GRE over IPsec について教えてください。

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 | 投稿日時 2015-12-5 10:56
9tail  新米   投稿数: 2
疑問点は2つです。
よろしくお願いします。

GRE over IPsecを利用する目的の例として
 「IPsecの暗号化とGREのマルチキャストの良い所取り。
  暗号化しつつospfでダイナミックルーティングが可能」
というものがありました。

最初は納得したのですがよく考えてみると、
ノンブロードキャストマルチアクセスでは静的なneighborの設定していました。
なので、GREを併用しないIPsec単体でも静的なneighborの設定をすれば、
マルチアクセス環境でダイナミックルーティングが可能なはずです。

また、GRE over IPsecでもトンネル出口のIPが静的な設定なので、
neighbor関係の構築も実質静的になっています。

これらの考えから、手段が違うだけでIPsec単体でもGRE over IPsecと同等なら、GRE over IPsecのメリットは?
という疑問が生じています。
しかし、本当のところGRE over IPsecにはちゃんとメリットがあり
私の何らかの理解が欠けているのだと思います。
ここまでが1つ目の疑問です。


2つ目の疑問です。
IPsec(ISAKMP)の設定の
 crypto isakmp key stiryng address peer-address
で対向のアドレスを指定しますが、
マルチアクセス環境での設定は以下の例のようになるのでしょうか?
例)
 (config)#crypto isakmp key ping-t address 192.168.1.1
 (config)#crypto isakmp key ping-t address 192.168.1.2

暗号マップには名前やシーケンス番号があるので複数パターンの設定が可能だとわかったのですが
 crypto isakmp key stiryng address peer-address
については名前も番号も無くグローバルでの設定なので、どこからどのように参照されるかも想像できませんでした。
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-12-5 14:52
arashi1977  長老 居住地: 広島  投稿数: 1715
引用:
また、GRE over IPsecでもトンネル出口のIPが静的な設定なので、
neighbor関係の構築も実質静的になっています。
GREのメリットであるマルチキャストトラフィックを流せるという点をあえて利用しない、ということでしょうか?
GRE TunnelのネットワークタイプはPoint-to-Pointがデフォルトで選択されますので、neighbor設定しなくても勝手にネイバ確立するのですが…
引用:
これらの考えから、手段が違うだけでIPsec単体でもGRE over IPsecと同等なら、GRE over IPsecのメリットは?
・router ospf配下で全てneighbor設定を行い
・crypto mapでマッチさせる条件に、全てのネイバを対象としたospfパケットのpermit文を追加し
・「動的に」のメリットをあえて捨てて、上記のような「静的(=手動)」に作業を行う
のを避けるために、GRE over IPsecを採用するのだと思いますよ。
それが「GRE over IPsecのメリット」なのではないでしょうか。

引用:
IPsec(ISAKMP)の設定の
 crypto isakmp key stiryng address peer-address
で対向のアドレスを指定しますが、
マルチアクセス環境での設定は以下の例のようになるのでしょうか?
やりかたは設計によって変わりますので、ご提示の方法でもいいですし、違う方法でもいいです。
以下の資料が参考になるでしょうか?

Cisco IOS セキュリティ コンフィギュレーション ガ イド
ISAKMP 事前共有鍵の設定
http://www.cisco.com/cisco/web/support/JP/docs/CIAN/IOS/IOS15_1M_T/CG/002/sec_encrypt_preshare.html?bid=0900e4b1825298b8#93243

セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル
GRE over IPsec VPNとDynamic Routingを用いた複数拠点接続設定例
http://www.cisco.com/cisco/web/support/JP/102/1020/1020022_gre_overipsec_dynamic_routing.html
引用:
事前共有キーの設定はユーザ個別もしくはグループ事前共有で行います。ユーザ個別の場合、各 IPSec ピアで個別に事前共有キーの設定を行います。グループ事前共有キーを設定する場合、下記のようにグループ内で同一の事前共有キーを設定します。

crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0

上記設定では全ての IP アドレスからの IPSec のネゴシエーションを許容する為に、セキュリティレベルは落ちる事を注意してください。
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-12-6 9:06
9tail  新米   投稿数: 2
ご回答ありがとうございます。

引用:

