[Dr.WoW] [No.24] GRE-part 1

115 0 0 0



Para discutir GRE, primero tenemos que cambiar nuestro enfoque 20 años atrás en el pasado, y mirar algunos de los acontecimientos que ocurrieron durante esos tiempos. En ese momento, Internet ya había comenzado a desarrollarse rápidamente, y el aumento de las cantidades de recursos estaban siendo conectados por Internet, haciendo que el contacto entre las personas fuera más rápido y más conveniente, sin duda motivo de celebración. Sin embargo, el mundo en línea aparentemente armonioso también estaba lleno de muchas causas de preocupación. La vida es a menudo así: Las fuentes de felicidad de las personas tienden a ser aproximadamente las mismas, pero sus fuentes de miseria varían mucho. Después de estar conectado a Internet, las redes privadas enfrentaron los siguientes dolores de cabeza:

 

l   No había manera de que las redes con direcciones IP privadas se conectaran directamente entre sí a través de Internet.

No hay mucho que decir sobre este punto: Todas las redes privadas utilizan direcciones privadas, mientras que los paquetes enviados en Internet deben utilizar direcciones públicas. Esto se muestra en la Figura 1-1

Figura 1-1 Las redes IP privadas no pueden conectarse directamente a través de Internet)


024541icqyq2b7bivbyb26.png?image.png



l   Diferentes tipos de redes (IPX y AppleTalk) no pueden comunicarse directamente entre sí a través de Internet.

Este dolor de cabeza es causado por una inducción de dolor de cabeza, pero lógico "defecto de nacimiento", siendo que como IPX e IP no son el mismo tipo de protocolo de Internet, las redes IP no transmiten paquetes IPX. Esto se muestra en la Figura 1-2

 

Figura 1-2 Diferentes tipos de redes (IPX y AppleTalk) no pueden comunicarse directamente entre sí a través de Internet



024603xi4pf4fdd99i9fld.png?image.png


Hay muchas historias más inspiradoras de lágrimas, y no voy a entrar en detalles sobre ellas, pero básicamente estos dolores de cabeza coagularon y se formaron juntos en un enorme ímpetu que llevó a los ingenieros de la red a fastidiar sus cerebros en busca de una solución. Por último, en 1994 entró en vigor la Encapsulación Generica de Enrutamiento (GRE) (RFC 1701 y RFC1702)).

 

La creación de GRE garantiza que los dolores de cabeza mencionados ya no se producirán hoy. Ahora, estoy seguro de que todo el mundo está pensando: " ¿Qué métodos utiliza el GRE exactamente para resolver todas estas dificultades antes mencionadas? En realidad, esto es muy fácil de explicar. GRE utiliza la tecnología" alter ego "popular hoy en día -si los paquetes enviados por las redes privadas no pueden ser transmitidos en Internet por diversas razones, ¿por qué no dar estos paquetes" alter egos "que Internet puede reconocer, y luego transmitirlos en Internet? Esto funciona porque Internet sólo reconoce al alter-ego, no a la persona detrás de él. El término de red para este tipo de alter-ego es" encapsulación. "

 

1 Encapsulación/Decapsulación GRE

 

Cualquier tipo de elementos estructurales básicos de la tecnología de encapsulación de red se pueden dividir en tres partes (protocolos de pasajeros, protocolos de encapsulación y protocolos de transporte), y GRE no es una excepción. A continuación, usaré una comparación con el sistema postal para ayudarnos a entender la tecnología de encapsulación.

 

l   Protocolos de pasajeros

Los protocolos de pasajeros son las letras que escribimos. Estas cartas pueden ser escritas en chino, inglés, francés, etc., y el autor y el lector son responsables del contenido específico de la carta.

l   Protocolos de encapsulación

Los protocolos de encapsulación pueden compararse con diferentes tipos de correo: El correo se puede enviar utilizando correo ordinario, correo registrado o EMS. Los diferentes tipos de correo corresponden a diferentes protocolos de encapsulación.

l   Protocolos de transporte

Los protocolos de transporte son el método de transporte de una carta; esto podría ser por tierra, mar o aire. Los diferentes métodos de transporte corresponden a diferentes protocolos de transporte.

 

Ahora que hemos entendido la metáfora anterior, podemos echar otro vistazo a los protocolos que se utilizan en GRE, como se muestra en la Figura 1-3.

 

Figura 1-3 Protocolos GRE



024643r8jvflvmcc68mxcc.png?image.png



La figura nos permite ver claramente que los protocolos que puede llevar GRE incluyen protocolos IP y protocolos IPX, y que el protocolo de transporte utilizado por GRE es el protocolo IP.

Ahora que hemos aprendido acerca de los conceptos básicos detrás de GRE, vamos a ver a continuación los principios detrás de la encapsulación GRE. En la Figura 1-4, hemos utilizado el protocolo IP como el protocolo de pasajeros, por lo que el resultado final de encapsulación es un paquete IP encapsulando un paquete IP.

