Upload
haggarfils
View
232
Download
0
Embed Size (px)
Citation preview
7/30/2019 1.6 Reseaux Prive Virtuels VPN
1/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
111
2Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved .
Rseaux privs virtuels (VPN)
Comment fonctionne le PATH MTU
dans les tunnels GRE et IPSec?
Martin Langlois
7/30/2019 1.6 Reseaux Prive Virtuels VPN
2/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
333 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Les VPNs
IPsec GRE L2TP/PPTP
HMAC-MD5 HMAC-SHA-1
RSA DigitalCertificats
Clef partage
B A N K
VPN Scurit
DES 3 DES AES
RFC IPSec
Tunnels Chiffrement Authentification Intgrit
444 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Agenda
Applications
Considrations lors du design
VPN site site
Interaction avec dautres technologies
7/30/2019 1.6 Reseaux Prive Virtuels VPN
3/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
555 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Internet VPN
Mobile
POP
Extranet
TltravailleurPOP
Accs Distant
666 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Intranet
Internet VPNPOPDSLcble
Extranet
Site Principal
Replacement du lien WAN
7/30/2019 1.6 Reseaux Prive Virtuels VPN
4/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
777 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Replacement du lien WAN
a) round trip passe de 195 ms avant a 90ms incluant encryption et transport. Avant impossible dans une fin desemaine de prendre un full backup du serveur (3 essais), aujourd'hui ca prend 4 heures - 4.5 heures encryptioncomprise. on fait un incrmental journalier en presque deux heures. Le temps rponse est beaucoup plus vite.
b) avant 1200$US portion us + 700$CDN portion Canada maintenant 1600$CDN bout a bout, contrat pris auprs decie canadienne. L'avantage majeur n'est pas le prix mais la possibilit de prendre des backup sans interventionde personne. Le site est dans une rgion propice aux temptes et tornades, donc possibilit d'vacuations. Encas de catastrophe, trs faile a relev de n'importe ou dans des dlais trs courts .
c) JAMAIS eu de downtime a part deux maintenaces de 5 minutes prvues par le telco et dans un dlai etconditions respectes. Temps d'installation beaucoup plus rapide qu'un point a point 2 semaine au lieu de 8 etavec le pix connection directe sur internet en floride donc plusrapide que de passer l'internet sur un lien ddi etde prendre l'internet ici.
888 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Relve du lien principal
Intranet
Internet VPN(Relve)POP
DSLCble
Extranet
Site Principal
WAN traditionnel
7/30/2019 1.6 Reseaux Prive Virtuels VPN
5/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
999 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Sige Social
Fournisseur deServices
Cble/DSL
Tltravailleur
Bureau rgional
Services de tlphonie IP
>T1
TlphoneIP
Tlphone IP
V3PN (VoIP/Video Enabled IPSec VPN)
SOHO
QoS Disponible Actuellement
Pas de QoS aujourdhui
Cisco Powered Networkhttp://www.cisco.com/pcgi-bin/cpn/cpn_pub_bassrch.pl
101010 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Agenda
Applications
Considrations lors du design
VPN site site
Interaction avec dautres technologies
7/30/2019 1.6 Reseaux Prive Virtuels VPN
6/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
111111 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Design Classique
Vers le WAN Vers le Campus
VPN
Concentrateur VPNConcentrateur VPN
Filtrage niveaux 4 7avec tat des sessionsFiltrage niveaux 4 7
avec tat des sessions
Filtrage niveau 3(IKE, ESP)
Filtrage niveau 3(IKE, ESP)
Analyseniveaux 47
Analyseniveaux 47
DMZ
121212 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Concentrateur VPN sans pare-feu intgr
Vers le WAN Vers le Campus
VPN
Concentrateur VPNConcentrateur VPN
Filtrage niveaux 4 7 avectat des sessionsFiltrage niveaux 4 7 avectat des sessions
AnalyseNiveaux 47
AnalyseNiveaux 47
Filtrage niveau 3(IKE, ESP)
Filtrage niveau 3(IKE, ESP)
DMZ
7/30/2019 1.6 Reseaux Prive Virtuels VPN
7/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
131313 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Pare-feu avec concentrateur VPN intgr
Vers le WAN Vers le Campus
Concentrateur VPNFiltrage niveaux 4 7
avec tat des sessions
Concentrateur VPNFiltrage niveaux 4 7
avec tat des sessions
Filtrage niveau 3(IKE, ESP)
Filtrage niveau 3(IKE, ESP)
AnalyseNiveaux 47
AnalyseNiveaux 47
DMZ
141414 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Vers le WANVers le Campus
Filtrage Niveau 3 lentre
Concentrateur VPN
Filtrage N4N7 Stateful
Filtrage Niveau 3 lentre
Concentrateur VPN
Filtrage N4N7 Stateful
AnalyseNiveaux 47
AnalyseNiveaux 47
VPN/Pare-feu intgr au Routeur
DMZ
7/30/2019 1.6 Reseaux Prive Virtuels VPN
8/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
151515 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Points considrer lors du Design
Adressage IP
Routage
Scurit
volutivit
QoS
Gestion
Migration
Les composantes La politique deScurit
Contrle daccs
Haute disponibilit
Performance
Interoprabilit
Authentification,autorisation, et lacomptabilit
Balancement de lacharge
161616 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Le positionnement des composantes Plan dadressage IP
Les composantes VPN sont gnralement places lafrontire entre le rseau publique et priv
Les composantes qui terminent le VPN doivent avoirune adresse IP routable dans le rseau publique
Le NAT nest pas forcment requis puisque lesadresses internes sont maintenant caches par IPSec
Les pare-feu et la politique de scurit vontprobablement avoir un impact.
RoutageIl faut pouvoir router du trafic chiffr et non chiffr
Le routage dynamique est ncessaire pour les grandsdploiements.
7/30/2019 1.6 Reseaux Prive Virtuels VPN
9/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
171717 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Le positionnement des composantes - II
ScuritComment ajuster les pare-feu et les rgles defiltrage
Intranet vs Extranet
volutionLes composantes doivent supportelaugmentation de la charge
Composante multifonctions ou ddieRoutage, robustesse, balancement de lacharge et les options pour se reli au WAN
181818 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Le positionnement des composantes - III
QoS
Les paquets devraient maintenir ltiquette deQoS en place et les composantes doiventpouvoir lhonorer
Gestion
Composantes ddies sont plus simple
dpanner vs nombre de composantes.