引用:
また、GRE over IPsecでもトンネル出口のIPが静的な設定なので、
neighbor関係の構築も実質静的になっています。
GREのメリットであるマルチキャストトラフィックを流せるという点をあえて利用しない、ということでしょうか?
イーサネットでは同一セグメントに3台のルーターがあっても
ospfを有効にするインタフェースを適切に設定すれば、
動的にNeighbor関係が確立され、後からルーターを追加しても設定の変更は不要でした。
フレームリレーのNBMAではマルチキャストができず、静的なNeighborの設定が必要で、後からルーターを追加する場合設定の変更が必要でした。
IPsecを利用する場合は2通りのやり方があります。
 1、GREを併用(sourceとdestinationの設定が必要)
 2、静的にNeighborを設定
しかし、どちらの方法もルーターを追加する場合は設定の変更が必要なので、実質静的であると考え
GREを併用する場合をしない場合と比較しても、優位性を見出せなかった次第です。

引用:
・crypto mapでマッチさせる条件に、全てのネイバを対象としたospfパケットのpermit文を追加し
これは失念していました。
そうすると、今ざっくりと想像しただけですが、GREを併用した方が設定は簡単そうですね。
引用:
それが「GRE over IPsecのメリット」なのではないでしょうか。
納得できました。
とは言え今はまだ(arashi1977さんからの)伝聞レベルなので、
ご教示頂いたGRE over IPsecのメリットを念頭に置きつつ学習を続け血肉にしていきます。


引用:
引用:
IPsec(ISAKMP)の設定の
 crypto isakmp key stiryng address peer-address
で対向のアドレスを指定しますが、
マルチアクセス環境での設定は以下の例のようになるのでしょうか?
やりかたは設計によって変わりますので、ご提示の方法でもいいですし、違う方法でもいいです。
以下の資料が参考になるでしょうか?
大変参考になりそうです。
本気で読むと数時間かかりそうなので、arashi1977さんへのお返事を先させて頂きました。
引用:
crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
このような設定方法もあったんですね!
上記の設定や複数行の設定も可なら、グローバルでの設定かつ名前も番号も無いのも理解できます。
疑問2は完全に解消されました。
しかし、ご教示頂いた資料は後ほどしっかりと読ませて頂きます。


丁寧でわかりやすいご回答、ありがとうございました。
また、おそらく曖昧・不適切な表現が含まれていた質問から意図を汲み取って頂いた事にも感謝致します。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-12-6 9:11
arashi1977  長老 居住地: 広島  投稿数: 1715
疑問が解消されたようでよかったです

考え方で意識していただきたいのは
・Frame-RelayのNBMAとGRE(=Point-to-Point)を同じものと理解しない
・GREはMulticastを流せる
・DMVPN(Dynamic Multipoint VPN)の考え方の元になる
ことです。

CCNP ROUTEの試験範囲にDMVPNは含まれますので、IPsecよりGREを中心に学習されるとよいと思いますよ。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-12-8 13:47
udon_soba  新米   投稿数: 2
>最初は納得したのですがよく考えてみると、
>ノンブロードキャストマルチアクセスでは静的なneighborの設定していました。
>なので、GREを併用しないIPsec単体でも静的なneighborの設定をすれば、
>マルチアクセス環境でダイナミックルーティングが可能なはずです。

⇒静的なneighborの設定で隣接関係は確立できても、肝心なOSPFマルチキャストパケットのIPsec化は出来ているのでしょうか?
 IPsecトンネルではマルチキャストパケットをサポートしていない(=マルチキャストパケットを正しく暗号化対象にできない)と理解しています。
 
 その為、マルチキャストパケットをGREでカプセル化(=ユニキャストパケット化)し、さらにIPsecでGREでカプセル化させたパケットを
 暗号化させる方式がGRE over IPsecという認識です。

 実際にOSPF間のマルチキャストパケットをIPsec化し、正常に隣接関係が確立出来るか試してみたらいかがでしょうか?
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-12-9 9:54
udon_soba  新米   投稿数: 2
すみません。上記訂正をさせてください。
静的なneighborの設定している時点でOSPFパケットはユニキャストになっていますね。。

申し訳ありませんが私の書き込みは読み捨てください。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.