Toujours process-switched


30/63



Qui Fragmente?

Actuellement, cest plutt commun:

ADSL avec PPPoE offre un MTU de 1492 octets

MPLS over Ethernet rduit aussi le MTU

60Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1

Path MTU Discovery (PMTUD)


31/63



Path MTU Discovery (PMTUD)

Path MTU Discovery essai de mesurerle plus petit MTU disponible et lasource va pouvoir ajuster la grosseurde ses paquets

PMTUD est principalement utilis parTCP


Path MTU Discovery/1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500

S DR1 R2 R3 R4

Selon le RFC 1191

Le plus petit MTU est 1000 octets S nedevrait pas envoyer de trame IP de plus de1000 octets

Pour dcouvrir le plus petit MTU, S et Dvont envoyer des trames IP selon leurMTU avec le DF bit initialis


32/63



Path MTU Discovery/2

MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500

S DR1 R2 R3 R4

1. R2 ne peut pas transmettre la trame carMTU=1000 demande de fragmenter; mais lafragmentation est interdite par le DF bit.

2. R2 envoie un ICMP unreachable 3/4 la sourceS (RFC1191 demande que le maximum MTU soitinscrit dans le ICMP).

3. ICMP contient le MTU et une partie de la trame

1. A la rception du ICMP unreachable, S met jour une table interne

2. S transmet seulement des trames


33/63



Solution: TCP MSS

TCP MSS (Maximum Segment Size) = maximum TCPpayload

Htes envoient leurs MSS dans le SYN

MSS peut tre configur MSS+40 1000 octets2. Pas de fragmentation3. Mme si S utilise PMTUD, comme il ny a

pas de fragmentation, nous navons pasbesoin de gnrer des ICMPs

1.1. S nenvoie pas de trame IP > 1000 octetsS nenvoie pas de trame IP > 1000 octets2.2. Pas de fragmentationPas de fragmentation3.3. MMme sime si S utilise PMTUD, comme il ny aS utilise PMTUD, comme il ny a

pas de fragmentation, nous navons paspas de fragmentation, nous navons pasbesoin de gnrer des ICMPsbesoin de gnrer des ICMPs

TCPConnectMSS=

1460

TCPConnectMSS=960

TCPdatasegment


34/63



Solution: Initialiser zro le DF bit

Dans IOS 12.1(6), policy based routing peut treutilis pour initialiser zro le DF bit

CPU va augmenter (Fragmentation et PBR)

interface serial0...ip policy route-map clear-df-bit

route-map clear-df-bit permit 10match ip address 111

set ip df 0access-list 111 permit tcp any any


Initialiser zro le DF bitMTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500

S DR1 R2 R3 R4IPL=1500DF=1

IPL=1500DF=0

Deuxfragments


35/63



Impact de GRE


Generic Routing Encapsulation (GRE)

GRE RFC 2784 (standard: Cisco, Procket, Juniper Obsoletes RFC 1701)encapsules tous les protocoles dans IP

Dans lIOS, le tunnel GRE est une interface (avec son propre MTU)

GRE encapsuleGRE encapsuletous les protocolestous les protocoles

DECnet

IPX


36/63



Encapsulation GRE

Original IP header IP payload

20 octets

Trame IP Initiale(avant transmission)

Original IP header IP payloadGRE headerProtocol=800

20 octets4 octets

Encapsulation GRE (aprs transmission dans un tunnelGRE)

Original IP header IP payloadGRE headerProtocol=800

External IP headerDF=0, protocol=47

20 octets 20 octets4 octets

Paquet GRE avec en-tte: protocol 47 (avec la nouvelle adresse de destination)


GRE MTU Le MTU de linterface tunnel GRE est par dfaut le MTU de

linterface physique 24 octets

Pour Ethernetle MTU de GRE est 1476 octets

Par dfaut le DF bit de GRE est initialis 0Par dfaut le DF bit de GRE est initialis 0 Il est possible de changer le MTU de linterface tunnel GRE avec

la commande

ip mtu

#show ip interface tunnel 0

Tunnel0 is up, line protocol is up

MTU is 1476 octets


37/63



GRE et la fragmentation

Paquet Original La trame initiale est fragmente=> La trame initiale est fragmente