Plusieurs groupes peuvent tre impliqus
7/30/2019 1.6 Reseaux Prive Virtuels VPN
10/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
191919 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Agenda
Applications
Considrations lors du design
VPN site site
Interaction avec dautres technologies
202020 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Quest ce quun Tunnel
Contrat entre deux parties sur une politique de scurit incluant:Algorithme de chiffrementAlgorithme dauthentificationClefs partages pour la sessionDure de vie des SA
Quelles donnes doivent tre protges (IPsec SAs seulement) Types de SAs
Bidirectionnel pour la gestion (IKE SA)Unidirectionnel pour les donnes (IPsec SA)1 Tunnel = 1 IKE SA + 2 IPsec SAs
IKE SA
IPsec SAsVPN VPN
7/30/2019 1.6 Reseaux Prive Virtuels VPN
11/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
212121 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Topologie en toile
192.168.100.0
172.21.114.0
172.21.115.0
.1 .2
.2
Charlie
IPSecIPSec
172.21.116.0
.1
.1
.2IPSecIPSec
Fameux
IPSecIPSec
Dtective
192.168.150.0
Sige Social
222222 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Topologie en toile: Routeur Charlie Cfg 1
! Soyons courageux et entrons un
! crypto map par voisin
! ...
crypto map HQ 10 ipsec-isakmp
set peer 172.21.115.2
set transform-set encrypt-des
match address 101
crypto map HQ 20 ipsec-isakmp
set peer 172.21.116.2
set transform-set encrypt-des
match address 102
7/30/2019 1.6 Reseaux Prive Virtuels VPN
12/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
232323 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Topologie en toile simplifie
Charlie
IPSecIPSec
IPSecIPSec
Fameux
IPSecIPSec
Dtective
Sige Social
Charlie accepteTous les tunnels IPSec
(crypto maps dynamiques)
Une dfinition IPSecStatique
Pour rejoindre Charlie
Une dfinition IPSecStatique
Pour rejoindre Charlie
Seulement deux configurations:Seulement deux configurations:-- Configuration du concentrateur est dynamiqueConfiguration du concentrateur est dynamique-- Configurations des rgions sont semblablesConfigurations des rgions sont semblables
242424 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Topologie en toile: Routeur Charlie Cfg 2
! Plaons plutt une commande unique de
! Dynamic crypto map!
crypto map DYNAMICDYNAMIC 10 ipsec-isakmp dynamic TEMPLATETEMPLATE
! Template est utilis pour dfinir: transforms, lifetime,! Identities, ...
crypto dynamic-map TEMPLATETEMPLATE 10
set transform-set ...
7/30/2019 1.6 Reseaux Prive Virtuels VPN
13/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
252525 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Tunnel Endpoint Discovery (TED)
Alice
Bob
X1
Y
A Bdoivent tre protgs
Pas SA => sonde
IP: A B
IKE:AB(Sonde=X1)
Trafic vers Bdoit tre protg
Pas SA & sonde reue=> bloque & rpondre la sonde
IKE:YX1
IOS 12.1IOS 12.1IOS 12.1
X2
262626 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
TED Configuration
! Template pour dfinir: transforms, lifetime,
! Identities, ...
crypto dynamic-map TEMPLATETEMPLATE 10
set transform-set ...
crypto map TEDTED 10 ipsec-isakmp dynamic TEMPLATETEMPLATE discover
TED a t dploy sur un rseau de 120 nudsTED a t dploy sur un rseau de 120 nudsAvec une interconnexion totale (Fully Mesh)Avec une interconnexion totale (Fully Mesh)
7/30/2019 1.6 Reseaux Prive Virtuels VPN
14/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
272727 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Limitations de TED
Adressage
Comme la sonde utilise les adresses des composantesprotges (A, B), ces adresses doivent tre routables.
TED nest donc pas applicable pour du VPN sur Internet
Dploiement
Tous les routeurs IPSec doivent avoir TED actif
Le dploiement sur tous les routeurs doit tre ralissimultanment ...
282828 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPSec PassiveMode
Le but est de simplifier les grands dploiements dIPSec
Sans passive mode
Tous les routeurs doivent avoir IPSec actifs au mme moment
Pas de communications jusqu ce que les deux bouts du tunnelsoient actifs
Passive mode
Utilise IPSec lorsque les deux bouts ont activ IPSecUtilise aucun chiffrement si un des bouts nest pas configurpour IPSec
12.2(13)T12.2(13)T
7/30/2019 1.6 Reseaux Prive Virtuels VPN
15/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
292929 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Fonctionnement de IPSec Passive Mode
Routeur Transmet:- IKE pour le trafic chiffrer
Sil y a une rponse, le tunnel est tabli comme dhabitude
Sil ny a pas de rponse (aprs dlai):
+ Cration dun passive SA: SA normal, avec une bit passivePas de chiffrement! Dure de vie trs courte pour ce SA
Routeur qui reoit:- Rpond IKE et tabli le tunnel
- Paquets chiffrs: Tout est normal
- Paquets non chiffrs: Transmet, ne pas dropp
-Mme si un SA (pour les Peers redondant)
(bleu pour le changement de comportement)
303030 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Passive IPSec: CLI IPSec Passive nest pas actif par dfaut !
Commandes Globales :
crypto ipsec optionalcrypto ipsec optional retry Secondescrypto ipsec optionalcrypto ipsec optional retry Secondes
Par dfaut, le routeur va essayer aux 5minutes de chiffrer la session
7/30/2019 1.6 Reseaux Prive Virtuels VPN
16/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
31Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved .
Dynamique Multipoint VPNDMVPN
323232 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
VPNs avec IPSec Topologie en toile
+ Tout le trafic doit passer par le site central+ Facile dployerrDeux chiffrementsrBesoin de plus de bande passante vers le site centralrPeut donner des configurations trs longues
Interconnexion complte (Full Mesh)+ Communication directe entre les rgions
rPetits routeurs nont pas les ressources pourmaintenir les connexionsrAjout dun site = beaucoup de planificationrUn casse-tte dvolution, donc la plupart des
entreprises utilisent une topologie en toile
7/30/2019 1.6 Reseaux Prive Virtuels VPN
17/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
333333 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - DMVPN
Spoke
Addresses IPpubliques
Dynamiques(ou statiques)
10.100.1.0 255.255.255.0
10.1.1.0 255.255.255.0
10.1.1.1
10.100.1.1
= TunnelsIPsec Dynamiques &Permanentsspoke-to-hub
= Tunnels IPSec Dynamiques &Temporaires Spoke-to-spoke
Adresse IPPubliqueStatique
10.1.2.0 255.255.255.0
10.1.2.1
130.25.13.1
343434 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
DMVPN Comment a marche
Bas sur deux technologiesNHRP Next Hop Resolution Protocol
Client/serveur: Site central est le serveur; Rgions sont clients
Site central maintien la BD (NHRP) pour toutes les adressespubliques des rgions
Chaque rgion enregistre son adresse publique au dmarrage
Rgions demandent la BD NHRP pour ladresse publique de ladestination pour tablir le tunnels
Interface Tunnel Multipoint GRE (mGRE) RFC2547
Permet une interface GRE de supporter plusieurs tunnelsIPSec
7/30/2019 1.6 Reseaux Prive Virtuels VPN
18/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
353535 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Priv (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
1. PC (192.168.1.25)derrire le routeur A veutcontacter le serveur web(192.168.2.37) derrire lerouteur B.
363636 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101
Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
2. Le routeur A cherche laroute dans sa table de routagepour la destination(192.168.2.0). Le table donneune adresse IP next-hop de10.0.0.2 via linterface tunnel0.
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
7/30/2019 1.6 Reseaux Prive Virtuels VPN
19/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
373737 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
3. Routeur A regardesa table de NHRPpour la destination10.0.0.2 et ne trouvepas dentre. Alors, ilenvoie une requte auNHRP serveur
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
383838 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101
Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
4. Le Serveur NHRPindique que 10.0.0.2correspond ladressepublique (158.200.2.181)et envoie la rponse aurouteur A
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
7/30/2019 1.6 Reseaux Prive Virtuels VPN
20/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
393939 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
5. Routeur A reoit larponse et linscrit dans satable de NHRP. Cecidclanche un tunnel IPSecdirectement 158.200.2.181.(Routeur A utilise sonadresse publique commepeer IPSec)
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
404040 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101
Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
Routeur A
Routeur B
6. Par le tunnel,Routeur Aenvoi lepaquet au routeur B.Le trafic estunidirectionnelactuellement.
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
7/30/2019 1.6 Reseaux Prive Virtuels VPN
21/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
414141 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
SPOKE A
SPOKE B
7. Le serveur Web reoit lepaquet du PC et transmet larponse. Ceci dclanche lamme squence dvnementsque dans les tapes 2, 3, et 4 partir du routeur B. Un fois queB dans sa table un map NHRPpour le routeur A le paquet peuttre envoy directement. Letunnel a dj t cr.
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
424242 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Dynamique Multipoint VPN - Exemple10.100.1.0 255.255.255.0
192.168.1.0 /24
192.168.1.1
10.100.1.1
192.168.2.0 /24
192.168.2.1
PC
www
192.168.1.25
192.168.2.37
Publique: 173.1.13.101
Prive (Tunnel): 10.0.0.10
Publique: 158.200.2.181Prive (Tunnel): 10.0.0.2
Publique: 130.25.13.1Prive (Tunnel): 10.0.0.1
SPOKE A
SPOKE B
8. Aprs un dlai(programmable), lentredans la table NHRP vadisparatre,entranant ladestruction du tunneldynamique rgion rgion.
= Tunnels IPSec Dynamiques & TemporairesSpoke-to-spoke
7/30/2019 1.6 Reseaux Prive Virtuels VPN
22/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
434343 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Site Central
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto IPsec transform-set trans2 esp-des esp-md5-hmac
!
crypto ipsec profile vpnprof
set transform-set trans2
!
444444 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Site Central suiteinterface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1416
ip nhrp authentication donttell
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
7/30/2019 1.6 Reseaux Prive Virtuels VPN
23/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
454545 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Site Central Suite.
interface Ethernet0
ip address 130.25.13.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.0.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
!
Pas de configuration particulire pour les Rgions!!!
464646 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Rgions
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto IPsec transform-set trans2 esp-des esp-md5-hmac
!
crypto ipsec profile vpnprof
set transform-set trans2
!
7/30/2019 1.6 Reseaux Prive Virtuels VPN
24/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
474747 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Rgions Suite
interface Tunnel0
bandwidth 1000
ip address 10.0.0.3 255.255.255.0
ip mtu 1416
ip nhrp authentication donttell
ip nhrp map 10.0.0.1 130.25.13.1
ip nhrp network-id 99
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
delay 1000
tunnel source Ethernet0tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
484848 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Configuration Rgions Suite!
interface Ethernet0
ip address dhcp hostname Spoke1
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
Toutes les rgions possdent la mme configuration lexemption des adresses sur linterface du tunnel etcelle du rseau local.
7/30/2019 1.6 Reseaux Prive Virtuels VPN
25/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
494949 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Recommandations
Certificats/PKI
Si vous utilisez des clef partages et que la clef estcompromise, il faut changer les clefs dans tous les rgions.
Lauthentification avec NHRP
NHRP Network ID et mot de passe
mGRE Network ID
Ces paramtres sont transmis par le tunnel IPSec entre lesite central et les rgions et sont chiffrs
Il est possible de configurer plusieurs serveurs NHRP sur
plusieurs sites centraux pour la redondance
505050 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Plateformes et version dIOS
12.2(15)T
7200, 37xx, 36xx, 26xx, 17xx
12.2.(13)ZG
Pour les 831, 836 et 837
www.cisco.com/go/fn
7/30/2019 1.6 Reseaux Prive Virtuels VPN
26/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
515151 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Agenda Applications Considrations lors du design
VPN site site
Interaction avec dautres technologies
Fragmentation des paquets IPFragmentation des paquets IP
Path MTU Discovery
Impact de GRE
Impact de IPSec
Impact de GRE et IPSecImpact de IPSec sur la QoS
52Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved .
Fragmentation des paquets IPFragmentation des paquets IP
7/30/2019 1.6 Reseaux Prive Virtuels VPN
27/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
535353 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Grosseur dun paquet IP
Un paquet IP peut avoir 65536 octets
Les couches 1 et 2 offrent normalement une grandeur limiteaux trames
MTU: Maximum Transmission Unit
Habituellement, 1500 octets pour Ethernet
Les htes ou les routeurs doivent fragmenter lorsque latrame IP est plus grande que le MTU
Les fragments sont transmis comme des paquets IP
(routage, fragmentation additionnelle, etc..)
545454 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Un paquet IP
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total LengthTotal Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IdentificationIdentification |FlagsFlags| Fragment OffsetFragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Internet Datagram Header
7/30/2019 1.6 Reseaux Prive Virtuels VPN
28/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
555555 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Les champs dun paquet fragment
Tous les fragments conservent le champidentificationidentificationoriginaloriginal
Les fragments sont identifi par unfragment offsetfragment offset
FlagsFlagspeut contenir:
MFMF: Dautres Fragments (More Fragments)DFDF: Ne pas fragmenter (Do not Fragment)
565656 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Fragmentation IP
ID=x,TL=1300,FO=0,MF=0 Donnes 1280
ID=xTL=500,FO=0,MF=1 Donnes 480
ID=x,TL=500,FO=480,MF=1 Donnes 480
ID=x;TL=340,FO=960,MF=0 Donnes 320
Avant la fragmentation:
Aprs la fragmentation (MTU = 500):
En-tte IP Donnes
7/30/2019 1.6 Reseaux Prive Virtuels VPN
29/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
575757 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Pour reconstruire la trame
Lhte de DLhte de Destinationestinationreconstruite la trame en se basant sur
Adresse IP de Source
Le champ identification
Les Fragments
MF flags
Les routeurs ne devraient jamais reconstruire une trame saufsils sont la destination
Fragments perdu = Perte complte de la trame IP
585858 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Impact de la Fragmentation
La fragmentation doit tre vite tout prix:Augmente le nombre de paquets perdus
Consommation du CPU des htes
Certains produits (PAT boxes) sont incapables defonctionner avec des fragments La communication ne fonctionne simplement pas
Les Routeurs perdent leur efficacitIls doivent allouer des gros bloques de mmoire
Toujours process-switched
7/30/2019 1.6 Reseaux Prive Virtuels VPN
30/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
595959 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Qui Fragmente?
Actuellement, cest plutt commun:
ADSL avec PPPoE offre un MTU de 1492 octets
MPLS over Ethernet rduit aussi le MTU
60Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
Path MTU Discovery (PMTUD)
7/30/2019 1.6 Reseaux Prive Virtuels VPN
31/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
616161 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Path MTU Discovery (PMTUD)
Path MTU Discovery essai de mesurerle plus petit MTU disponible et lasource va pouvoir ajuster la grosseurde ses paquets
PMTUD est principalement utilis parTCP
626262 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Path MTU Discovery/1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
Selon le RFC 1191
Le plus petit MTU est 1000 octets S nedevrait pas envoyer de trame IP de plus de1000 octets
Pour dcouvrir le plus petit MTU, S et Dvont envoyer des trames IP selon leurMTU avec le DF bit initialis
7/30/2019 1.6 Reseaux Prive Virtuels VPN
32/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
636363 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Path MTU Discovery/2
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R2 ne peut pas transmettre la trame carMTU=1000 demande de fragmenter; mais lafragmentation est interdite par le DF bit.
2. R2 envoie un ICMP unreachable 3/4 la sourceS (RFC1191 demande que le maximum MTU soitinscrit dans le ICMP).
3. ICMP contient le MTU et une partie de la trame
1. A la rception du ICMP unreachable, S met jour une table interne
2. S transmet seulement des trames
7/30/2019 1.6 Reseaux Prive Virtuels VPN
33/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
656565 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Solution: TCP MSS
TCP MSS (Maximum Segment Size) = maximum TCPpayload
Htes envoient leurs MSS dans le SYN
MSS peut tre configur MSS+40 1000 octets2. Pas de fragmentation3. Mme si S utilise PMTUD, comme il ny a
pas de fragmentation, nous navons pasbesoin de gnrer des ICMPs
1.1. S nenvoie pas de trame IP > 1000 octetsS nenvoie pas de trame IP > 1000 octets2.2. Pas de fragmentationPas de fragmentation3.3. MMme sime si S utilise PMTUD, comme il ny aS utilise PMTUD, comme il ny a
pas de fragmentation, nous navons paspas de fragmentation, nous navons pasbesoin de gnrer des ICMPsbesoin de gnrer des ICMPs
TCPConnectMSS=
1460
TCPConnectMSS=960
TCPdatasegment
7/30/2019 1.6 Reseaux Prive Virtuels VPN
34/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
676767 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Solution: Initialiser zro le DF bit
Dans IOS 12.1(6), policy based routing peut treutilis pour initialiser zro le DF bit
CPU va augmenter (Fragmentation et PBR)
interface serial0...ip policy route-map clear-df-bit
route-map clear-df-bit permit 10match ip address 111
set ip df 0access-list 111 permit tcp any any
686868 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Initialiser zro le DF bitMTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4IPL=1500DF=1
IPL=1500DF=0
Deuxfragments
7/30/2019 1.6 Reseaux Prive Virtuels VPN
