Machine Translated by Google

Chapitre 3 : Tunnels superposés

Machine Translated by Google

Chapitre 3 Contenu
Ce chapitre couvre le contenu suivant :

Tunnels d'encapsulation de routage générique (GRE) ­ Cette section explique GRE et comment
configurer et vérifier les tunnels GRE.

Principes fondamentaux d'IPsec ­ Cette section explique les principes fondamentaux d'IPsec et comment le configurer
et vérifier IPsec.

Protocole de séparation d'emplacement/d'ID Cisco (LISP) ­ Cette section décrit l'architecture,

protocoles et fonctionnement de LISP.

Réseau local extensible virtuel (VXLAN) ­ Cette section décrit VXLAN comme un protocole de plan
de données ouvert pour fonctionner avec n'importe quel protocole de plan de contrôle.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 2
Machine Translated by Google

Routage générique
Tunnels d'encapsulation (GRE)
• GRE est un protocole de tunneling qui fournit une connectivité à une grande variété de réseaux.
protocoles de couche en encapsulant et en transmettant des paquets sur un réseau IP.
• GRE peut être utilisé pour canaliser le trafic à travers un pare­feu ou une ACL ou pour
connecter des réseaux non contigus.
• L’application la plus importante des tunnels GRE est qu’ils peuvent être utilisés pour créer
VPN.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 3
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

En­têtes de paquets GRE
• Lorsqu'un routeur encapsule un paquet pour un tunnel GRE, il ajoute de nouvelles informations d'en­tête
(appelé encapsulation) au paquet. Ce nouvel en­tête contient l'adresse IP du point de terminaison distant comme destination.

• Les nouvelles informations d'en­tête IP permettent au paquet d'être acheminé entre les deux tunnels
points de terminaison sans inspection de la charge utile du paquet.

• Lorsque le paquet atteint le point de terminaison du tunnel distant, les en­têtes GRE sont supprimés (connus
(comme la désencapsulation) et le paquet d'origine est transmis hors du routeur.

La figure 16­1 illustre un paquet IP avant et après

encapsulation GRE.
Les tunnels GRE prennent en charge les
adresses IPv4 ou IPv6 en tant que réseau sous­
jacent ou superposé.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 4
Tunnels d'encapsulation de routage générique (GRE)
Machine Translated by Google

Configuration du tunnel GRE

La figure 16­2 illustre une topologie où R1 et R2 utilisent leurs routeurs ISP respectifs comme
leurs passerelles par défaut pour accéder à Internet. L'exemple 16­1 montre la table de routage sur R1.

Figure 16­2 Topologie du tunnel GRE

Exemple 16­1 Table de routage de R1 sans

Tunnel GRE

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 5
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Configuration du tunnel GRE (suite)
Les étapes de configuration des tunnels GRE sont les suivantes :

Étape 1. Créez l’interface du tunnel à l’aide de la commande de configuration globale

tunnel d'interface numéro de tunnel.

Étape 2. Identifiez la source locale du tunnel à l'aide du paramètre d'interface

source du tunnel de commande {adresse IP | ID d'interface}. La source du tunnel peut être une
interface physique ou une interface de bouclage.

Étape 3. Identifiez l'adresse IP de destination distante à l'aide du paramètre d'interface

adresse IP de destination du tunnel de commande .
Étape 4. Attribuez une adresse IP à l’interface du tunnel à l’aide de la commande ip address ip­
address subnet­mask.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 6
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Configuration du tunnel GRE (suite)
Étapes de configuration GRE facultatives :
Étape 5. (Facultatif) Définissez la bande passante du tunnel à utiliser par QoS ou pour le routage
Mesures du protocole. La bande passante est définie avec la commande de paramètre
d'interface bandwidth [1­10000000], qui est mesurée en kilobits par seconde.
Étape 6. (Facultatif) Spécifiez un tunnel GRE keepalive avec la commande de paramètre d'interface
keepalive [seconds [retries]]. Le temporisateur par défaut est de 10 secondes, avec trois
tentatives. Les keepalives de tunnel garantissent qu'une communication bidirectionnelle
existe entre les points de terminaison du tunnel pour maintenir le protocole de ligne actif.
Étape 7. (Facultatif) Définissez l'unité de transmission maximale IP (MTU) pour le
Interface de tunnel. La spécification de l'IP MTU sur l'interface de tunnel permet au routeur
d'effectuer la fragmentation avant que l'hôte ne doive détecter et spécifier l'IP MTU du
paquet. L'IP MTU est configurée avec la commande de paramètre d'interface ip mtu mtu.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 7
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Configuration du tunnel GRE (suite)
L'exemple 16­2 fournit une configuration de
tunnel GRE pour R1 et R2, en suivant les étapes
de configuration GRE répertoriées précédemment.