38/63



Encapsulation GRE avec Fragmentation /2


S DR1 R2 R3 R4

1. R1 fragmente2. R1 Envoie 2

paquets GREavec DF=0

1. 1er paquet GRE est trop groset est nouveau fragment

2. 2me paquet GRE est transmi

1. R4 assemble le 1er

paquet GRE2. R4 retire lencapsulation GRE desdeux paquets

3. Les 2 fragments du paquet initialsont transmis

La station D assembleles 2 fragments

MTU=1500MTU=1500--24=147624=1476

IPL=1500DF=0 GREL


39/63



Encapsulation GRE avec Fragmentation /4DF=1 (le cas des stations qui font PMTUD)


S DR1 R2 R3 R4

1. R1 doit fragmenter mais la trame IPinitiale DF=1

2. R1 envoie un ICMP unreachable S

1. Avec le ICMP unreachable, S va

envoyer des paquets avec unmaximum de 1476 octets2. 2me paquet IP est de 1476 octets

Le paquet GRE est trop grop et est nouveau fragment (DF=0)

1. R4 assemble le paquet GRE (R4 est ladestination des paquets GRE)

2. R4 retire lencapsulation GRE3. La trame initiale IP est envoye

MTU=1500MTU=1500--24=147624=1476

IPL=1500DF=1

IPL=1476DF=1

GREL


40/63



Solution: GRE MTU = 1500

Configuration manuelle du MTU delinterface GRE 1500

Plus de fragmentation avant lencapsulationGRE (pas de paquet ICMP envoy)

Le paquet GRE DF=0 et peut tre fragment


Encapsulation GRE avec Fragmentation /6Trame initiale IP (grosseur = 1500)

Original IP headerFO=0, MF=0, ID=x

IP payload

20 octets 1480 octets

MTU du tunnel GREest configur 1500Interface tunnel

ip mtu 1500

Trame initiale nest plus fragmente

MTU du tunnelMTU du tunnel GREGREest configurconfigur 15001500Interface tunnel Interface tunnel

ip mtu 1500ip mtu 1500

Trame initiale nest plus fragmenteTrame initiale nest plus fragmente


IP payloadGRE header

20 octets4 octets 1480 octets

Aprs encapsulation

IP payloadExternal IP headerFO=1480, MF=0, ID=1

20 octets 24 octets

1 paquet GRE dans deux fragments


IP payloadGRE headerExternal IP headerFO=0, MF=1, ID=1

20 octets 20 octets4 octets 1456 octets


41/63



PMTUD avec MTU de linterface GRE=1500


S DR1 R2 R3 R4

1. R1 utilise 1paquet GRE avecDF=0

2. R1 fragmente lepaquet GRE

1. 1er fragment est trop gros etest nouveau fragment

2. 2me fragment GRE esttransmi sans tre modifi

1. R4 reconstruit le paquet GRE2. La trame IP initiale est envoye

MTU=1500MTU=1500

IPL=1500DF=1 GREL


42/63



PMTUD dans tunnel GRE

Depuis 12.0(5)T (mais pas documente!)tunnel path-mtu-discovery

Changements1. Le DF bit est copi du paquet initial dans len-tte GRE

2. Routeurs avec interface GRE coutent pour les ICMPsunreachable

3. Lorsquun routeur reoit un ICMP unreachable, le MTUdu tunnel GRE est mis jour dynamiquement


Tunnel path-mtu-discovery /1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500

