În acest articol, ne uităm la diferitele tehnologii de pe site-to-site tuneluri statice IPSec pe echipamente Cisco dintr-o poziție de a fi una sau alta tehnologie încapsulează pachetul original în titluri noi și modul în care acest lucru afectează dimensiunea finală și structura pachetului.
Aici vom folosi acest simplu, colectate în topologie GNS3:
Router-ul de tranzit va monitoriza ICMP-pachete între routere lupbekami Site-ul A și B. Comenzile site-ului, care trebuie să fie introduse pe router-ul de tranzit, pentru a putea urmări trecerea prin trafic de interes pentru noi, sunt prezentate în Fig.
Pentru a începe, urmați pur și simplu ping ICMP la router Site-ul A, pentru a vedea cum arată înainte de pachetul de diferite tipuri de perversiuni pe ele:
SiteA # ping dimensiune 192.168.3.3 sursa lo0 100
În depana router-ul de tranzit a se vedea:
* Sep 12 februarie: 20: 06.715: IP: s = 192.168.1.1 (FastEthernet1 / 0), d = 192.168.3.3, len 100. facilitate de intrare ... ..
Ei bine, acest lucru este de fapt de înțeles - trimite dimensiunea ICMP-pachet de 100 de octeți - așa că a venit la router de tranzit. Ie acum (pachet), dacă ignorăm antetul și trailerul stratului de date link-ul, este după cum urmează:
Acum, să experiment.START_BREAKCând.
1. IPSec cu „clasic» cripto-map
configurărilor imediat pentru a aduce SiteA SiteB și routere. Se va arăta așa (toate în forma cea mai simplă, toate excesul este eliminat cu succes, astfel încât să nu se încarce inutil în temeiul articolului informații):
Nume de gazdă SiteA
!
Politica isakmp cripto 10
aes encr
autentificare pre-parts
grupa 2
isakmp cripto adresa cisco cheie 10.1.23.3
!
IPSec cripto-set TS transformatei ESP-aes ESP-SHA-HMAC
tunel modul
!
crypto Harta CRYPTOMAP 10 ipsec-isakmp
set de la egal la egal 10.1.23.3
set transformare-set TS
meci adresa CRYPTOACL
!
interfaţă Loopback0
Adresa IP 192.168.1.1 255.255.255.0
!
Interfață FastEthernet1 / 0
adresa IP 10.1.12.1 255.255.255.0
cripto harta CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
!
ip lista de acces extins CRYPTOACL
permis de IP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Nume de gazdă SiteB
!
Politica isakmp cripto 10
aes encr
autentificare pre-parts
grupa 2
isakmp cripto adresa cisco cheie 10.1.12.1
!
IPSec cripto-set TS transformatei ESP-aes ESP-SHA-HMAC
tunel modul
!
crypto Harta CRYPTOMAP 10 ipsec-isakmp
set de la egal la egal 10.1.12.1
set transformare-set TS
meci adresa CRYPTOACL
!
interfaţă Loopback0
Adresa IP 192.168.3.3 255.255.255.0
!
Interfață FastEthernet1 / 0
adresa IP 10.1.23.3 255.255.255.0
cripto harta CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
!
ip lista de acces extins CRYPTOACL
permis de IP 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
SiteA # ping dimensiune 192.168.3.3 sursa lo0 100
În depana router-ul de tranzit acum vom vedea acest lucru:
* Septembrie Feb. 12: 44: 15.579: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len ... 168.
Acum Pachetul „cântărește“ la fel de mult ca 68 octeți mai mult. Ce este această regie suplimentară? Să ne uităm la următoarea imagine:
În al doilea rând, se adaugă câmpuri de protocol ESP - antet. remorcă și domeniul de autentificare. câmpuri Lungime relevante pentru ESP depinde de algoritmi de criptare / hashing selectate. În cazul nostru am fost luat IPSec transformare setat cu algoritmi și aes SHA, respectiv (această alegere și vom pleca pentru experimente viitoare). Dacă, de exemplu, în loc de aes folosit des - câmpuri mărimea pachetului legate de ESP ar fi mai puțin. În cazul nostru, este egală cu 168 (lungimea totală de pachete) - 100 (mărimea pachetului original) - 20 (dimensiunea noului header-ul IP) = 48 octeți.
2. GRE peste IPSec
GRE peste IPSec presupune crearea de GRE-tunel între VPN-poarta de acces și apoi cripta GRE-trafic.
Pentru a începe cu, hai să înființat GRE-tunel între SiteA și SiteB, fără a atașa să-l IPSec:
Nume de gazdă SiteA
!
Politica isakmp cripto 10
aes encr
autentificare pre-parts
grupa 2
isakmp cripto adresa cisco cheie 10.1.23.3
!
IPSec cripto-set TS transformatei ESP-aes ESP-SHA-HMAC
tunel modul
!
crypto Harta CRYPTOMAP 10 ipsec-isakmp
set de la egal la egal 10.1.23.3
set transformare-set TS
meci adresa CRYPTOACL
!
interfaţă Loopback0
Adresa IP 192.168.1.1 255.255.255.0
!
interfaţă Tunnel0
IP FastEthernet1 nereperați / 0
sursa tunel FastEthernet1 / 0
tunel de destinație 10.1.23.3
!
Interfață FastEthernet1 / 0
adresa IP 10.1.12.1 255.255.255.0
cripto harta CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
IP traseu 192.168.3.0 255.255.255.0 Tunnel0
!
ip lista de acces extins CRYPTOACL
permis de IP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Nume de gazdă SiteB
!
Politica isakmp cripto 10
aes encr
autentificare pre-parts
grupa 2
isakmp cripto adresa cisco cheie 10.1.12.1
!
IPSec cripto-set TS transformatei ESP-aes ESP-SHA-HMAC
tunel modul
!
crypto Harta CRYPTOMAP 10 ipsec-isakmp
set de la egal la egal 10.1.12.1
set transformare-set TS
meci adresa CRYPTOACL
!
interfaţă Loopback0
Adresa IP 192.168.3.3 255.255.255.0
!
interfaţă Tunnel0
IP FastEthernet1 nereperați / 0
sursa tunel FastEthernet1 / 0
tunel de destinație 10.1.23.3
!
Interfață FastEthernet1 / 0
adresa IP 10.1.23.3 255.255.255.0
cripto harta CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
IP traseu 192.168.3.0 255.255.255.0 Tunnel0
!
ip lista de acces extins CRYPTOACL
permis de IP 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
În tabel, linii scrise marcate și șterse - barată.
Se confirmă faptul că cele de mai sus este adevărată, efectuarea ping tradiționale ICMP:
SiteA # ping dimensiune 192.168.3.3 sursa lo0 100
Să vedem ce arată depana router de tranzit:
* Sep 14 februarie: 54: 32.183: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 124. trimiterea de pachete full
Este într-adevăr este, cum era de așteptat.
Acum, se adaugă IPSec «sus» GRE. Pentru a face acest lucru, creați profil IPSec și atârnă-l pe interfața tunel pentru fiecare VPN gateway:
IPSec cripto-set TS transformatei ESP-aes ESP-SHA-HMAC
mod de transport
După un alt ping de la router pentru a site-ului Un router de tranzit a se vedea următoarele:
* Sep 15 februarie: 49: 00.802: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 168. trimiterea de pachete full
Acum, lungimea pachetului - 168 octeți. 16 mai puțin decât în regimul de tunel. De ce nu 20, deoarece dimensiunea header-ul IP de la care am scăpat este de 20 bytes? Pentru că acest titlu a fost, de asemenea, criptat cu ESP, iar lungimea criptat, de regulă, nu este egală cu lungimea originalului. În acest caz, nu este atât de important. Este important ca noi să scăpăm de antet în plus și, astfel, reduce aeriene pentru cel puțin o parte. Se pare GRE peste modul de transport IPSec, după cum urmează:
Să vedem două puncte, care reflectă toate lucrurile menționate mai sus, și vor fi utile în continuare:
SiteA # sh int tunel 0 | i de transport | protecție
Tunel de protocol / de transport GRE / IP
Tunel de transport MTU 1434 bytes
Tunel de protecție prin IPSec (profil «IPSECPROFILE»)
SiteA # sh criptografic IPSec SA | i Inbound | ieșire | setare
curent spi de ieșire: 0xD761501C (3613478940)
inbound sas: ESP
în setările de utilizare = Transport.>
outbound sas: ESP
în setările de utilizare = Transport.>
Aici mai clar se vede că interfața tunel se află în modul GRE / IPI pentru a proteja-l utilizează modul de transport IPSec.