35/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
69Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
Impact de GRE
707070 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Generic Routing Encapsulation (GRE)
GRE RFC 2784 (standard: Cisco, Procket, Juniper Obsoletes RFC 1701)encapsules tous les protocoles dans IP
Dans lIOS, le tunnel GRE est une interface (avec son propre MTU)
GRE encapsuleGRE encapsuletous les protocolestous les protocoles
DECnet
IPX
7/30/2019 1.6 Reseaux Prive Virtuels VPN
36/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
717171 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Encapsulation GRE
Original IP header IP payload
20 octets
Trame IP Initiale(avant transmission)
Original IP header IP payloadGRE headerProtocol=800
20 octets4 octets
Encapsulation GRE (aprs transmission dans un tunnelGRE)
Original IP header IP payloadGRE headerProtocol=800
External IP headerDF=0, protocol=47
20 octets 20 octets4 octets
Paquet GRE avec en-tte: protocol 47 (avec la nouvelle adresse de destination)
727272 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
GRE MTU Le MTU de linterface tunnel GRE est par dfaut le MTU de
linterface physique 24 octets
Pour Ethernetle MTU de GRE est 1476 octets
Par dfaut le DF bit de GRE est initialis 0Par dfaut le DF bit de GRE est initialis 0 Il est possible de changer le MTU de linterface tunnel GRE avec
la commande
ip mtu
#show ip interface tunnel 0
Tunnel0 is up, line protocol is up
MTU is 1476 octets
7/30/2019 1.6 Reseaux Prive Virtuels VPN
37/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
737373 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
GRE et la fragmentation
Paquet Original La trame initiale est fragmente=> La trame initiale est fragmente
7/30/2019 1.6 Reseaux Prive Virtuels VPN
38/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
757575 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Encapsulation GRE avec Fragmentation /2
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 fragmente2. R1 Envoie 2
paquets GREavec DF=0
1. 1er paquet GRE est trop groset est nouveau fragment
2. 2me paquet GRE est transmi
1. R4 assemble le 1er
paquet GRE2. R4 retire lencapsulation GRE desdeux paquets
3. Les 2 fragments du paquet initialsont transmis
La station D assembleles 2 fragments
MTU=1500MTU=1500--24=147624=1476
IPL=1500DF=0 GREL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
39/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
777777 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Encapsulation GRE avec Fragmentation /4DF=1 (le cas des stations qui font PMTUD)
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 doit fragmenter mais la trame IPinitiale DF=1
2. R1 envoie un ICMP unreachable S
1. Avec le ICMP unreachable, S va
envoyer des paquets avec unmaximum de 1476 octets2. 2me paquet IP est de 1476 octets
Le paquet GRE est trop grop et est nouveau fragment (DF=0)
1. R4 assemble le paquet GRE (R4 est ladestination des paquets GRE)
2. R4 retire lencapsulation GRE3. La trame initiale IP est envoye
MTU=1500MTU=1500--24=147624=1476
IPL=1500DF=1
IPL=1476DF=1
GREL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
40/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
797979 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Solution: GRE MTU = 1500
Configuration manuelle du MTU delinterface GRE 1500
Plus de fragmentation avant lencapsulationGRE (pas de paquet ICMP envoy)
Le paquet GRE DF=0 et peut tre fragment
808080 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Encapsulation GRE avec Fragmentation /6Trame initiale IP (grosseur = 1500)
Original IP headerFO=0, MF=0, ID=x
IP payload
20 octets 1480 octets
MTU du tunnel GREest configur 1500Interface tunnel
ip mtu 1500
Trame initiale nest plus fragmente
MTU du tunnelMTU du tunnel GREGREest configurconfigur 15001500Interface tunnel Interface tunnel
ip mtu 1500ip mtu 1500
Trame initiale nest plus fragmenteTrame initiale nest plus fragmente
Original IP headerFO=0, MF=0, ID=x
IP payloadGRE header
20 octets4 octets 1480 octets
Aprs encapsulation
IP payloadExternal IP headerFO=1480, MF=0, ID=1
20 octets 24 octets
1 paquet GRE dans deux fragments
Original IP headerFO=0, MF=0, ID=x
IP payloadGRE headerExternal IP headerFO=0, MF=1, ID=1
20 octets 20 octets4 octets 1456 octets
7/30/2019 1.6 Reseaux Prive Virtuels VPN
41/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
818181 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
PMTUD avec MTU de linterface GRE=1500
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 utilise 1paquet GRE avecDF=0
2. R1 fragmente lepaquet GRE
1. 1er fragment est trop gros etest nouveau fragment
2. 2me fragment GRE esttransmi sans tre modifi
1. R4 reconstruit le paquet GRE2. La trame IP initiale est envoye
MTU=1500MTU=1500
IPL=1500DF=1 GREL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
42/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
838383 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
PMTUD dans tunnel GRE
Depuis 12.0(5)T (mais pas documente!)tunnel path-mtu-discovery
Changements1. Le DF bit est copi du paquet initial dans len-tte GRE
2. Routeurs avec interface GRE coutent pour les ICMPsunreachable
3. Lorsquun routeur reoit un ICMP unreachable, le MTUdu tunnel GRE est mis jour dynamiquement
848484 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Tunnel path-mtu-discovery /1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 doit fragmenter mais DF=12. R1 transmet un ICMP unreachable S
1. Sur rception dun ICMP unreachable, S va ajusterson MTU 1476 octets
2. 2me paquet IP est maintenant de 1476 octets
1. Le paquet GRE est trop gros et il ne peut pastre fragment (DF=1)
2. Paquet abandonn3. ICMP envoy R1 (la source du paquet GRE)