S DR1 R2 R3 R4

1. R1 doit fragmenter mais DF=12. R1 transmet un ICMP unreachable S

1. Sur rception dun ICMP unreachable, S va ajusterson MTU 1476 octets

2. 2me paquet IP est maintenant de 1476 octets

1. Le paquet GRE est trop gros et il ne peut pastre fragment (DF=1)

2. Paquet abandonn3. ICMP envoy R1 (la source du paquet GRE)

Sur rception dun ICMP unreachable, R1 initialise leMTU 1000-24=976 octets

MTU=1500MTU=1500--24=147624=1476

IPL=1500DF=1

IPL=1476DF=1

GREL


43/63



Tunnel path-mtu-discovery /2


S DR1 R2 R3 R4

1. R1 doit fragmenter mais DF=12. R1 envoit ICMP unreachable S

1. Sur rception dun ICMP unreachable, S va ajustersont MTU 976 octets

2. 2me paquet IP est maintenant de 976 octets

MTU est maintenat de 976MTU est maintenat de 976

PLUS DE FRAGMENTATIONPLUS DE FRAGMENTATIONPLUS DE FRAGMENTATION

S envoit un nouveau paquet de 1476 octets & DF=1

IPL=1476DF=1

ICMPMT

U=976

IPL=976DF=1

GREL


44/63



Tunnel path-mtu-discovery: conclusion

Avec tunnel path-mtu-discoveryLe MTU dans les tunnels GRE est apprisdynamiquement

Plus de fragmentation

Un paquet IP est perdu

Les messages ICMP doivent tre reus par S et R1

Sans tunnel path-mtu-discovery

Il est possible dutiliser ip mtu pour initialiserlinterface au plus petit MTU sur le chemin 24 octets


IPinIP: RFC 2003

IPinIP est trs proche de GRE

IPinIP est utilis par IPSec en mode tunnel

Tous ce que nous venons de dcrire pourGRE fonctionne pour IPinIP


45/63



IPinIP Encapsulation


20 octets

Trame IP Initiale


20 octets

Encapsulation IPinIP (aprs le passage dans le tunnel)

Original IP header IP payloadExternal IP headerDF=0, protocol=4

20 octets 20 octets

Paquet IPinIP avec en-tte IP: protocol 4(avec la nouvelle adresse de destination)

IPinIP est dfini dans le RFC2003Utilise le protocole 4Fonctionne seulement pour IPUtilis par IPsec en mode tunnelPresque identique GRE dans IOS

IPinIP est dfini dans le RFC2003Utilise le protocole 4Fonctionne seulement pour IPUtilis par IPsec en mode tunnelPresque identique GRE dans IOS


Impact de IPSecImpact de IPSec


46/63



IPSec

IPSec RFC 2401 (et plusieurs autresRFC) encapsule IP dansdes paquets chiffrs

Avec lIOS, le tunnel IPSec nest pas un interface

IPSec offre confidentialit,IPSec offre confidentialit,authentification, etcauthentification, etc


Encapsulation IPSec en Mode Tunnel

Original IP headerDF=x

IP payload

20 octets

Trame IP initialePar dfaut:DF bit est copidans len-tteIP externe

Par dfaut:Par dfaut:DF bit est copiDF bit est copidans lendans len--ttetteIP externeIP externe

Paquet IPSec avec une nouvelle en-tte IP

Original IP header IP payloadESP

headerExternal IP header

DF=x

20 octets 20 octets16 octets

ESPtrailer

2-10 octets

Encapsulation IPSec ESP

Original IP headerESP

header20 octets16 octets

ESPtrailer

2-10 octets

IP payload


47/63



Diffrence entre GRE et IPSec mode Tunnel

GRE fragmente avantavant lencapsulation

IPSec Mode Tunnel fragmente aprsaprslencapsulation (sauf avec look-ahead)


IPSec en Mode Tunnel et la FragmentationTrame IP Initiale Original IP header

FO=0, ID=x, DF=0IP payload


IPSec ESP mode tunnel avec nouvelle en-tte IP

Original IP headerFO=0, ID=x, DF=0

IP payloadESP


FO=0,MF=0,ID=y,DF=0


ESPtrailer8 octets

1 paquet IPSec 2 fragments

Original IP headerFO=0, ID=x, DF=0 IP payload

External IP headerFO=0,MF=1,ID=y,DF=0

20 octets 20 octets 1444 octets

ESP

header16 octets

IP payloadExternal IP headerFO=1480,MF=0,ID=y,DF=0

20 octets 36 octets

ESPtrailer

8 octets


48/63



IP fragmentation & IPSec


S DR1 R2 R3 R4

1. Encapsulate dans 1paquet IPSec

2. Transmet 1 paquetIPSec dans 2 fragments

1. 1er fragment est trop gros etest nouveau fragment

2. 2me fragment est transmisans modification

1. R4 reconstruit le paquet IPSec2. R4 enlve lencapsulation IPSec3. La trame IP est envoye

IPL=1500 IPSecL


49/63



IPSec et PMTUD

Encapsulation IPSec copie le DF bit dans len-tte externe (Selon le RFC 2401)