 

Figura 1-4 Encapsulación de paquetes GRE


024749trcdkdrow7a7rdg7.png?image.png



El proceso de encapsulamiento GRE consta de dos pasos. El primer paso es agregar un GRE a la parte frontal del paquete original de la red privada. El segundo paso es añadir un nuevo encabezado IP delante de este encabezado GRE, con la dirección IP en el nuevo encabezado IP siendo la dirección de red pública. La adición de la nueva línea IP significa que el paquete de esta red privada, que ha sido encapsulado capa por capa, ahora puede ser transmitido en Internet.

 

En los cortafuegos, las operaciones de encapsulación se logran utilizando una interfaz lógica, siendo esta la famosa interfaz de túnel. Desde la palabra túnel podemos ver que esta interfaz lógica se crea para el túnel. La información sobre la dirección de origen y la dirección de destino para la nueva cabecera IP está en la interfaz del túnel, y después de que un paquete entra en la interfaz del túnel, el firewall encapsulará un encabezado GRE y un encabezado IP en el paquete.

Entonces, ¿cómo un firewall entrega un paquete a la interfaz de túnel? Esto se logra a través de enrutamiento, y los firewalls soportan dos métodos para esto:

 

l   Enrutamiento estático

Esto se refiere a firewalls en ambos extremos del túnel GRE configurando enrutamiento estático hacia y desde los segmentos de red privada de cada uno. El siguiente salto se establece en la dirección IP de la interfaz de túnel del terminal, que es la interfaz de túnel de envío.

l   Enrutamiento dinámico

La configuración de enrutamiento dinámico (como OSPF) en los cortafuegos en ambos extremos del túnel GRE significa transmitir las direcciones de sus segmentos de red privados e interfaces de túneles, de manera que los dos firewalls aprendan rutas a los segmentos de red privada de cada uno. El siguiente salto es la dirección IP de la interfaz de túnel del otro firewall, y la interfaz de envío es la interfaz de túnel del firewall de envío.

 

Independientemente de qué tipo de enrutamiento se utilice, el objetivo final es generar rutas para los segmentos de red privados correspondientes en las tablas de enrutamiento de los firewalls, y utilizar estas rutas para guiar paquetes hacia la interfaz de túnel para encapsulación.

La Figura 1-5muestra el proceso por el cual los firewalls encapsulan, decapsulan y transmiten paquetes de red privados.


Figura 1-5 Proceso de reenvío de paquetes GRE



024820nxce4uy4vy2exbfh.png?image.png



Cuando la PC _ A busca acceder a PC _ B a través del túnel GRE, el proceso de reenvío de paquetes por FW _ A y FW _ B es el siguiente:

 

1. Después de que los paquetes originales de PC _ A que acceden a PC _ B entren en FW _ A, la tabla de enrutamiento se verifica por primera vez para una coincidencia.

2. FW _ A luego envía el paquete a la interfaz de túnel para encapsulación GRE sobre la base de los resultados de la verificación de ruta, donde se agrega una cabecera GRE y una nueva cabecera IP de capa externa.

3. FW _ A vuelve a verificar la tabla de enrutamiento mediante la dirección de destino del nuevo encabezado IP del paquete encapsulado.

4. FW _ A envía el paquete a FW _ B sobre la base de los resultados de la verificación de la ruta. En la figura anterior se asume que la dirección de siguiente salto encontrada por FW _ A para FW _ B es 1.1.1.2

5. Después de que FW _ B reciba el paquete, primero debe determinar si este paquete es o no un paquete GRE.

¿Cómo puede deducirse esto? Hemos visto que durante el proceso de encapsulación el paquete GRE encapsulado tiene una nueva cabecera IP. Esta nueva cabecera IP incluye un segmento de protocolo, que marca la clase del protocolo de la capa interna. Si el valor del segmento de protocolo es 47, esto significa que el paquete es un paquete GRE.

6. Si un paquete recibido por FW _ B es un paquete GRE, el paquete será enviado a la interfaz de túnel para la decapsulación, donde se eliminará la cabecera IP de capa externa y la cabecera GRE, restaurando el paquete original.

7. FW _ B volverá a verificar la tabla de enrutamiento basada en la dirección de destino del paquete original, y luego enviará el paquete a PC _ B utilizando el resultado de enrutamiento correspondiente.

 

Este es el proceso completo de cómo los firewalls llevan a cabo encapsulación/decapsulación y reenvío GRE para paquetes de red privados. Bastante simple, ¿eh? ¿Qué?

 

2 Configuración de parámetros básicos de GRE

 

Anteriormente, discutimos los procesos de túnel, encapsulación y decapsulación para paquetes de red privados desde una perspectiva teórica. Pero, apuesto a que todo el mundo está más interesado en aprender sobre cómo configurar el túnel GRE en los cortafuegos, ¿no es así? A continuación, usaremos la Figura 1-6 para ayudar a explicar los métodos de configuración para el túnel GRE.

 

Figura 1-6 Organización de red VPN GRE


024902g635xlwiklw569rw.png?image.png


Configurar el túnel GRE es muy sencillo y se puede dividir en dos pasos.

 

 

1.Configurar la interfaz del túnel.