Sur rception dun ICMP unreachable, R1 initialise leMTU 1000-24=976 octets
MTU=1500MTU=1500--24=147624=1476
IPL=1500DF=1
IPL=1476DF=1
GREL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
43/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
858585 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Tunnel path-mtu-discovery /2
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 doit fragmenter mais DF=12. R1 envoit ICMP unreachable S
1. Sur rception dun ICMP unreachable, S va ajustersont MTU 976 octets
2. 2me paquet IP est maintenant de 976 octets
MTU est maintenat de 976MTU est maintenat de 976
PLUS DE FRAGMENTATIONPLUS DE FRAGMENTATIONPLUS DE FRAGMENTATION
S envoit un nouveau paquet de 1476 octets & DF=1
IPL=1476DF=1
ICMPMT
U=976
IPL=976DF=1
GREL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
44/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
878787 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Tunnel path-mtu-discovery: conclusion
Avec tunnel path-mtu-discoveryLe MTU dans les tunnels GRE est apprisdynamiquement
Plus de fragmentation
Un paquet IP est perdu
Les messages ICMP doivent tre reus par S et R1
Sans tunnel path-mtu-discovery
Il est possible dutiliser ip mtu pour initialiserlinterface au plus petit MTU sur le chemin 24 octets
888888 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPinIP: RFC 2003
IPinIP est trs proche de GRE
IPinIP est utilis par IPSec en mode tunnel
Tous ce que nous venons de dcrire pourGRE fonctionne pour IPinIP
7/30/2019 1.6 Reseaux Prive Virtuels VPN
45/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
898989 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPinIP Encapsulation
Original IP header IP payload
20 octets
Trame IP Initiale
Original IP header IP payload
20 octets
Encapsulation IPinIP (aprs le passage dans le tunnel)
Original IP header IP payloadExternal IP headerDF=0, protocol=4
20 octets 20 octets
Paquet IPinIP avec en-tte IP: protocol 4(avec la nouvelle adresse de destination)
IPinIP est dfini dans le RFC2003Utilise le protocole 4Fonctionne seulement pour IPUtilis par IPsec en mode tunnelPresque identique GRE dans IOS
IPinIP est dfini dans le RFC2003Utilise le protocole 4Fonctionne seulement pour IPUtilis par IPsec en mode tunnelPresque identique GRE dans IOS
90Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
Impact de IPSecImpact de IPSec
7/30/2019 1.6 Reseaux Prive Virtuels VPN
46/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
919191 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPSec
IPSec RFC 2401 (et plusieurs autresRFC) encapsule IP dansdes paquets chiffrs
Avec lIOS, le tunnel IPSec nest pas un interface
IPSec offre confidentialit,IPSec offre confidentialit,authentification, etcauthentification, etc
929292 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Encapsulation IPSec en Mode Tunnel
Original IP headerDF=x
IP payload
20 octets
Trame IP initialePar dfaut:DF bit est copidans len-tteIP externe
Par dfaut:Par dfaut:DF bit est copiDF bit est copidans lendans len--ttetteIP externeIP externe
Paquet IPSec avec une nouvelle en-tte IP
Original IP header IP payloadESP
headerExternal IP header
DF=x
20 octets 20 octets16 octets
ESPtrailer
2-10 octets
Encapsulation IPSec ESP
Original IP headerESP
header20 octets16 octets
ESPtrailer
2-10 octets
IP payload
7/30/2019 1.6 Reseaux Prive Virtuels VPN
47/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
939393 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Diffrence entre GRE et IPSec mode Tunnel
GRE fragmente avantavant lencapsulation
IPSec Mode Tunnel fragmente aprsaprslencapsulation (sauf avec look-ahead)
949494 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPSec en Mode Tunnel et la FragmentationTrame IP Initiale Original IP header
FO=0, ID=x, DF=0IP payload
20 octets 1480 octets
IPSec ESP mode tunnel avec nouvelle en-tte IP
Original IP headerFO=0, ID=x, DF=0
IP payloadESP
headerExternal IP header
FO=0,MF=0,ID=y,DF=0
20 octets 20 octets16 octets 1480 octets
ESPtrailer8 octets
1 paquet IPSec 2 fragments
Original IP headerFO=0, ID=x, DF=0 IP payload
External IP headerFO=0,MF=1,ID=y,DF=0
20 octets 20 octets 1444 octets
ESP
header16 octets
IP payloadExternal IP headerFO=1480,MF=0,ID=y,DF=0
20 octets 36 octets
ESPtrailer
8 octets
7/30/2019 1.6 Reseaux Prive Virtuels VPN
48/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
959595 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IP fragmentation & IPSec
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. Encapsulate dans 1paquet IPSec
2. Transmet 1 paquetIPSec dans 2 fragments
1. 1er fragment est trop gros etest nouveau fragment
2. 2me fragment est transmisans modification
1. R4 reconstruit le paquet IPSec2. R4 enlve lencapsulation IPSec3. La trame IP est envoye
IPL=1500 IPSecL
7/30/2019 1.6 Reseaux Prive Virtuels VPN
49/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
979797 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPSec et PMTUD
Encapsulation IPSec copie le DF bit dans len-tte externe (Selon le RFC 2401)
IPSec suit ltat du path MTU du tunnel
Initialis en rapport au MTU physique
Le MTU avant la fragmentation est le MTUphysique 46 (20 IP externe, 16 len-tte ESP, max 10 pour le ESP trailer)
Mis jour dynamiquement avec des ICMPunreachable
989898 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
PMTUD et IPSec/1MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 doit fragmenter mais DF=12. R1 envoie un ICMP unreachable S (avec Path MTU 46)
1. Sur reception du ICMP unreachable, S envoie despaquets avec dun maximum 1454 octets
2. 2me paquet IP est de 1454 octets
1. Paquet IPSec est trop gros et ne peut pastre fragment (DF=1)
2. Le paquet est abandonn3. ICMP envoy R1 (source du paquet IPSec)
Avec le ICMP unreachable, R1 met jour le IPSec PathMTU 1000 (aprs encapsulation)