IPSec suit ltat du path MTU du tunnel

Initialis en rapport au MTU physique

Le MTU avant la fragmentation est le MTUphysique 46 (20 IP externe, 16 len-tte ESP, max 10 pour le ESP trailer)

Mis jour dynamiquement avec des ICMPunreachable


PMTUD et IPSec/1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500

S DR1 R2 R3 R4

1. R1 doit fragmenter mais DF=12. R1 envoie un ICMP unreachable S (avec Path MTU 46)

1. Sur reception du ICMP unreachable, S envoie despaquets avec dun maximum 1454 octets

2. 2me paquet IP est de 1454 octets

1. Paquet IPSec est trop gros et ne peut pastre fragment (DF=1)

2. Le paquet est abandonn3. ICMP envoy R1 (source du paquet IPSec)

Avec le ICMP unreachable, R1 met jour le IPSec PathMTU 1000 (aprs encapsulation)

Path MTU = MTU Physique = 1500Path MTU = MTU Physique = 1500

IPL=1500DF=1

ICMP

ICMP

IPL=1454DF=1IPSecL=1500DF=1


50/63



PMTUD et IPSec/2


S DR1 R2 R3 R4

1. R1 doit fragmenter mais DF=12. R1 envoie un ICMP unreachable S (avec Path MTU 46)

1. Sur rception du ICMP unreachable, S envoit despaquets avec un maximum 954 octets

2. 2me paquet IP est de 954 octets

IPSec Path MTU est maintenant 1000IPSec Path MTU est maintenant 1000

S envoie nouveau un paquet de 1454 octets & DF=1

Plus de fragmentation SI ET SEULEMENT SIles messages ICMP vers R1 et S ne sont pasfiltrs

Plus de fragmentationPlus de fragmentation SI ET SEULEMENT SISI ET SEULEMENT SIles messages ICMP vers R1 et S ne sont pasles messages ICMP vers R1 et S ne sont pasfiltrsfiltrs

IPL=1454DF=1

IPL=954DF=1

IPSecL=992DF=1

IPL=954DF=1

ICMP


Initialis le DF bit zro: IPSec & PMTUDTrame IP Initiale


IP payload


IPSec ESP en mode tunnel avec en-tte IP (aprs encapsulation)


IP payloadESP


FO=0,MF=0,ID=y,DF=0


ESPtrailer8 octets

1 paquet IPSecdans deux fragments

Original IP headerFO=0, ID=x, DF=1 IP payload

External IP headerFO=0,MF=1,ID=y,DF=0

20 octets 20 octets 1444 octets

ESP

header16 octets

IP payloadExternal IP headerFO=1480,MF=0,ID=y,DF=0

20 octets 36 octets

ESPtrailer

8 octets

Avec 12.2(2)Tcrypto ipsec df-bit clear

Avec 12.2(2)TAvec 12.2(2)Tcrypto ipsec dfcrypto ipsec df--bit clearbit clear


51/63



GRE et IPSecGRE et IPSec


GRE + IPSec

Lassociation par excellence

GRE (ou IPinIP): pour les protocoles deroutage, le multicast

IPSec : confidentialit, intgrit,

authentification


52/63


53/63



14761438

GRE 1476IPsec1500GRE 1438IPsec1500

IPsecTunnel

MTU 1500 MTU 1500

MTU1500

MTU1400

MTU1500

GRE 1476IPsec1500

1

2

3

4

5

67

1500

(1476)

1500

(1462)

1476

(1438)

Trame IP;

ICMP envoy la source (type=3, code=4)

Trame IP; Paquet GRE;

ICMP envoy la source du tunnel GRE

Trame IP


Abandone par GRE

Abandonn par IPse

Abandonne par GRE

1476

14621438 1500Trame IP; Paquet GRE; Paquet IPSec;