3. Virtual Tunel Interface (VTI)
Ce este VTI și modul în care aceasta este diferită de GRE convențională prin IPSec? Fără a intra în detalii, voi spune acest lucru: este același GRE peste IPSec, și anume construcție construit folosind interfețe de tunelare (prin care în mod avantajos poate opera protocoale de rutare și alte tipuri de trafic multicast), cu toate avantajele lor, dar excluse în sine antet GRE. Ie dacă vom lua cele mai recente schema, care reprezintă GRE prin IPSec cu IPSec în modul de transport și de al transforma într-un VTI static, vom obține acest lucru:
Dacă vom compara cu prima imagine, în cazul în care tunelurile au fost folosite pentru a crea cripto-hartă, este foarte dificil de a vedea nici o diferență. Un dificil, deoarece acestea nu sunt. La pachetul de ieșire arată la fel, indiferent de configurația tehnologiei tunelului. Lungimea este, de asemenea, lung de 168 de octeți și este minimul posibil pentru criptare selectat algoritmul / hash și dimensiunea pachetului de sursă. Concluzia: tehnologia VTI routere Cisco proiectat pentru a permite construirea VPN-tuneluri care au toate avantajele GRE peste tehnologia IPSec (cum ar fi, de exemplu, suport de rutare dinamic), menținând în același timp overhead minim (aceeași cu utilizarea tehnologiei cripto harta).
Pentru a face tuneluri GRE IPSec din exemplul anterior, în VTI, aveți nevoie pentru a face schimbări majore, configurare VPN gateway:
Vă putem ajuta cu „mașina de spălat nu va stoarce rufele“
Real a clientului recenzii despre crema Tinedol pentru tratamentul ciuperca pe picioare.
dezinfecteaza pielea afectată și întărește vasele de sânge și țesuturi moi.
Acest medicament sa dovedit a fi mult timp eficacitatea sa principală de îngrijire a sistemului de avantaj Chiar dacă nu sunt vizibile toate simptomele, ar trebui să începeți să utilizați Tinedol pentru prevenirea ciuperca de urgență pe picioare este în curs de dezvoltare foarte repede acum te neînsemnată exfolierii și mâncărime, și după câteva zile, va trebui să meargă la clinica antibiotice bea de 5 ori pe zi, nu pe problema de astăzi tratează, în plus, ciuperca este contagioasă Dacă sunteți bolnav sau cineva la domiciliu este bolnav întreaga familie.
Puteți aplica apoi crema, frecarea-l ușor, apoi așteptați până când Tinedol absorbit de mijloacele folosite trebuie să fie o dată pe zi, timp de o lună.
Tinedol de droguri original, nu are contraindicații Singurul lucru care poate duce la efecte secundare componente idiosincrasie unguent afectează calitatea și manifestarea efectelor adverse pot fi condițiile de depozitare a produsului.
Într-adevăr, fiecare preparate externe medicale ar trebui să fie contraindicată Deci au Tinedola, dar restricții se aplică numai persoanelor care au intoleranță individuală a unui exemplu de componente, cineva alergic la menta sau metilparaben, dar acești oameni unitatea aceea smântână și este considerat a fi aproape universală.
134 voturi, în medie, de la 4,61 5.
Principiul de funcționare al unguentului.
Principiile Unguent Tinedol de funcționare și compoziția.
Farsenol ajuta la eliminarea bacteriilor dăunătoare, se luptă cu un miros urât.
Noi vă putem ajuta cu „Unde este mașina de spălat“
17 ore agoRidiculousness Sezonul 9 Episodul 22 grossest Episodul vreodată. autor. admin de emisiuni TV ... După terminarea absolvire, Alexa Vega a încercat norocul în actorie, și a devenit popular cu rolurile sale timpurii în multe televiziune populare, cum ar fi acte - Evening Shade,
noi emisiuni TV în această săptămână
"Houdini y Doyle, dos amigos contra nullum el - TV - Teleprograma Hay ONU esclarecedor Momento en el grund capG-Tulo de Houdini y Doyle en el que onu De todas formas, la Serie que los canales AXN y AXN White estrenan el