Path MTU = MTU Physique = 1500Path MTU = MTU Physique = 1500
IPL=1500DF=1
ICMP
ICMP
IPL=1454DF=1IPSecL=1500DF=1
7/30/2019 1.6 Reseaux Prive Virtuels VPN
50/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
999999 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
PMTUD et IPSec/2
MTU=1000MTU=1500MTU=1500 MTU=1500 MTU=1500
S DR1 R2 R3 R4
1. R1 doit fragmenter mais DF=12. R1 envoie un ICMP unreachable S (avec Path MTU 46)
1. Sur rception du ICMP unreachable, S envoit despaquets avec un maximum 954 octets
2. 2me paquet IP est de 954 octets
IPSec Path MTU est maintenant 1000IPSec Path MTU est maintenant 1000
S envoie nouveau un paquet de 1454 octets & DF=1
Plus de fragmentation SI ET SEULEMENT SIles messages ICMP vers R1 et S ne sont pasfiltrs
Plus de fragmentationPlus de fragmentation SI ET SEULEMENT SISI ET SEULEMENT SIles messages ICMP vers R1 et S ne sont pasles messages ICMP vers R1 et S ne sont pasfiltrsfiltrs
IPL=1454DF=1
IPL=954DF=1
IPSecL=992DF=1
IPL=954DF=1
ICMP
100100100 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Initialis le DF bit zro: IPSec & PMTUDTrame IP Initiale
Original IP headerFO=0, ID=x, DF=1
IP payload
20 octets 1480 octets
IPSec ESP en mode tunnel avec en-tte IP (aprs encapsulation)
Original IP headerFO=0, ID=x, DF=1
IP payloadESP
headerExternal IP header
FO=0,MF=0,ID=y,DF=0
20 octets 20 octets16 octets 1480 octets
ESPtrailer8 octets
1 paquet IPSecdans deux fragments
Original IP headerFO=0, ID=x, DF=1 IP payload
External IP headerFO=0,MF=1,ID=y,DF=0
20 octets 20 octets 1444 octets
ESP
header16 octets
IP payloadExternal IP headerFO=1480,MF=0,ID=y,DF=0
20 octets 36 octets
ESPtrailer
8 octets
Avec 12.2(2)Tcrypto ipsec df-bit clear
Avec 12.2(2)TAvec 12.2(2)Tcrypto ipsec dfcrypto ipsec df--bit clearbit clear
7/30/2019 1.6 Reseaux Prive Virtuels VPN
51/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
101Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
GRE et IPSecGRE et IPSec
102102102 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
GRE + IPSec
Lassociation par excellence
GRE (ou IPinIP): pour les protocoles deroutage, le multicast
IPSec : confidentialit, intgrit,
authentification
7/30/2019 1.6 Reseaux Prive Virtuels VPN
52/63
7/30/2019 1.6 Reseaux Prive Virtuels VPN
53/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
106106106 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
14761438
GRE 1476IPsec1500GRE 1438IPsec1500
IPsecTunnel
MTU 1500 MTU 1500
MTU1500
MTU1400
MTU1500
GRE 1476IPsec1500
1
2
3
4
5
67
1500
(1476)
1500
(1462)
1476
(1438)
Trame IP;
ICMP envoy la source (type=3, code=4)
Trame IP; Paquet GRE;
ICMP envoy la source du tunnel GRE
Trame IP
ICMP envoy la source (type=3, code=4)
Abandone par GRE
Abandonn par IPse
Abandonne par GRE
1476
14621438 1500Trame IP; Paquet GRE; Paquet IPSec;
Abandonn par lerouter intermdiare
IPsec + GRE avec PMTUD 1re Partie
H1 H2
H1 MTU:
107107107 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
14381338
GRE 1438IPsec1500GRE 1438IPsec1400GRE 1338IPsec1400
IPsec + GRE avec PMTUD- 2me partie
IPsecTunnel
MTU 1500 MTU 1500
MTU1500
MTU1400
MTU1500
GRE 1476IPsec1500
8
9
10
11
12
13
(1400)
(1362)
(1338)
ICMP envoy la source du paquet IPSec
Trame IP; Paque GRE;
ICMP envoy la source du tunnel GRE
Trame IP;
ICMP envoy la source (type=3, code=4)
abandonn par IPsec
Abandonne par GRE
Trame IP; Paquet GRE; Paquet Ipsec;Atteint finalement la destination
7 14621438 1500 Trame IP; Paquet GRE; Paquet IPSec;Abandonn par lerouter intermdiare
14621438
13621338 1396
H2
H1 MTU:
1438
7/30/2019 1.6 Reseaux Prive Virtuels VPN
54/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
108Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
IPSec et la Qualit de ServiceIPSec et la Qualit de Service(QoS)(QoS)
109109109 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
QoS diff-serv et IPSec
IPSec oblige quon copie les bits DSCP delen-tte IP initiale
QoS est prserve pour WRED, CBWFQ, ...
7/30/2019 1.6 Reseaux Prive Virtuels VPN
55/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
110110110 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Tunnels IPSec & QoS
IP new hdrNouvelle en-tte IP est contruite lentre
du tunnel
IP header IP Payload
Paquet IP Initial
DSCP
IP header IP Payload
Paquet IP avec la QoS
InitialiseInitialiseDSCPDSCP
DSCP
Bits DSCPBits DSCPcopiscopis
DSCP
IP new hdr ESP header
Paquet IPSec
IP IP PayloadDSCP
111111111 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Le cheminement dun paquet
Lordre dans les files dentreet sortie dpend de la QoS
WFQ: Une file par session
PQ/CQ: 4 o 16 queues (ACL)
CBWFQ: Queues multiples (ACL,NBAR, )
Entre CAREntre CAR,,CBWFQCBWFQ
RoutageRoutageCommutationCommutation
IPSecIPSecChiffrementChiffrement
SortieSortie (QoS)(QoS)SerialisationSerialisation
7/30/2019 1.6 Reseaux Prive Virtuels VPN
56/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
112112112 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
CBWFQ et IPSec
Le marquage des paquets avecDSCP est ralis avant lechiffrement
CBWFQ
classificationclassification base sur desextended ACL
=> Plusieurs queues
EntrEntree CARCAR CBWFQCBWFQmarquagemarquage
RoutageRoutageCommutationCommutation
IPSecIPSecChiffrementChiffrement
CBWFQCBWFQ
classificationclassification
CBWFQCBWFQQoSQoS
113113113 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
WFQ and IPSec
Le marquage des paquets avecDSCP est ralis avant lechiffrement
WFQ
ClassificationClassification base sur lesadresses IP, protocoles, (ports IP)
Poids (weight)Poids (weight) bas sur les bitsde prcdence IP=> Seulement un queue estutilise
Entre CAREntre CAR CBWFQCBWFQMarquageMarquage
RoutageRoutageCommutationCommutation
IPSecIPSecChiffrementChiffrement
WFQWFQclassificationclassification
WFQWFQQoSQoS