Abandonn par lerouter intermdiare

IPsec + GRE avec PMTUD 1re Partie

H1 H2

H1 MTU:


14381338

GRE 1438IPsec1500GRE 1438IPsec1400GRE 1338IPsec1400

IPsec + GRE avec PMTUD- 2me partie

IPsecTunnel

MTU 1500 MTU 1500

MTU1500

MTU1400

MTU1500

GRE 1476IPsec1500

8

9

10

11

12

13

(1400)

(1362)

(1338)

ICMP envoy la source du paquet IPSec

Trame IP; Paque GRE;

ICMP envoy la source du tunnel GRE

Trame IP;


abandonn par IPsec

Abandonne par GRE

Trame IP; Paquet GRE; Paquet Ipsec;Atteint finalement la destination

7 14621438 1500 Trame IP; Paquet GRE; Paquet IPSec;Abandonn par lerouter intermdiare

14621438

13621338 1396

H2

H1 MTU:

1438


54/63



IPSec et la Qualit de ServiceIPSec et la Qualit de Service(QoS)(QoS)


QoS diff-serv et IPSec

IPSec oblige quon copie les bits DSCP delen-tte IP initiale

QoS est prserve pour WRED, CBWFQ, ...


55/63



Tunnels IPSec & QoS

IP new hdrNouvelle en-tte IP est contruite lentre

du tunnel

IP header IP Payload

Paquet IP Initial

DSCP

IP header IP Payload

Paquet IP avec la QoS

InitialiseInitialiseDSCPDSCP

DSCP

Bits DSCPBits DSCPcopiscopis

DSCP

IP new hdr ESP header

Paquet IPSec

IP IP PayloadDSCP


Le cheminement dun paquet

Lordre dans les files dentreet sortie dpend de la QoS

WFQ: Une file par session

PQ/CQ: 4 o 16 queues (ACL)

CBWFQ: Queues multiples (ACL,NBAR, )

Entre CAREntre CAR,,CBWFQCBWFQ

RoutageRoutageCommutationCommutation

IPSecIPSecChiffrementChiffrement

SortieSortie (QoS)(QoS)SerialisationSerialisation


56/63



CBWFQ et IPSec

Le marquage des paquets avecDSCP est ralis avant lechiffrement

CBWFQ

classificationclassification base sur desextended ACL

=> Plusieurs queues

EntrEntree CARCAR CBWFQCBWFQmarquagemarquage



CBWFQCBWFQ

classificationclassification

CBWFQCBWFQQoSQoS


WFQ and IPSec

Le marquage des paquets avecDSCP est ralis avant lechiffrement

WFQ

ClassificationClassification base sur lesadresses IP, protocoles, (ports IP)

Poids (weight)Poids (weight) bas sur les bitsde prcdence IP=> Seulement un queue estutilise

Entre CAREntre CAR CBWFQCBWFQMarquageMarquage



WFQWFQclassificationclassification

WFQWFQQoSQoS


57/63



WFQ et IPSec

Sicrypto map

qos pre-classify

WFQ

ClassificationClassification base sur lesadresses IP, protocoles, (ports IP)

Poids (weight)Poids (weight) bas sur les bitsde prcdence IP

=> Plusieurs queues sontutilises



IPSec

Chiffrement

IPSecIPSec

ChiffrementChiffrement

WFQclassification

WFQWFQclassificationclassification

WFQWFQQoSQoS

IOS 12.2IOS 12.1(5)T


Une autre utilisation de QoS Pre-Classify

Sicrypto map

qos pre-classify

Le marquage des paquets IPpeut tre ralis sur linterfacede sortie



Chiffrement IPSecChiffrementChiffrement IPSecIPSec

QoS pr-classification

QoS prQoS pr--classificationclassification

Mise en file dattenteMise en file dattenteavec CBWFQavec CBWFQ


58/63



Low Latency Queuing (LLQ) et IPSec

CBWFQ avec LLQ

ClassificationClassification base sur des extendedACL (DSCP) de paquets IPSec

Multiple queues Queue LLQ est toujours vide enpremier




CBWFQCBWFQ

classificationclassification

CBWFQCBWFQ + LLQ+ LLQQoSQoS

policy-map voice-policy

class voice

priority 64


Anti-Replay avec IPSec ESP (avec authentification)

et AH possde des mcanisme anti-reply

Bas sur des numros de squence

Le RFC recommande 64 paquets, mais 32 paquets OK

La source augmente le numro de squence aprschaque transmission

La destination vrifie le numro de squence et refusele paquet sil est hors squence

