Перепроверить настройки

GRE over IPSec (Cisco и Linux Debian) Проводной Ethernet

Рассмотрим сегодня пример, когда необходимо подключить территориально удаленный офис к центральной сети компании. Политика компании требует чтобы весь трафик был зашифрован, чтобы избежать утечки информации.

Выделенного канала между офисами нет — есть только Интернет. Ну что ж — это обычная ситуация, когда необходимо подключить удаленный офис.  Подключение будем делать с помощью IPSec, он свяжет две удаленные сети, и будет шифровать трафик.

Сразу обратим внимание: есть два варианта использования:

— GRE over IPSec

— IPSec over GRE

Если наша сеть в ЦО (центральном офисе) построена с помощью динамической маршрутизации — то нам подходит именно вариант с GRE over IPSec, т.к.  IPsec  не пропускает IGP(протоколы внутренней маршрутизации OSPF,EIGRP..).

Обьясню почему именно так:

GRE over IPSec — вначале поднимается IPSec, а поверх уже GRE, тоесть маршрутизация будет идти через интерфейсы туннеля и спокойно будут проходить пакеты OSPF,EIGRP

IPSec over GRE — вначале поднимается туннель GRE, а поверх его уже IPSec — в этом случае пакеты OSPF,EIGRP ходить не будут.

Исходные данные:

ЦО: Cisco 7200 (или любой другой роутер), обращаю внимание, что должна присутствовать на роутере возможность создавать IPsec — это зависит от прошивки роутера. Если вы не можете создать (попросту роутер не воспринимает команды) — надо менять прошивку, ну или активировать features.

Определяем план работ — 3 части

Часть 1: Собираем данные и готовим схему сети.

Часть 2: Linux Ubuntu

1) поднимаем IPsec используем openswan,

2) поднимаем GRE туннель.

3) поднимаем quagga (для динамической маршрутизации OSPF)

Часть 3: Cisco

1) настраиваем ipsec

2) настраиваем GRE туннель

3) настраиваем OSPF

 

GRE over IPSec (Cisco и Linux Debian)
0 votes, 0.00 avg. rating (0% score)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Site Protection is enabled by using WP Site Protector from Exattosoft.com