7/30/2019 1.6 Reseaux Prive Virtuels VPN
57/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
114114114 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
WFQ et IPSec
Sicrypto map
qos pre-classify
WFQ
ClassificationClassification base sur lesadresses IP, protocoles, (ports IP)
Poids (weight)Poids (weight) bas sur les bitsde prcdence IP
=> Plusieurs queues sontutilises
Entre CAREntre CAR CBWFQCBWFQMarquageMarquage
RoutageRoutageCommutationCommutation
IPSec
Chiffrement
IPSecIPSec
ChiffrementChiffrement
WFQclassification
WFQWFQclassificationclassification
WFQWFQQoSQoS
IOS 12.2IOS 12.1(5)T
115115115 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Une autre utilisation de QoS Pre-Classify
Sicrypto map
qos pre-classify
Le marquage des paquets IPpeut tre ralis sur linterfacede sortie
Entre CAREntre CAR CBWFQCBWFQMarquageMarquage
RoutageRoutageCommutationCommutation
Chiffrement IPSecChiffrementChiffrement IPSecIPSec
QoS pr-classification
QoS prQoS pr--classificationclassification
Mise en file dattenteMise en file dattenteavec CBWFQavec CBWFQ
7/30/2019 1.6 Reseaux Prive Virtuels VPN
58/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
116116116 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Low Latency Queuing (LLQ) et IPSec
CBWFQ avec LLQ
ClassificationClassification base sur des extendedACL (DSCP) de paquets IPSec
Multiple queues Queue LLQ est toujours vide enpremier
Entre CAREntre CAR CBWFQCBWFQMarquageMarquage
RoutageRoutageCommutationCommutation
IPSecIPSecChiffrementChiffrement
CBWFQCBWFQ
classificationclassification
CBWFQCBWFQ + LLQ+ LLQQoSQoS
policy-map voice-policy
class voice
priority 64
117117117 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Anti-Replay avec IPSec ESP (avec authentification)
et AH possde des mcanisme anti-reply
Bas sur des numros de squence
Le RFC recommande 64 paquets, mais 32 paquets OK
La source augmente le numro de squence aprschaque transmission
La destination vrifie le numro de squence et refusele paquet sil est hors squence
Devrait tre ngoci avec IKE
Note: le numro de squence nest pas utilispour ordonner la livraison des paquets
7/30/2019 1.6 Reseaux Prive Virtuels VPN
59/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
118118118 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
QoS et Anti-Replay
Paquets #1 et #2sont lextrieur de
la fentre etsont abandonnes
#5#1#2
QoSChange lordre dans lequel
les paquets sont livrs
#1#2#3#4#5
Window Size = 3Window Size = 3
Paquet #5 Arrive premierPaquet #5 Arrive premier
987654321
987654321
119119119 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IOS et PIX
Anti-replay est toujours actif pour AH et ESPavec authentification
IOS window size est de 64 paquets
PIX window size est de 32 paquets
Anti-replay est inactif pour ESP sansauthentification
7/30/2019 1.6 Reseaux Prive Virtuels VPN
60/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
120120120 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
1 IKE SA Unique
Pour annuler lAnti-Replay
Il est possible dutiliser un SAs dedis la VoIP
ou 2 tunnels IPSec + GREou 2 tunnels IPSec + GREou 2 composantes IPSecou 2 composantes IPSec
IPSec SAs pour les donnesIPSec SAs pour les donnes
IPSec SAs pour la voixIPSec SAs pour la voix
121Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved . 1
RRfrencesfrences
7/30/2019 1.6 Reseaux Prive Virtuels VPN
61/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
122122122 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
IPSec et le PMTUD ou la QoS
IP Fragmentation and PMTUD
http://www.cisco.com/warp/public/105/pmtud_ipfrag.html
Reference Guide to Implementing Cryptoand QoS:
http://www.cisco.com/warp/public/105/crypto_qos.html
123123123 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Cisco IOS Nouvelles fonctions de scurit
12.2(13)T1Aswan Phase 1.312.2(13)TTunnel Protection (IPsec around GRE)12.2(13)TIKE Support for PKI multi-RSA key pair
12.2(13)TClearing of IPsec SA without clearing thecounters
12.2(13)TSW IPCompwith HW Crypto12.2(13)TSADB Lookup Optimization12.2(13)TLook-ahead-fragmentation
12.2(13)TIPsec Passive Mode12.2(13)TLLQ for IPsec
12.2(13)TEasy VPN Remote Phase 112.2(11)YXIPsec Stateful Fail-over Phase 1
12.2(13)TIPsec NAT Transparency12.2(13)TDynamic Multipoint VPN (DMVPN)12.2(13)TAES SW support in IOSIPsec
VersionFonctionCategorie
7/30/2019 1.6 Reseaux Prive Virtuels VPN
62/63
Copyright 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr
124124124 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
12.2(13)TStateful NAT Phase 1IP Services12.2(13)TVRF-Aware NAT Phase 1
12.2(13)TIPsec Pass-thru with Overload Phase 112.2(13)TStatic NAT mapping on an interface
12.2(13)TNAT PT Phase 1
12.2(13)TIDS performanceFirewall & IDS12.2(11)YUWebsense/N2H2 Filtering
12.2(11)YUSIP Voice inspection12.2(11)YUHTTPS support for Auth Proxy
12.2(11)YUICMP Inspection12.2(11)YUIDS Signatures (42)
12.2(13)TManual Cert. Enrollment (TFTP and Cut & Paste)Trust & Identity
VersionFonctionsCategorie
Cisco IOS Nouvelles fonctions de scurit
125125125 2003, Cisco Systems, Inc. All rights reserved.Forum Solutions Technologiques2003
Cisco IOS Nouvelles fonctions de scurit
12.2(15)TSSL Server Support in Cisco IOS IOS
12.2(15)TN-Tier Certificate ChainingTrust & Identity12.2(15)TCertificate Security Attribute based Access Control
12.2(15)TAllow Source Int. Selection for HTTP Traffic
12.2(15)TKey Import/Export
12.2(15)TIPsec Timer Clean-up12.2(15)TIPsec Accounting
12.2(15)TEasy VPN Remote Phase 2.0 & 3.012.2(15)TVRF-aware IPsec (IPsec/MPLS Integration)IPsec
VersionFonctionsCategorie
7/30/2019 1.6 Reseaux Prive Virtuels VPN
63/63
126Forum Solutions Technologiques2003 2003, Cisco Systems, Inc. All rights reserved .
Merci
Noubli ez pas de r empli r vot r e f or mulair e dvaluat ion.