Devrait tre ngoci avec IKE

Note: le numro de squence nest pas utilispour ordonner la livraison des paquets


59/63



QoS et Anti-Replay

Paquets #1 et #2sont lextrieur de

la fentre etsont abandonnes

#5#1#2

QoSChange lordre dans lequel

les paquets sont livrs

#1#2#3#4#5

Window Size = 3Window Size = 3

Paquet #5 Arrive premierPaquet #5 Arrive premier

987654321

987654321


IOS et PIX

Anti-replay est toujours actif pour AH et ESPavec authentification

IOS window size est de 64 paquets

PIX window size est de 32 paquets

Anti-replay est inactif pour ESP sansauthentification


60/63



1 IKE SA Unique

Pour annuler lAnti-Replay

Il est possible dutiliser un SAs dedis la VoIP

ou 2 tunnels IPSec + GREou 2 tunnels IPSec + GREou 2 composantes IPSecou 2 composantes IPSec

IPSec SAs pour les donnesIPSec SAs pour les donnes

IPSec SAs pour la voixIPSec SAs pour la voix


RRfrencesfrences


61/63



IPSec et le PMTUD ou la QoS

IP Fragmentation and PMTUD

http://www.cisco.com/warp/public/105/pmtud_ipfrag.html

Reference Guide to Implementing Cryptoand QoS:

http://www.cisco.com/warp/public/105/crypto_qos.html


Cisco IOS Nouvelles fonctions de scurit

12.2(13)T1Aswan Phase 1.312.2(13)TTunnel Protection (IPsec around GRE)12.2(13)TIKE Support for PKI multi-RSA key pair

12.2(13)TClearing of IPsec SA without clearing thecounters

12.2(13)TSW IPCompwith HW Crypto12.2(13)TSADB Lookup Optimization12.2(13)TLook-ahead-fragmentation

12.2(13)TIPsec Passive Mode12.2(13)TLLQ for IPsec

12.2(13)TEasy VPN Remote Phase 112.2(11)YXIPsec Stateful Fail-over Phase 1

12.2(13)TIPsec NAT Transparency12.2(13)TDynamic Multipoint VPN (DMVPN)12.2(13)TAES SW support in IOSIPsec

VersionFonctionCategorie


62/63



12.2(13)TStateful NAT Phase 1IP Services12.2(13)TVRF-Aware NAT Phase 1

12.2(13)TIPsec Pass-thru with Overload Phase 112.2(13)TStatic NAT mapping on an interface

12.2(13)TNAT PT Phase 1

12.2(13)TIDS performanceFirewall & IDS12.2(11)YUWebsense/N2H2 Filtering

12.2(11)YUSIP Voice inspection12.2(11)YUHTTPS support for Auth Proxy

12.2(11)YUICMP Inspection12.2(11)YUIDS Signatures (42)

12.2(13)TManual Cert. Enrollment (TFTP and Cut & Paste)Trust & Identity

VersionFonctionsCategorie




12.2(15)TSSL Server Support in Cisco IOS IOS

12.2(15)TN-Tier Certificate ChainingTrust & Identity12.2(15)TCertificate Security Attribute based Access Control

12.2(15)TAllow Source Int. Selection for HTTP Traffic

12.2(15)TKey Import/Export

12.2(15)TIPsec Timer Clean-up12.2(15)TIPsec Accounting

12.2(15)TEasy VPN Remote Phase 2.0 & 3.012.2(15)TVRF-aware IPsec (IPsec/MPLS Integration)IPsec

VersionFonctionsCategorie


63/63


Merci

Noubli ez pas de r empli r vot r e f or mulair e dvaluat ion.

Documents

1.6 Reseaux Prive Virtuels VPN