[Dr.WoW] [No.24] GRE-partie 1

3 0 0 0

Pour discuter du GRE, nous devons d’abord nous recentrer sur le passé, il ya 20 ans, et examiner certains des événements survenus à cette époque. À cette époque, Internet avait déjà commencé à se développer rapidement et Internet connectait de plus en plus de ressources, ce qui rendait le contact entre les personnes plus rapide et plus pratique, ce qui était certainement un motif de célébration. Cependant, le monde en ligne, apparemment harmonieux, était également rempli de nombreuses sources d'inquiétude. La vie est souvent comme cela: les sources de bonheur des gens ont tendance à être sensiblement les mêmes, mais leurs sources de misère varient considérablement. Après avoir été connectés à Internet, les réseaux privés ont été confrontés aux problèmes suivants:

l   Il était impossible pour les réseaux dotés d'adresses IP privées de se connecter directement les uns aux autres via Internet.

Pas besoin d'en dire beaucoup sur ce point -- tous les réseaux privés utilisent des adresses privées, tandis que les paquets envoyés sur Internet doivent utiliser des adresses publiques. Ceci est illustré à la figure 1-1.

Figure 1-1 Les réseaux IP privés ne peuvent pas se connecter directement via Internet.


5588bcc3dde4a.png 

l  Différents types de réseaux (IPX, AppleTalk) ne peuvent pas communiquer directement les uns avec les autres via Internet.

Ce mal de tête est provoqué par un «défaut de naissance» logique, étant donné qu'IPX et IP ne sont pas du même type de protocole Internet et que les réseaux IP ne transmettent pas de paquets IPX. Ceci est illustré à la figure 1-2.

Figure 1-2 Différents types de réseaux (IPX, AppleTalk) ne peuvent pas communiquer directement les uns avec les autres via Internet


5588bcd6df9b3.png 

Il y a beaucoup d'autres histoires similaires provoquant des larmes, et je n'entrerai pas dans les détails, mais ces maux de tête ont finalement coagulé et se sont transformés en une énorme impulsion qui a poussé les ingénieurs réseau à se creuser les méninges pour trouver une solution. Enfin, en 1994, le Generic Routing Encapsulation (GRE) (RFC 1701 et RFC 1702) a vu le jour.

La création de GRE garantit que les maux de tête susmentionnés ne se produiront plus aujourd'hui. Maintenant, je suis sûr que tout le monde se dit: "Quelles méthodes le GRE utilise-t-il exactement pour résoudre toutes ces difficultés? En fait, cela est très facile à expliquer. GRE utilise la technologie" alter ego "très répandue de nos jours - si les paquets envoyés par les réseaux privés ne peuvent pas être transmis sur Internet pour diverses raisons, pourquoi ne pas donner à ces paquets une "alter ego" reconnaissable par Internet, puis les transmettre sur Internet? Cela fonctionne car Internet ne reconnaît que l'alter-ego, pas la personne derrière.Le terme de réseau pour ce type d'alter-ego est "encapsulation".

1 GRE Encapsulation/Décapsulation

Tout type d'éléments structurels de base de la technologie d'encapsulation de réseau peut être divisé en trois parties (protocoles de passager, protocoles d'encapsulation et protocoles de transport), et le GRE ne fait pas exception. Ci-dessous, je vais utiliser une comparaison avec le système postal pour nous aider à comprendre la technologie d'encapsulation.

l  Protocoles passagers

Les protocoles passagers sont les lettres que nous écrivons. Ces lettres peuvent être écrites en chinois, anglais, français, etc., l'auteur et le lecteur étant eux-mêmes responsables du contenu spécifique de la lettre.

l  Protocoles d'encapsulation

Les protocoles d'encapsulation peuvent être comparés à différents types de courrier: le courrier peut être envoyé par courrier ordinaire, courrier recommandé ou EMS. Différents types de courrier correspondent à différents protocoles d'encapsulation.

l  Protocoles de transport

Les protocoles de transport sont le mode de transport d'une lettre; cela pourrait être par voie terrestre, maritime ou aérienne. Différents modes de transport correspondent à différents protocoles de transport.

Maintenant que nous avons compris la métaphore ci-dessus, nous pouvons examiner de nouveau les protocoles utilisés dans GRE, comme illustré à la figure 1-3.

Figure 1-3 Protocole GRE


5588bcec4561b.png 

La figure nous permet de voir clairement que les protocoles que GRE peut transporter comprennent les protocoles IP et IPX, et que le protocole de transport utilisé par GRE est le protocole IP.

Maintenant que nous avons appris les concepts de base de GRE, examinons maintenant les principes de son encapsulation. Dans la Figure 1-4, nous avons utilisé le protocole IP comme protocole de passager, de sorte que le résultat final de l'encapsulation est un paquet IP encapsulant un paquet IP.

Figure 1-4 Encapsulation de paquets GRE

5588bcff67e24.png

 

Le processus d'encapsulation GRE est composé de deux étapes. La première étape consiste à ajouter un en-tête GRE à l'avant du paquet d'origine du réseau privé. La deuxième étape consiste à ajouter un nouvel en-tête IP devant cet en-tête GRE, l'adresse IP dans le nouvel en-tête IP étant l'adresse du réseau public. L'ajout du nouvel en-tête IP signifie que le paquet de ce réseau privé, encapsulé couche par couche, peut maintenant être transmis sur Internet.

Sur les pare-feu, les opérations d’encapsulation sont réalisées à l’aide d’une interface logique, la fameuse interface de tunnel. A partir du mot tunnel, nous pouvons voir que cette interface logique est créée pour le tunneling. Les informations sur l'adresse source et l'adresse de destination pour le nouvel en-tête IP se trouvent sur l'interface de tunnel. Après qu'un paquet ait pénétré dans l'interface de tunnel, le pare-feu encapsulera un en-tête GRE et un en-tête IP dans le paquet.

Alors, comment un pare-feu envoie-t-il un paquet à l'interface de tunnel? Ceci est réalisé via le routage et les pare-feu prennent en charge deux méthodes:

l Routage statique

Cela concerne les pare-feu situés aux deux extrémités du tunnel GRE qui configurent le routage statique vers et depuis les segments de réseau privé respectifs. Le saut suivant est défini sur l'adresse IP de l'interface de tunnel du terminal, qui est l'interface de tunnel d'envoi.

l Routage dynamique

La configuration du routage dynamique (tel que OSPF) sur les pare-feu situés aux deux extrémités du tunnel GRE implique la diffusion des adresses de leurs segments de réseau privé et de leurs interfaces de tunnel, de sorte que les deux pare-feu apprennent des itinéraires entre leurs segments de réseau privé respectifs. Le saut suivant est l'adresse IP de l'interface de tunnel de l'autre pare-feu et l'interface d'envoi est l'interface de tunnel du pare-feu d'envoi.

Quel que soit le type de routage utilisé, l'objectif final est de générer des routes pour les segments de réseau privé correspondants sur les tables de routage des pare-feu, et d'utiliser ces routes pour guider les paquets dans l'interface de tunnel pour l'encapsulation.

La figure 1-5 illustre le processus par lequel les pare-feu encapsulent, décapsulent et transfèrent les paquets du réseau privé.

Figure 1-5 Processus d'envoi de paquets GRE


5588bd0dbc68b.png 

Lorsque PC_A cherche à accéder à PC_B via un tunnel GRE, le processus de transmission de paquets par FW_A et FW_B est le suivant:

1. Après que les paquets d'origine de PC_A accédant à PC_B entrent dans FW_A, la table de routage est d'abord vérifiée pour une correspondance.

2. FW_A envoie ensuite le paquet à l'interface de tunnel pour l'encapsulation GRE en fonction des résultats de la vérification de l'itinéraire, où un en-tête GRE et un nouvel en-tête IP de couche externe sont ajoutés.

3. FW_A vérifie ensuite à nouveau la table de routage en utilisant l'adresse de destination du nouvel en-tête IP du paquet encapsulé.

4. FW__A envoie le paquet à FW_B en fonction des résultats de la vérification de l'itinéraire. Dans la figure ci-dessus, on suppose que l'adresse de saut suivant trouvée par FW_A pour FW_B est 1.1.1.2.

5. Une fois que le paquet a été reçu, FW_B doit d'abord déterminer si ce paquet est un paquet GRE ou non.

Comment cela peut-il être déduit? Nous avons constaté qu'au cours du processus d'encapsulation, le paquet GRE encapsulé avait un nouvel en-tête IP. Ce nouvel en-tête IP comprend un segment de protocole, qui marque la classe du protocole de la couche interne. Si la valeur de ce segment de protocole est 47, cela signifie que le paquet est un paquet GRE.

6. Si un paquet reçu par FW_B est un paquet GRE, le paquet sera envoyé à l'interface de tunnel pour la décapsulation, où l'en-tête IP de la couche externe et l'en-tête GRE seront supprimés, restaurant le paquet d'origine.

7. FW_B vérifiera à nouveau la table de routage en fonction de l'adresse de destination du paquet d'origine, puis enverra le paquet à PC__B en utilisant le résultat de routage correspondant.

Il s’agit du processus complet de la manière dont les pare-feu effectuent l’encapsulation / décapsulation GRE et le transfert des paquets du réseau privé. Assez simple, hein!?

2 Configuration des paramètres GRE de base

Nous avons abordé ci-dessus les processus de tunnelisation, d’encapsulation et de décapsulation des paquets de réseau privé d’un point de vue théorique. Mais je parie que tout le monde est plus intéressé par la configuration du tunnel GRE sur les pare-feu, n'est-ce pas? Ci-dessous, nous allons utiliser la figure 1-6 pour expliquer les méthodes de configuration du tunnel GRE.

Figure 1-6 Organisation du réseau GRE VPN


5588bd1ba8655.png 

La configuration du tunnel GRE est très simple et peut être divisée en deux étapes.

  1. Configurez l'interface de tunnel.

Configurez les paramètres d'encapsulation de l'interface de tunnel de FW_A.

[FW_A] interface Tunnel 1

[FW_A-Tunnel1] ip address 10.1.1.1 24

[FW_A-Tunnel1] tunnel-protocol gre

[FW_A-Tunnel1] source 1.1.1.1

[FW_A-Tunnel1] destination 2.2.2.2

[FW_A-Tunnel1] quit

Ajoutez l'interface de tunnel de FW_A à une zone de sécurité. L'interface de tunnel peut être ajoutée sur une zone de sécurité quelconque; Ici, nous avons ajouté l'interface de tunnel à la zone DMZ.

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface Tunnel 1

[FW_A-zone-dmz] quit

Configurez les paramètres d'encapsulation de l'interface de tunnel de FW_B.

[FW_B] interface Tunnel 1

[FW_B-Tunnel1] ip address 10.1.1.2 24

[FW_B-Tunnel1] tunnel-protocol gre

[FW_B-Tunnel1] source 2.2.2.2

[FW_B-Tunnel1] destination 1.1.1.1

[FW_B-Tunnel1] quit

Ajoutez l'interface de tunnel de FW_B à une zone de sécurité. Comme avec FW_A, nous avons ajouté l'interface de tunnel à la zone DMZ.

[FW_B] firewall zone dmz

[FW_B-zone-dmz] add interface Tunnel 1

[FW_B-zone-dmz] quit

Lors de la configuration des paramètres d'encapsulation pour les interfaces de tunnel, nous avons d'abord défini le type d'encapsulation des interfaces de tunnel sur GRE, puis nous avons désigné les adresses de source et de destination du tunnel GRE. Ces étapes semblent très simples, mais bien que peu nombreuses, elles jouent un rôle décisif pour permettre aux interfaces de tunnel de compléter l’encapsulation de paquets GRE:

? Cette première stipulait que les interfaces de tunnel devaient encapsuler les en-têtes GRE.

? Ensuite, cela stipulait les adresses de source et de destination du nouvel en-tête IP, qui ne sont en fait que les adresses IP des interfaces de réseau public des pare-feu situés aux deux extrémités du tunnel GRE.

Ces deux points sont théoriquement identiques à l’encapsulation de paquets GRE et sont relativement faciles à comprendre. Cependant, je pense que tout le monde peut maintenant avoir les idées suivantes sur les propriétés des interfaces de tunnel elles-mêmes:

? Est-il nécessaire de configurer des adresses IP pour les interfaces de tunnel?

? Les adresses IP des interfaces de tunnel appartenant aux pare-feu situés aux deux extrémités du tunnel sont-elles liées?

? Les interfaces de tunnel utilisent-elles des adresses IP de réseau public ou privé?

Il est nécessaire de configurer les adresses IP pour les interfaces de tunnel. Si les adresses IP ne sont pas configurées, il est impossible que les interfaces de tunnel soient à l'état UP. Deuxièmement, en ce qui concerne le processus d’encapsulation GRE, les adresses IP des interfaces de tunnel ne participent pas à l’encapsulation de paquets. Il n’ya donc pas de relation entre les adresses IP des interfaces de tunnel appartenant aux pare-feu de chacun des tunnels; chacun peut être configuré séparément. Enfin, étant donné que les interfaces de tunnel ne participent pas à l’encapsulation, il n’est pas nécessaire d’utiliser une adresse de réseau public et la configuration d’une adresse IP de réseau privé convient parfaitement.

2. Configuration du routage ― guider les paquets nécessitant une encapsulation GRE vers l'interface de tunnel.

J'ai déjà mentionné ci-dessus que les pare-feu prennent en charge le routage statique et dynamique, et que l'une ou l'autre de ces méthodes peut être choisie.

Routage statique

Pour configurer le routage statique sur FW_A, définissez le prochain bond de la route vers le réseau privé du siège comme interface de tunnel.

[FW_A] ip route-static 192.168.2.0 24 Tunnel 1

Pour configurer le routage statique sur FW_B, définissez le prochain bond de la route vers le réseau privé de l'organisation de branche en tant qu'interface de tunnel.

[FW_B] ip route-static 192.168.1.0 24 Tunnel 1

Routage dynamique

Pour configurer OSPF sur FW_A, diffusez les segments du réseau privé de l'entreprise et de l'interface de tunnel dans OSPF.

[FW_A] ospf 1

[FW_A-ospf-1] area 0

[FW_A-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255

[FW_A-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

Pour configurer OSPF sur FW_B, diffusez les segments du réseau privé du siège et l'interface de tunnel dans OSPF.

[FW_B] ospf 1

[FW_B-ospf-1] area 0

[FW_B-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255

[FW_B-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

Une fois la configuration terminée, FW_A et FW_B apprendront les itinéraires vers les segments de réseau privé respectifs.

Un point doit être pris en compte: lors de l’utilisation de la méthode de routage dynamique OSPF, si l’interface réseau publique correspondant au tunnel GRE utilise également OSPF pour diffuser des itinéraires, nous devons utiliser un nouveau processus OSPF pour diffuser les segments de réseau pour le réseau privé et l’interface du tunnel, afin d’éviter que les paquets du réseau privé soient directement transmis par l’interface du réseau public plutôt que par le tunnel GRE.


Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page