Avec cette configuration, R1 et R2 deviennent

des voisins OSPF directs sur le tunnel GRE et
apprennent les itinéraires de chacun.

Exemple 16­2 Configuration de GRE

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 8
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Vérification du tunnel GRE
L'état du tunnel GRE peut être vérifié avec la commande show interface tunnel number.
L'exemple 16­3 montre la sortie de cette commande.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 9
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Vérification du tunnel GRE (suite)
Les commandes supplémentaires permettant de vérifier l'état d'un tunnel GRE incluent show
ip route et traceroute. Les exemples 16­4 et 16­5 montrent la sortie de ces commandes
lorsque le tunnel GRE est actif.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 10
Machine Translated by Google

Tunnels d'encapsulation de routage générique (GRE)

Problèmes avec les réseaux superposés

Le routage récursif et la sélection de l’interface sortante sont deux problèmes

courants avec les réseaux tunnel ou superposés.
• Le routage récursif peut se produire lorsque le réseau de transport est annoncé dans le
même protocole de routage qui s'exécute sur le réseau superposé.

• Les routeurs détectent les itinéraires récursifs et génèrent des messages syslog.

• Les problèmes de routage récursif sont résolus en empêchant la publication de l’adresse du

point de terminaison du tunnel sur l’ensemble du réseau de tunnels.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 11
Machine Translated by Google

Notions de base sur IPsec

• IPsec est un cadre de normes ouvertes pour la création de réseaux privés virtuels (VPN) hautement
sécurisés.
• IPsec fournit des services de sécurité tels que l'authentification par les pairs, la confidentialité des données,
intégrité et détection de relecture.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 12
 Notions de base sur IPsec
Machine Translated by Google

Services de sécurité IPSec

Tableau 16­3 Services de sécurité IPsec
Description du service de sécurité Méthodes utilisées

Vérifie l’identité du pair VPN via l’authentification. • Clé pré­partagée (PSK)

Authentification par les pairs • Certificats numériques

Protège les données contre les écoutes clandestines • Norme de chiffrement des données (DES)
attaques par algorithmes de chiffrement. • Triple
Confidentialité des données DES (3DES)
Transforme le texte en clair en texte chiffré •
texte chiffré. Advanced Encryption Standard (AES)
L'utilisation de DES et 3DES n'est pas recommandée.

Intégrité des données Empêche les attaques de type « man­in­the­ Code d'authentification de message de hachage (HMAC) : •
middle » (MitM) en garantissant que les données Algorithme Message Digest 5 (MD5)
n'ont pas été falsifiées au cours de leur transmission.
transit sur un réseau non sécurisé. • Algorithme de hachage sécurisé (SHA­1)
L'utilisation de MD5 n'est pas recommandée.

Détection de relecture Empêche les attaques MitM où un attaquant Chaque paquet est marqué d'un numéro de séquence unique. Un
capture le trafic VPN périphérique VPN conserve la trace du numéro de séquence et
et le rejoue vers un homologue VPN avec n'accepte pas un paquet portant un numéro de séquence
l'intention de construire un tunnel VPN qu'il a déjà traité.
illégitime.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 13
Machine Translated by Google

Notions de base sur IPsec

En­têtes de paquets IPSec

IPsec utilise deux en­têtes de paquet différents pour assurer la sécurité : • En­tête

d'authentification ­ L'en­tête d'authentification garantit que le paquet de données d'origine (avant l'encapsulation)
n'a pas été modifié pendant le transport sur le réseau public. L'en­tête d'authentification ne prend pas en charge
le chiffrement et n'est pas recommandé, sauf si l'authentification est la seule chose souhaitée.

• Encapsulation de la charge utile de sécurité (ESP) ­ L'ESP garantit la charge utile de sécurité d'origine
La charge utile (avant l'encapsulation) maintient la confidentialité des données en cryptant la
charge utile et en ajoutant un nouvel ensemble d'en­têtes pendant le transport sur un réseau public.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 14
Machine Translated by Google

Notions de base sur IPsec

Transport de paquets IPSec

Le protocole IPsec traditionnel fournit deux modes de transport de paquets :

• Mode tunnel ­ Chiffre l'intégralité du paquet d'origine et ajoute un nouvel ensemble d'en­têtes IPsec . Ces
nouveaux en­têtes sont utilisés pour acheminer le paquet et fournissent également des fonctions de
superposition.

• Mode de transport ­ Crypte et

authentifie uniquement la charge utile du paquet.
Ce mode ne fournit pas de fonctions de
superposition ni d'itinéraires basés sur les
en­têtes IP d'origine.

La figure 16­3 montre un paquet d’origine, un paquet

IPsec en mode transport et un paquet IPsec en
mode tunnel.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 15
Machine Translated by Google

Notions de base sur IPsec

Cryptage, hachage et clé IPSec

IPsec prend en charge les méthodes de chiffrement, de hachage et de création de clés pour fournir des services de sécurité :
• Data Encryption Standard (DES) ­ Un algorithme de chiffrement de données symétrique 56 bits qui peut chiffrer les données
envoyées via un VPN. Cet algorithme est très faible et doit être évité.

• Triple DES (3DES) ­ Un algorithme de cryptage de données qui exécute l'algorithme DES trois
fois avec trois clés 56 bits différentes. L'utilisation de cet algorithme n'est plus recommandée.
Il est préférable d’utiliser plutôt le protocole AES, plus avancé et plus efficace.
• Advanced Encryption Standard (AES) ­ Algorithme de chiffrement symétrique utilisé pour le
chiffrement des données, développé pour remplacer DES et 3DES. AES prend en charge
des longueurs de clé de 128 bits, 192 bits ou 256 bits et est basé sur l'algorithme de Rijndael.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 16
Machine Translated by Google

Notions de base sur IPsec

Chiffrement, hachage et clé IPSec (suite)
• Message Digest 5 (MD5) ­ Un algorithme de hachage unidirectionnel de 128 bits utilisé pour les données
Authentification. Les appareils Cisco utilisent MD5 HMAC, qui offre un niveau de protection supplémentaire
contre les attaques MitM. L'utilisation de cet algorithme n'est plus recommandée et il convient d'utiliser SHA à la
place.
• Algorithme de hachage sécurisé (SHA) : algorithme de hachage unidirectionnel de 160 bits utilisé pour
l'authentification des données. Les périphériques Cisco utilisent le HMAC SHA­1, qui offre une protection
supplémentaire contre les attaques MitM.
• Diffie­Hellman (DH) ­ Un protocole d'échange de clés asymétrique qui permet à deux homologues d'établir une clé
secrète partagée utilisée par des algorithmes de chiffrement tels que AES sur un canal de communication
non sécurisé. • Signatures RSA ­ Un système
cryptographique à clé publique (certificats numériques) utilisé pour
authentifier mutuellement les pairs.
• Clé pré­partagée ­ Un mécanisme de sécurité dans lequel une clé configurée localement est utilisée comme
identifiant pour authentifier mutuellement les pairs

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 17
Machine Translated by Google

Notions de base sur IPsec

Ensembles de transformation

Un ensemble de transformations est une combinaison de protocoles et d'algorithmes de sécurité. Lors de la négociation de l'association
de sécurité IPsec, les homologues conviennent d'utiliser un ensemble de transformations particulier pour protéger un flux de données
particulier.
Type de transformation Transformer Description

En­tête d'authentification ah­md5­hmac En­tête d'authentification avec l' algorithme

transformer (un seul autorisé) d'authentification MD5 (non

recommandé)
ah­sha­hmac En­tête d'authentification avec l'algorithme
d'authentification SHA
ah­sha256­hmac En­tête d'authentification avec 256 bits
Algorithme d'authentification AES
ah­sha384­hmac En­tête d'authentification avec 384 bits
Algorithme d'authentification AES
ah­sha512­hmac En­tête d'authentification avec 512 bits
Algorithme d'authentification AES
Tableau 16­4 Combinaisons d'ensembles de transformations autorisées
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 18
Machine Translated by Google

Notions de base sur IPsec

Ensembles de transformation (suite)

Type de transformation Transformer Description

Transformation de esp­aes ESP avec l'algorithme de cryptage AES 128 bits

cryptage ES ESP (une
esp­gcm ESP avec un algorithme de cryptage 128 bits (par défaut)
seule autorisée)
esp­gmac ou 256 bits

esp­aes 192 ESP avec l'algorithme de cryptage AES 192 bits

esp­aes 256 ESP avec l'algorithme de cryptage AES 256 bits

esp­des ESP avec cryptage DES 56 bits et 168 bits (plus recommandé)
esp­3des
esp­null Algorithme de chiffrement nul

joint esp ESP avec l'algorithme de cryptage SEAL 160 bits

Tableau 16­4 Combinaisons d'ensembles de transformations autorisées

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 19
Machine Translated by Google

Notions de base sur IPsec

Ensembles de transformation (suite)

Type de transformation Transformation Description

Transformation d'authentification ESP esp­ ESP avec l' algorithme d'authentification
md5­hmac (une seule MD5 (variante HMAC) (plus recommandé)
autorisée)
esp­sha­hmac ESP avec l'algorithme d'authentification
SHA (variante HMAC)
Transformation de comp­lzs Compression IP avec Lempel­Ziv­
compression IP Algorithme Stac (LZS)
Tableau 16­4 Combinaisons d'ensembles de transformations autorisées

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 20
Machine Translated by Google

Notions de base sur IPsec

Échange de clés sur Internet

• Internet Key Exchange (IKE) est un protocole qui effectue l'authentification entre deux points
de terminaison pour établir des associations de sécurité (SA), également appelées tunnels
IKE.

• Il existe deux versions d'IKE : IKEv1 (spécifié dans la RFC 2409) et IKEv2 (spécifié
dans la RFC 7296).
• Le protocole ISAKMP (Internet Security Association Key Management Protocol) est un cadre
d'authentification et d'échange de clés entre deux homologues pour établir, modifier et
supprimer les SA.
• Pour les plates­formes Cisco, IKE est analogue à ISAKMP, et les deux termes
sont utilisés de manière interchangeable.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 21
Machine Translated by Google

Notions de base sur IPsec

Échange de clés Internet (suite)
IKEv1 définit deux phases de négociation de clé pour IKE et IPsec
Établissement SA :
• Phase 1 ­ Établit une SA bidirectionnelle entre deux IKE
homologues, connus sous le nom d' association de sécurité ISAKMP. Étant donné que
l'association de sécurité est bidirectionnelle, une fois établie, l'un ou l'autre des homologues peut
entamer des négociations pour la phase 2.

• Phase 2 ­ Établit des SA IPsec unidirectionnelles, en exploitant la SA

ISAKMP établie dans la phase 1 pour la négociation.
La négociation de phase 1 peut se dérouler en mode principal (MM) ou
en mode agressif (AM). Le pair qui lance le processus de négociation
SA est appelé initiateur et l'autre pair est appelé répondeur.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 22
Machine Translated by Google

Notions de base sur IPsec

Modes de négociation de la phase 1 d'IKE

Le mode principal (MM) se compose de six échanges de messages et protège les

informations pendant la négociation afin de ne pas les exposer aux
écoutes clandestines.
Les six échanges de messages MM :
• MM1 ­ Premier message contenant les propositions SA.
• MM2 ­ Envoyé par le répondant avec la proposition SA correspondante.

• MM3 ­ L'initiateur démarre l'échange de clés DH.

• MM4 ­ Le répondeur envoie sa propre clé à l'initiateur.
• MM5 ­ L'initiateur démarre l'authentification en envoyant à l'homologue son adresse IP.
• MM6 ­ Le répondeur renvoie un paquet similaire et authentifie la session. À ce
stade, la SA ISAKMP est établie.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 23
Machine Translated by Google

Notions de base sur IPsec

Modes de négociation IKE Phase 1 (suite)

Le mode agressif (AM) consiste en un échange de trois messages et prend moins de

temps pour négocier les clés entre homologues. Cependant, il n'offre pas le même
niveau de sécurité de chiffrement que la négociation MM, et les identités des deux
homologues essayant d'établir une association de sécurité sont exposées à l'écoute
clandestine. Voici les trois messages du mode agressif :
• AM1 ­ Dans ce message, l'initiateur envoie toutes les informations contenues
dans MM1 via MM3 et MM5.
• AM2 ­ Ce message envoie toutes les mêmes informations contenues dans MM2, MM4,
et MM6.
• AM3 ­ Ce message envoie l'authentification contenue dans MM5.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 24
Machine Translated by Google

Notions de base sur IPsec

Mise en place de la session IKE Phase 2
La phase 2 utilise la SA IKE bidirectionnelle existante pour échanger des messages de manière sécurisée afin
d'établir une ou plusieurs SA IPsec entre les deux homologues. La méthode utilisée pour établir la SA IPsec est
connue sous le nom de mode rapide (QM). Le mode rapide utilise un échange de trois messages :
• QM1 ­ L'initiateur (qui peut être l'un ou l'autre des homologues) peut démarrer plusieurs SA IPsec dans un seul
message d'échange. Ce message inclut les algorithmes convenus pour le chiffrement et l'intégrité décidés dans
le cadre de la phase 1, ainsi que le trafic à chiffrer ou à sécuriser.
• QM2 ­ Ce message du répondeur possède des paramètres IPsec correspondants.
• QM3 ­ Après ce message, il devrait y avoir deux SA IPsec unidirectionnelles entre les deux
pairs.
Perfect Forward Secrecy (PFS) est une fonction supplémentaire pour la phase 2 qui est
recommandée mais facultative car elle nécessite des échanges DH supplémentaires qui consomment des cycles
CPU supplémentaires. L'objectif de cette fonction est de créer une plus grande résistance aux attaques
cryptographiques et de maintenir la confidentialité des tunnels IPsec en dérivant des clés de session indépendamment
de toute clé précédente.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 25
Machine Translated by Google

Notions de base sur IPsec

IKEv2
IKEv2 est une évolution d'IKEv1 qui inclut de nombreux changements et améliorations. Dans IKEv2, les
communications se composent de paires de requêtes et de réponses appelées échanges et sont parfois
simplement appelées paires requête/réponse.
1. IKE_SA_INIT négocie des algorithmes cryptographiques, échange des nonces et effectue un échange
DH. Cet échange unique est équivalent aux deux premières paires de messages MM1 à MM4
d'IKEv1.
2. IKE_AUTH authentifie les messages précédents et échange les identités et les certificats. Il établit ensuite
une SA IKE et une SA enfant (la SA IPsec). Cela équivaut aux MM5 à MM6 d'IKEv1 ainsi qu'à QM1 et
QM2.
Il faut un total de quatre messages pour faire apparaître l'association de sécurité IKE bidirectionnelle
et les associations de sécurité IPsec unidirectionnelles, contre six avec le mode agressif IKEv1 ou neuf
avec le mode principal.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 26
Notions de base sur IPsec
Machine Translated by Google

Différences entre IKEv1 et IKEv2

IKEv1 IKEv2
Modes d'échange
Mode principal Initialisation de l'association de sécurité IKE (SA_INIT)

Mode agressif Authentification IKE

Mode rapide CREER_ENFANT_SA

Nombre minimum de messages nécessaires pour établir des SA IPsec

Neuf avec mode principal Quatre

Six avec mode agressif

Méthodes d'authentification prises en charge

Clé pré­partagée (PSK) Clé pré­partagée (RSA­

SIG)
Certificat RSA numérique (RSA­SIG)
Certificat de signature numérique à courbe elliptique (ECDSA­SIG)
Clé publique L'authentification asymétrique est prise en charge. La méthode
d'authentification peut être spécifiée lors de l'échange IKE_AUTH.
Les deux homologues doivent utiliser la même méthode
d'authentification
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 27
Notions de base sur IPsec
Machine Translated by Google

Différences entre IKEv1 et IKEv2 (suite)

IKEv1 IKEv2

Chiffrement de nouvelle génération (NGE)

Non pris en charge. Mode AES­GCM (Galois/Mode Compteur)

SHA­256
SHA­384
SHA­512
HMAC­SHA­256
Courbe elliptique Diffie­Hellman (ECDH)
ECDH­384
ECDSA­384
Protection contre les attaques

Protection MitM Protection MitM

Protection contre les écoutes clandestines Protection contre les écoutes clandestines
Protection anti­DoS
Tableau 16­5 Principales différences entre IKEv1 et IKEv2
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 28
Machine Translated by Google

Notions de base sur IPsec

Solutions VPN IPsec

Solutions VPN IPsec de Cisco :
• VPN IPsec site à site (LAN à LAN) ­ Les VPN IPsec site à site sont la solution la plus polyvalente pour le cryptage site à site, car
ils sont la seule solution à permettre l'interopérabilité multifournisseur.
Difficile à gérer dans les grands réseaux.
• Cisco Dynamic Multipoint VPN (DMVPN) ­ Simplifie la configuration des VPN en étoile et en étoile dans
les réseaux Cisco. Pour ce faire, il combine des tunnels GRE multipoint (mGRE), IPsec et Next Hop
Resolution Protocol (NHRP).
• Cisco Group Encrypted Transport VPN (GET VPN) ­ Développé spécifiquement pour les entreprises afin de créer des VPN sans
tunnel de type any­to­any (où l'en­tête IP d'origine est utilisé) sur les réseaux MPLS des fournisseurs de services ou les
WAN privés. Fournit un chiffrement sur les réseaux privés qui répond aux directives de conformité réglementaire. • Cisco
FlexVPN ­ FlexVPN est
l'implémentation de la norme IKEv2 par Cisco, avec une solution VPN unifiée qui combine les topologies de site à site, d'accès à
distance, de hub­and­spoke et de maillages partiels (direct spoke­to­spoke). Reste compatible avec les implémentations
VPN existantes utilisant des cartes de chiffrement.
• Accès VPN à distance ­ L'accès VPN à distance permet aux utilisateurs distants de se connecter en toute sécurité à un réseau
d'entreprise via VPN. Il est pris en charge sur iOS avec FlexVPN (IKEv2 uniquement) et sur les pare­feu ASA 5500­X et
FirePOWER.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 29
Notions de base sur IPsec
Machine Translated by Google

Configuration des VPN IPsec

Même si les cartes cryptographiques ne sont plus recommandées pour les tunnels, elles sont encore largement déployées
et doivent être comprises. Les étapes à suivre pour activer IPsec sur GRE à l'aide de cartes cryptographiques sont les
suivantes :

• Étape 1. Configurez une liste de contrôle d'accès cryptographique pour classer le trafic VPN à l'aide de ces commandes :

liste d'accès IP étendue acl _name

autoriser l'hôte gre {IP source du tunnel} hôte {IP destination du tunnel}
• Étape 2. Configurez une stratégie ISAKMP pour IKE SA à l'aide de la commande crypto isakmp policy
priority. Dans le mode de configuration de la stratégie ISAKMP, le chiffrement, le hachage,
l'authentification et le groupe DH peuvent être spécifiés à l'aide des commandes suivantes :
cryptage {des | 3des | aes | aes 192 | aes 256} hachage {sha |
sha256 | sha384 | md5}
authentification {rsa­sig | rsa­encr | pre­share} groupe {1 | 2
| 5 | 14 | 15 | 16 | 19 | 20 | 24}
Le mot clé priority identifie de manière unique la politique IKE et attribue une priorité à la politique, où 1 est la
priorité la plus élevée.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 30
Machine Translated by Google
Notions de base sur IPsec

Configuration des VPN IPsec (suite)

• Étape 3. Configurez PSK à l'aide de la commande crypto isakmp key keystring address peer­ address [mask]. La chaîne de clés
doit correspondre sur les deux homologues. Pour peeraddress [mask], la valeur [Link] [Link] peut être utilisée pour
permettre une correspondance avec n'importe quel homologue.

• Étape 4. Créez un ensemble de transformations et entrez dans le mode de configuration de l'ensemble de transformations à
l'aide de la commande crypto ipsec transform­set transform­set­name transform1 [transform2 [transform3]]. En
mode de configuration de l'ensemble de transformations, entrez la commande mode [tunnel | transport] pour spécifier
les modes tunnel ou transport.

• Étape 5. Configurez une carte cryptographique et entrez en mode de configuration de la carte cryptographique à l'aide de l'
commande crypto map map­name seq­num [ipsec­isakmp]. En mode de configuration de la carte crypto , utilisez les
commandes suivantes pour spécifier l'ACL crypto à mettre en correspondance, l'homologue IPsec et les ensembles de
transformations à négocier : match address acl­
name

définir le pair {nom d'hôte | adresse IP}

définir transformer­set transformer­set­name1 [transform­setname2...transform­set­name6]
• Étape 6. Appliquez une carte cryptographique à l'interface externe en utilisant la commande crypto map map­
nom
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 31
Machine Translated by Google

Notions de base sur IPsec

Configuration du VPN site à site IPsec

L'exemple 16­7 montre un exemple de configuration pour un tunnel IPsec site à site utilisant GRE sur IPsec avec clé
pré­partagée.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 32
Notions de base sur IPsec
Machine Translated by Google

Vérification du VPN site à site

Les commandes qui peuvent fournir des informations pour vérifier le fonctionnement d'un VPN site à site
incluent :

• afficher l'interface tunnel100 | inclure le protocole Tunnel • afficher

l'adresse IP du voisin ospf • afficher
l'adresse IP ospf • afficher la
crypto isakmp sa • afficher la crypto
ipsec sa

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 33
Machine Translated by Google
Notions de base sur IPsec

Configuration du tunnel VTI sur site IPsec

L'exemple 16­9 montre les modifications de
configuration qui doivent être apportées à la
configuration GRE sur IPsec pour activer VTI sur IPsec.

Les mêmes commandes peuvent être utilisées pour

vérifier VTI sur IPsec comme avec le tunnel IPsec sur
GRE.

• afficher l'interface tunnel100 | inclure

Protocole de tunnel
• afficher l'adresse IP ospf du voisin
• afficher l'itinéraire IP ospf
• afficher crypto isakmp sa
• afficher le chiffrement ipsec sa
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 34
Machine Translated by Google

Localisation/ID Cisco
Protocole de séparation (LISP)
• La croissance rapide de la zone sans défaut (DFZ), également connue sous le nom de table de
routage Internet, a conduit au développement du protocole Cisco Location/ID Separation Protocol (LISP).
• LISP est une architecture de routage et un protocole de plan de données et de contrôle qui a été créé pour
résoudre les problèmes d’évolutivité du routage sur Internet.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 35
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Composants de l'architecture LISP

Composants clés de l’architecture LISP :

• Identifiant de point de terminaison (EID) : un EID est l'adresse IP d'un point de terminaison au sein d'un site LISP. Les EID sont les
mêmes adresses IP que celles utilisées aujourd'hui sur les points de terminaison (IPv4 ou IPv6) et fonctionnent de la même
manière.
• Site LISP ­ Il s'agit du nom d'un site où résident les routeurs LISP et les EID.

• Routeur de tunnel d'entrée (ITR) ­ Les ITR sont des routeurs LISP qui encapsulent en LISP les
paquets IP provenant d'EID destinés à l'extérieur du site LISP.
• Routeur de tunnel de sortie (ETR) ­ Les ETR sont des routeurs LISP qui désencapsulent les protocoles LISP­
paquets IP encapsulés provenant de sites extérieurs au site LISP et destinés aux EID au sein du site LISP.

• Routeur tunnel (xTR) ­ xTR fait référence aux routeurs qui exécutent les fonctions ITR et ETR (ce qui est
la plupart des routeurs).

• Proxy ITR (PITR) ­ Les PITR sont comme les ITR mais pour les sites non­LISP qui envoient du trafic vers EID
Destinations.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 36
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Composants de l'architecture LISP (suite)

• Proxy ETR (PETR) ­ Les PETR agissent comme les ETR mais pour les EID qui envoient du trafic vers des destinations
sur des sites non­LISP.

• Proxy xTR (PxTR) ­ PxTR fait référence à un routeur qui exécute les fonctions PITR et PETR.

• Routeur LISP ­ Un routeur LISP est un routeur qui exécute les fonctions de tout ou partie des éléments suivants : ITR, ETR,
PITR et/ou PETR.

• Localisateur de routage (RLOC) ­ Un RLOC est une adresse IPv4 ou IPv6 d'un ETR qui est Internet
face ou face au cœur du réseau.

• Serveur de cartes (MS) ­ Il s'agit d'un périphérique réseau (généralement un routeur) qui apprend l'EID en préfixe
mappage des entrées d'un ETR et les stocke dans une base de données de mappage EID­RLOC locale.

• Résolveur de carte (MR) ­ Il s'agit d'un périphérique réseau (généralement un routeur) qui reçoit les données LISP­
requêtes de carte encapsulées provenant d'un ITR et trouve l'ETR approprié pour répondre à ces requêtes en consultant le
serveur de carte.

• Serveur de cartes/résolveur de cartes (MS/MR) ­ Lorsque les fonctions MS et MR sont implémentées sur
le même appareil, l'appareil est appelé MS/MR.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 37
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Architecture et protocoles LISP
Architecture de routage LISP
LISP sépare les adresses IP en identifiants de point de terminaison (EID) et en localisateurs
de routage (RLOC). Contrairement au routage IP traditionnel, les points de terminaison peuvent se
déplacer d'un site à l'autre et la seule chose qui change est leur RLOC ; l'EID reste le même.

Plan de contrôle LISP

Le plan de contrôle fonctionne de manière très similaire au système de noms de domaine (DNS).
Tout comme le DNS peut résoudre un nom de domaine en une adresse IP, LISP peut
résoudre un EID en un RLOC en envoyant des requêtes de mappage au Map Resolver (MR).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 38
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Architecture et protocoles LISP (suite)

Plan de données LISP

Les routeurs de tunnel d'entrée (ITR) encapsulent en LISP les paquets IP reçus des EID dans un en­tête
UDP IP externe avec les adresses source et de destination dans l'espace RLOC ; en d'autres termes,
ils effectuent une encapsulation IP dans IP/UDP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 39
Machine Translated by Google
Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Demande et réponse de carte LISP

Lorsqu'un point de terminaison au sein d'un site LISP tente de communiquer avec un point de terminaison en dehors du site LISP,
l'ITR doit effectuer une série d'étapes pour pouvoir acheminer le trafic de manière appropriée.

• Étape 1. Le point de terminaison du site LISP 1 (hôte 1) envoie un DNS

demande de résolution de l'adresse IP du point de terminaison du site LISP 2 ([Link]).
Le serveur DNS répond avec l'adresse IP [Link], qui est l'EID de destination. • Étape 2.
L'ITR reçoit les paquets de l'hôte 1 destinés à [Link].
Il effectue une recherche FIB et évalue le paquet en fonction des règles de transfert configurées.

• Étape 3. L'ITR envoie une demande de carte encapsulée au MR

pour [Link].

• Étape 4. Étant donné que les fonctionnalités MR et MS sont configurées sur

le même appareil, le système de base de données de mappage MS transmet la demande de
mappage à l'ETR faisant autorité (source de vérité). • Étape 5. L'ETR envoie à
l'ITR un message de réponse de mappage qui inclut un mappage EID­to­RLOC [Link] →
[Link]. • Étape 6. L'ITR installe le mappage EID­to­RLOC dans son cache de
mappage local et programme le FIB. Il est maintenant prêt à transmettre le trafic LISP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 40
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

Chemin de données LISP

Les étapes suivantes décrivent le processus

d’encapsulation et de désencapsulation illustré dans la Figure 16­10 :

• Étape 1. L'ITR reçoit un paquet de l'hôte EID 1 ([Link])

destiné à l'hôte 2 ([Link]).
• Étape 2. L'ITR effectue une recherche FIB et trouve une
correspondance. Il encapsule le paquet EID et ajoute un
en­tête externe avec l'adresse IP RLOC de l'ITR comme
adresse IP source et l'adresse IP RLOC de l'ETR comme
adresse IP de destination.

• Étape 3. L'ETR reçoit l'encapsulé

paquet et le désencapsule pour le transmettre à l'hôte2.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 41
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

ETR par procuration

Les étapes suivantes décrivent le processus ETR proxy illustré

dans la figure 16­11 :
• Étape 1. host1 effectue une recherche DNS pour
[Link]. Il reçoit une réponse du serveur DNS avec l'adresse
IP [Link] et commence à transférer les paquets vers
l'ITR avec l'adresse IP de destination.
• Étape 2. Le [Link].ITR envoie une demande de carte
au MR pour [Link].
• Étape 3. Le système de base de données de mappage répond avec une réponse de
mappage négative qui inclut un préfixe non LISP calculé pour que l'ITR l'ajoute à son
cache de mappage et à son FIB.

• Étape 4. L’ITR peut maintenant commencer à envoyer

des paquets encapsulés LISP au PETR.
• Étape 5. Le PETR désencapsule le trafic et
l'envoie à [Link].
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 42
Machine Translated by Google

Protocole de séparation d'emplacement/d'identifiant Cisco (LISP)

ITR par procuration (PITR)
Les étapes suivantes décrivent le processus ITR proxy illustré dans la
figure 16­12 :
• Étape 1. Le trafic provenant de [Link] est reçu par le PITR avec
l'adresse IP de destination [Link] depuis [Link].

• Étape 2. Le PITR envoie une demande de carte au MR pour

[Link].

• Étape 3. Le système de base de données de cartographie transmet la demande de

carte à l’ETR.
• Étape 4. L'ETR envoie une réponse cartographique au PITR avec le mappage EID
vers RLOC [Link] → [Link].
• Étape 5. Le PITR encapsule les paquets LISP et commence à les transmettre
à l’ETR.
• Étape 6. L’ETR reçoit les paquets encapsulés LISP , les désencapsule et les
envoie à l’hôte 1.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 43
Machine Translated by Google

Local virtuel extensible

Réseau local (VXLAN)
• La virtualisation des serveurs a entraîné une demande accrue sur les réseaux hérités
infrastructure.
• Les réseaux de couche 2 n'ont pas été conçus pour prendre en charge des centaines de milliers de MAC
adresses et des dizaines de milliers de VLAN.
• VXLAN est conçu pour résoudre les problèmes rencontrés dans la couche 2 traditionnelle
réseaux.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 44
Machine Translated by Google

Réseau local extensible virtuel (VXLAN)

Problèmes liés aux réseaux hérités de couche 2
La virtualisation a entraîné un certain nombre de problèmes avec les réseaux de couche 2 traditionnels :
• L'ID VLAN 12 bits génère 4 000 VLAN, ce qui est insuffisant pour le serveur
virtualisation.

• De grandes tables d'adresses MAC sont nécessaires en raison des centaines de milliers de
Machines virtuelles et conteneurs attachés au réseau.

• STP bloque les liens pour éviter les boucles, ce qui entraîne un grand nombre de
liens désactivés, ce qui est inacceptable.
• ECMP n'est pas pris en charge.
• La mobilité de l’hôte est difficile à mettre en œuvre.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 45
Machine Translated by Google

Réseau local extensible virtuel (VXLAN)

Identifiant du réseau VXLAN
VXLAN dispose d'un identifiant de réseau VXLAN (VNI) 24 bits , qui permet à jusqu'à 16 millions de segments
VXLAN (plus communément appelés réseaux superposés) de coexister au sein de la même infrastructure.

• VNI est situé dans l'en­tête de shim VXLAN qui

encapsule la trame MAC interne d'origine générée par un point de
terminaison. Le VNI est utilisé pour fournir une segmentation pour le trafic
de couche 2 et de couche 3.
• Pour faciliter la découverte des VNI sur la sous­couche
Des points de terminaison de tunnel virtuel (VTEP) sont utilisés dans un réseau de
couche 3.

• Chaque VTEP possède deux interfaces :

Interfaces LAN locales : ces interfaces sur le segment LAN local
fournissent un pont entre les hôtes locaux.
Interface IP : il s'agit d'une interface réseau orientée cœur pour VXLAN.
L'adresse IP de l'interface IP permet d'identifier le VTEP dans le réseau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 46
Machine Translated by Google

Réseau local extensible virtuel (VXLAN)

En­têtes VXLAN
Il existe des différences mineures
entre la spécification LISP de
couche 2 et le VXLAN
en­têtes de spécification. Les
champs LISP non transférés
vers VXLAN sont réservés pour de futurs
utiliser.

Cisco Software Defined Access

(SD­Access) est un exemple
d'implémentation de VXLAN avec le
plan de contrôle LISP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Confidentiel Cisco 47
Machine Translated by Google