Configure los parámetros de encapsulación de la interfaz de túnel de FW _ A.

[FW_A] interface Tunnel 1

[FW_A-Tunnel1] ip address 10.1.1.1 24

[FW_A-Tunnel1] tunnel-protocol gre

[FW_A-Tunnel1] source 1.1.1.1

[FW_A-Tunnel1] destination 2.2.2.2

[FW_A-Tunnel1] quit

Agregue la interfaz de túnel de FW _ A a una zona de seguridad. La interfaz de túnel se puede agregar a cualquier zona de seguridad; aquí hemos añadido la interfaz de túnel a la zona DMZ.

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface Tunnel 1

[FW_A-zone-dmz] quit

Configure los parámetros de encapsulación de la interfaz de túnel de FW _ B.

[FW_B] interface Tunnel 1

[FW_B-Tunnel1] ip address 10.1.1.2 24

[FW_B-Tunnel1] tunnel-protocol gre

[FW_B-Tunnel1] source 2.2.2.2

[FW_B-Tunnel1] destination 1.1.1.1

[FW_B-Tunnel1] quit

Agregue la interfaz de túnel de FW _ B a una zona de seguridad. Al igual que con FW _ A hemos añadido la interfaz de túnel a la zona DMZ.

[FW_B] firewall zone dmz

[FW_B-zone-dmz] add interface Tunnel 1

[FW_B-zone-dmz] quit

 

Al configurar los parámetros de encapsulación para las interfaces del túnel, primero configuramos el tipo de encapsulación de las interfaces del túnel a GRE, y luego designamos las direcciones de origen y destino del túnel GRE. Estos pasos parecen muy simples, pero aunque pocos en número, juegan un papel decisivo en permitir que las interfaces del túnel completen la encapsulación de paquetes GRE:

 

? Esto primero estipuló que las interfaces del túnel necesitan encapsular cabeceras GRE.

? A continuación, esto estipuló las direcciones de origen y destino para el nuevo encabezado IP, que de hecho son sólo las direcciones IP para las interfaces de red pública para los firewalls en ambos extremos del túnel GRE.

Estos dos puntos son idénticos en teoría a encapsular paquetes GRE, y son relativamente fáciles de entender. Sin embargo, estoy pensando que todo el mundo puede ahora tener los siguientes pensamientos acerca de las propiedades de las interfaces del túnel en sí:

? Es necesario configurar direcciones IP para las interfaces del túnel?

? Son las direcciones IP para las interfaces túneles pertenecientes a los firewalls en ambos extremos del túnel relacionados entre sí?

? Las interfaces de túnel utilizan direcciones IP de red pública o direcciones IP de red privada?

 

Es necesario configurar las direcciones IP para las interfaces del túnel. Si las direcciones IP no están configuradas, es imposible que las interfaces del túnel estén en estado UP. En segundo lugar, en cuanto al proceso de encapsulamiento de GRE, las direcciones IP de las interfaces del túnel no participan en encapsulación de paquetes, por lo que no hay relación entre las direcciones IP para las interfaces de túnel que pertenecen a los firewalls en cada túnel; cada una puede configurarse por separado. Por último, dado que las interfaces de túnel no participan en encapsulación, no es necesario utilizar una dirección de red pública, y configurar una dirección IP de red privada está bien.

 

2.Routing configuration ― guía de paquetes en necesidad de encapsulación GRE a la interfaz de túnel.

 

Ya he mencionado anteriormente que los cortafuegos soportan tanto el enrutamiento estático como el dinámico, y cualquiera de estos dos métodos puede ser elegido.

 

Enrutamiento estático

 

Para configurar el enrutamiento estático en FW _ A configure el siguiente salto para la ruta the a la red privada de HQ como interfaz de túnel.

 

[FW_A] ip route-static 192.168.2.0 24 Tunnel 1

 

Para configurar el enrutamiento estático en FW _ B configure el siguiente salto para la ruta the a la red privada de la organización de la sucursal como interfaz de túnel.

 

[FW_B] ip route-static 192.168.1.0 24 Tunnel 1

 

Enrutamiento dinámico

 

Para configurar OSPF en FW _ A transmite los segmentos de red para la red privada de la organización de la sucursal y la interfaz de túnel en OSPF.

 

[FW_A] ospf 1

[FW_A-ospf-1] area 0

[FW_A-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255

[FW_A-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

 

Para configurar OSPF en FW _ B transmite los segmentos de red para la red privada de HQ y la interfaz de túnel en OSPF.

 

[FW_B] ospf 1

[FW_B-ospf-1] area 0

[FW_B-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255

[FW_B-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

 

Después de la configuración completa, FW_A y FW_B aprenderán las rutas a los segmentos de red privada de cada uno.

 

Si la interfaz de red pública correspondiente al túnel GRE utiliza OSPF para transmitir rutas, necesitamos utilizar un nuevo proceso OSPF para transmitir los segmentos de red para la red privada y la interfaz de túnel, para evitar que los paquetes de red privados sean reenviados directamente a través de la interfaz de red pública en lugar de ser reenviados a través del túnel GRE.

 

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje