_____
2   
Zpět na obsah

_____
3   
Zpět na obsah

_____
4   
Zpět na obsah

Site-to-site VPN slouží k propojení fyzicky oddělených počítačových sítí. Typicky se jedná o propojení firemních poboček s centrálou, kdy je účelem zajistit pobočkám přístup k firemním zdrojům. Další vlastností takového spojení je, že bývá zabezpečené (ačkoliv to nemusí být pravidlem), tedy data jsou přenášena šifrovaně. Site-to-site VPN může být také alternativou k tomu, aby uživatelé na pobočkách přistupovali k VPN jednotlivě prostřednictvím softwarových klientů – místo toho existuje centrální místo, které se o přístup k centrále stará.

Možností, jak realizovat site-to-site VPN, je mnoho. Některé staví na standardních protokolech, jiná řešení jsou proprietární. V dnešní době se často používá protokolu IPsec, který nabízí široké možnosti šifrování i ověřování (heslem i pomocí certifikátů). Aruba ve svých kontrolérech nabízí IPsec tunelování (pro L3 VPN) a GRE tunely (jak v režimu L2, tak i L3). Samotné GRE tunely, na rozdíl od IPsec tunelů, šifrované nejsou. Lze však výše uvedené možnosti kombinovat a docílit tak i zabezpečeného GRE spojení a to včetně L2 propojení. Kryptografické možnosti ArubaOS lze najít v dokumentaci^₁. Kromě standardně dostupných kryptografických algoritmů je k dispozici také Suite B kryptografie pomocí modulu Advanced Cryptography² (ACR).

Vzhledem k tomu, že IPsec je standardizovaný protokol, lze vytvářet site-to-site VPN nejen mezi dvěma Aruba kontroléry, ale také mezi Aruba kontroléry a produkty třetích stran. Kompatibilita a použitelnost takového řešení se však pochopitelně může lišit a je nutné ji před nasazením důkladně otestovat. GRE tunely mezi Aruba kontroléry a produkty třetích stran kompatibilní nejsou.

Pro správnou funkčnost VPN by měl mít kontrolér povolené na nadřazeném firewallu nejméně tyto porty a protokoly:
 

Kontrolér, který VPN zajišťuje, je nejlepší provozovat na veřejné IP adrese. Pokud to není možné, je možné ho schovat za NAT na neveřejnou IP adresu. Pro správnou funkčnost IPsec je pak ale nutné pamatovat na použití NAT-T.

Funkce pro tvorbu site-to-site VPN jsou k dispozici minimálně na všech aktuálních kontrolérech Aruba. Jde o:
 

Site-to-site VPN (a to jak GRE, tak i IPsec) jsou dostupné v rámci základních funkcí Aruba OS, tedy bez nutnosti vlastnit licence, které vám umožnily tyto funkce využívat. Dodatečné licence (LIC-PEF, LIC-VIA,


__________________________________________

 ¹  Standardně dostupné kryptografické algoritmy shrnuje část About Default IKE Policies na stránce 
https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/vpn/site-to-site-vpns.htm.
 ²  Podrobnosti o ACR viz například datasheet: https://www.arubanetworks.com/assets/ds/DS_OS_ACR.pdf.

_____
5   
Zpět na obsah

LIC-ACR) budete potřebovat pouze v případě, že budete chtít použít některé pokročilé funkce. Jde například o pokročilou kryptografii, možnost aplikovat ACL na tunely, či na uživatelské role.

Všechny příklady v tomto návodu se však bez dodatečných licencí obejdou.

Podrobná dokumentace viz:
 

 

Dále pak samozřejmě lze použít i další dokumentace k jednotlivým softwarovým verzím OS pro kontrolér, viz například Aruba Support Portal na adrese https://asp.arubanetworks.com.

_____
6   
Zpět na obsah

Před samotnou konfigurací se očekává, že máte připraveny dva kontroléry s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.6). Kontroléry by měly mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měly by být dostupné po IP. Adresy pro VLAN 1 obou kontrolérů naleznete v obrázku níže. Konfigurace je demonstrována na zařízeních v režimu . Veškerá funkcionalita prezentovaná v tomto návodu nevyžaduje dodatečné licence.

Testovací topologii ukazuje Obrázek 1. Topologie by měla obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení. Případné doplňující informace (například vnitřní IP adresy L3 GRE tunelů) budou uvedeny v konkrétních kapitolách.

_{Obrázek 1: Schéma testovací topologie}

V příkladech níže budete konfigurovat výhradně Aruba kontroléry. Firewally ve schématu výše plní vždy jen roli výchozí brány pro konkrétní kontrolér a starají se o komunikaci ven. Jejich nastavení zde proto není dále nijak diskutováno a je ponecháno na vás.

   

3   Přístup do administrace kontroléru

Většinu konfigurací v příkladech v tomto návodu budete provádět z prostředí webové administrace WebUI. Některé testování a diagnostické informace však webové rozhraní neobsahuje. V takovém případě budete používat prostředí CLI.

Pokud víte, jak se dostat do administrace kontroléru, pak můžete následující řádky přeskočit a můžete pokračovat rovnou na následující kapitolu.

3.1   Webová administrace (WebUI)

Webové rozhraní je dostupné na IP adresách kontroléru, které jsou živé. Má-li kontrolér IP adresu například 192.168.1.1, pak je WebUI běžně na adrese https://192.168.1.1:4343. Připojte se tedy k webovému rozhraní a přihlaste se do něj pomocí vašich uživatelských údajů. Výchozí uživatel je , heslo jste si zvolili nejspíše při prvotním nastavení kontroléru. Viz Obrázek 2.
 

Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.    

3.2   Prostředí CLI

CLI je přístupné buď prostřednictvím lokální konzole, kterou s největší pravděpodobností stejně použijete pro prvotní nastavení kontroléru po jeho spouštění s čistou tovární konfigurací. Když je kontrolér dostupný po IP, můžete též použít SSH, které je ve výchozím stavu povoleno. Stačí se připojit na některou IP adresu, která je na kontroléru nastavená a je živá. Například stejnou IP adresu jako jste použili pro přístup k webovému rozhraní.























   

4   Zapnutí skrytých voleb

Webové rozhraní AOS 8 ve výchozím stavu skrývá některé konfigurační položky (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem a nejasnostem, zapněte si jejich zobrazování rovnou.

V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na položku Preferences. Viz Obrázek 4.
 

V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz Obrázek 5.
 

V další části provedete a otestujete úvodní IP nastavení.






 

5   Práce s konfiguračními kontexty

Zatímco například práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, jiná nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.

Konfigurační kontext změníte klepnutím na tlačítko  vlevo nahoře, viz Obrázek 6. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 7.  

Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 8.





   

6   Úvodní nastavení IP konektivity

Nastavení obou kontrolérů je v principu stejné a reálně se liší pouze konkrétními čísly a názvy VLAN, IP adresami a podobně. Dejte proto pozor, který kontrolér zrovna nastavujete, abyste předešli chybám, které se často velmi špatně odhalují. Popisky jednotlivých obrázků vždy obsahují informaci, kterému kontroléru daný obrázek zrovna odpovídá.

6.1   Nastavení VLAN

VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo dříve: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 9.
 

Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na  . V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 10 a Obrázek 11.    

Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 901, respektive 902) a následně s ní v části Port Members asociujte konkrétní port. Přístup k Port Members menu viz Obrázek 12 (pro Site1) a Obrázek 13 (pro Site2). Přiřazení portu do VLAN je pak stejné pro oba dva kontroléry, viz Obrázek 14. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.      

Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete jednotlivé čekající změny zkontrolovat. Klepnutím na tlačítko Deploy Changes se změny aktivují. Postup je opět stejný pro Site1 i Site2. Viz Obrázek 15.  

6.2   Nastavení IP parametrů

Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 16 (pro Site1) a Obrázek 17 (pro Site2). Nastavení uložte klepnutím na tlačítko Submit.
     
 

Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 18 (pro Site1) a Obrázek 19 (pro Site2). V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven. Nastavení opět uložte tlačítkem Submit.    
  Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko  a zadejte adresu brány, jak ukazuje Obrázek 20 (pro Site1) a Obrázek 21 (pro Site2).    

Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu. Viz Obrázek 22 (pro Site1) a Obrázek 23 (pro Site2). Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře a následně Deploy Changes.

V případě reálného nasazení nezapomeňte ještě nastavit na kontrolérech správný čas (nejlépe samozřejmě pomocí NTP). To se provádí v menu Configuration, System, na záložce General, v části Clock. Toto je naprosto zásadní zejména pokud používáte certifikáty (například právě u IPsec tunelů). Bez správného času totiž nemusí certifikáty fungovat správně, neboť se budou vinou špatného času například tvářit jako exspirované. V následujících příkladech však certifikáty používat nebudete, přesný čas tedy není pro jejich funkčnost zásadní.

6.3   Otestování konektivity

Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 24.

Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány na obou kontrolérech. Viz Obrázek 25 (pro Site1) a Obrázek 26 (pro Site2).

       

Nakonec ještě pomocí nástroje Traceroute zkontrolujte, zdali je funkční připojení mezi oběma kontroléry. Viz Obrázek 27 test ze Site1.

Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.


















   

7   Konfigurace L3 VPN pomocí IPsec

V tomto příkladu budete nastavovat tunel mezi oběma lokalitami pouze skrze IPsec. Tímto tunelem zajistíte zabezpečené L3 propojení VLAN 1 na obou lokalitách. Obě strany se budou vzájemně ověřovat heslem.

Site-to-site IPsec VPN se konfigurují v menu Configuration, Services, VPN. Viz Obrázek 28.

7.1   Nastavení site-to-site IPsec na Site1

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol . Nové IPsec spojení vhodně pojmenujte a zadejte subnety, mezi nimiž se má provoz přenášet šifrovaně (odpovídají oběma VLAN 1, jak ukazuje Obrázek 1 na straně 7). Více viz Obrázek 29.    

Dále vyberte nastavení IKE protokolu³, povolte vyšší zabezpečení pomocí PFS⁴ a v položce Transforms zvolte, jakými algoritmy má být šifrován přenos dat. Možnosti položek IKE Policy a Transforms jsou velmi široké. Pro další informace proto navštivte dokumentaci, případně si projděte části IKEv1 a IKEv2 na stránce VPN v menu Configuration, Services. Obecně je však dobré myslet na to, že volba kryptografických algoritmů má vliv na propustnost tunelu. Při plánování je proto dobré nahlédnout do datasheetu použitého kontroléru a ověřit tam výkon zvolených algoritmů. Viz Obrázek 30 níže.

Dále nezapomeňte VLAN, která slouží jako transportní síť (zde WAN VLAN), a zvolte další parametry tunelu. Volba Enforce NAT-T⁵ slouží k zajištění správné funkčnosti v případě, že je kontrolér umístěn za NATem. Není-li kontrolér za NATem, pak není nutné tuto volbu použít, avšak pokud ji necháte zapnutou, ničemu to neuškodí. Zásadní je položka Trusted Tunnel, která zajišťuje, aby se na tunel neaplikovala výchozí systémová ACL, která mohou blokovat provoz. Pokud totiž nevlastníte licence pro firewall, nemůžete ani nastavení těchto ACL měnit a možnost provozovat tunel jako transparentní je jediná možnost. Opět viz Obrázek 30.
 

__________________________________________
 ³  IKE protokol slouží k vyjednání kryptografických algoritmů a jejich parametrů, kterými bude následně zabezpečen samotný přenos dat).
 ⁴  PFS zajišťuje, že klíče pro nové sessions jsou generovány nezávisle na klíčích předchozích. Nové klíče tak nelze odvodit ani v případě, že jsou původní klíče kompromitovány.
 ⁵ NAT-T zajistí správnou funkčnost IPsec za NATem tak, že ho data balí do UDP na portu 4500, viz například https://en.wikipedia.org/wiki/NAT_traversal#IPsec.
   

Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE⁶. Viz Obrázek 31. Celé nastavení uložte tlačítkem Submit.

Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz Obrázek 32. Následně nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz Obrázek 33.  
 

Nastavení kontroléru Site1 je hotovo. Nastavení druhé strany tunelu je popsáno v další kapitole.


__________________________________________
 ⁶ Alternativně se dá IKE zabezpečit certifikáty. Tento návod se však touto možností nezabývá.

   

7.2   Nastavení site-to-site IPsec na Site2

Nejprve opět přejděte do menu Configuration, Services. Následně vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. V tabulce IPSec Maps klepněte na symbol . Nové IPsec spojení vhodně pojmenujte a zadejte lokální a vzdálený subnet, které mají být propojeny (odpovídají oběma VLAN 1, jak ukazuje Obrázek 1 na straně 7). Více viz Obrázek 34.

Následně nastavte kryptografické parametry spojení a další nezbytné parametry tunelu. Nezapomeňte hlavně na volbu Trusted Tunnel, předejdete tak potenciálním problémům s funkčností tunelu. Viz Obrázek 35.    

Na závěr zadejte IP adresu protistrany a nastavte heslo pro IKE spojení. Viz Obrázek 36. Celé nastavení uložte tlačítkem Submit vpravo dole.

Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz Obrázek 37. Nakonec nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz Obrázek 38.  

Nyní je nastavení L3 IPsec tunelu mezi oběma lokalitami hotovo. Další kapitola ukazuje testy funkčnosti.

   

7.3   Otestování funkčnosti L3 VPN pomocí IPsec

Testování funkčnosti je totožné na obou kontrolérech. Pro přehlednost jsou zde proto uvedeny ukázky pouze z jednoho z nich.

Pokud jste zapnuli možnost Pre-Connect, pak se IPsec tunel mezi oběma lokalitami vytvoří okamžitě. Pokud jste tuto možnost nevybrali, pak dojde k sestavení tunelu až ve chvíli, kdy na jedné ze stran vznikne požadavek na přenos dat do vzdálené sítě. Jakmile je tunel sestaven, objeví se nový záznam ve směrovací tabulce kontroléru. Viz Obrázek 39.
 

To, že se tunel sestaví, ještě neznamená, že je plně funkční. Typicky se stává, že je tunel neprůchozí, protože není označen jako Trusted (viz vysvětlení výše v části 7.1 na straně 20). Proto jeho funkčnost otestujte například nástrojem Ping. Zde ping ze Site1 na interní IP adresu kontroléru Site2. Viz Obrázek 40.
     

IPsec není ani klasický L2 forwarding, ale ani L3 routing. Proto se ani neprojeví v MAC, respektive ARP tabulce, viz Obrázek 41.

Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 42 ukazuje část zachycené komunikace mezi Site1 a Site2.

   

8   Konfigurace L2 VPN pomocí GRE a IPsec

Zde budete konfigurovat tunel, který vám umožní L2 zabezpečené propojení obou lokalit. Do jedné velké sítě tak propojíte dvě stejné VLAN na obou lokalitách. V případě jako je tento je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní. L2 přenos zajistí GRE tunel, zabezpečení dat pak IPsec. Obě strany se budou ověřovat heslem.
 

8.1   Nastavení VLAN pro GRE endpoint

GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
 

8.1.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 43.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 44. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.    

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje Obrázek 45, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.

Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem , viz Obrázek 46.

Nyní VLAN ručně aktivujte příkazem a konfiguraci nezapomeňte uložit, viz Obrázek 47. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu  ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 48.
 

8.1.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 49.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 50. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.    

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje Obrázek 51, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.
 

Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem  viz Obrázek 52.
 

Nyní VLAN ručně aktivujte příkazem  a konfiguraci nezapomeňte uložit, viz Obrázek 53. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 54.
     

8.2   Nastavení VLAN LAN v tomto příkladu

Dále je třeba vytvořit síť, kterou budete pomocí tunelu propojovat s druhou lokalitou.

 

8.2.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 55.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 56. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.  

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem  viz Obrázek 57.

Nyní VLAN ručně aktivujte příkazem a konfiguraci nezapomeňte uložit, viz Obrázek 58. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 59.    
 

8.2.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 60.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 61. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem  viz Obrázek 62.
   

Nyní VLAN ručně aktivujte příkazem a konfiguraci nezapomeňte uložit, viz Obrázek 63. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 64.  

8.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu

Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
 

8.3.1   Konfigurace na Site1

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol . Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz Obrázek 65.
   
 

Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz Obrázek 66.    

Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE. Viz Obrázek 67. Celé nastavení uložte tlačítkem Submit.

Nově vytvořené spojení zkontrolujte (viz Obrázek 68) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.  

8.3.2   Konfigurace na Site2

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol . Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz Obrázek 69.    

Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz Obrázek 70.

Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site1) a heslo, které se má použít pro IKE. Viz Obrázek 71. Celé nastavení uložte tlačítkem Submit.

Nově vytvořené spojení zkontrolujte (viz Obrázek 72) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.    
 

8.3.3   Otestování funkčnosti IP tunelu

Nyní můžete zkontrolovat, že je IPsec tunel (nyní ještě bez samotného GRE tunelu) funkční. Použijte třeba na Site1 (nebo na Site2, je to jedno) příkaz a ověřte dostupnost protějšího GRE endpointu. Viz Obrázek 73.
   

8.4   Nastavení L2 GRE tunelu

Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
 

8.4.1 Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 74.    

Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 75.  

8.4.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 76.

Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 77.    

8.5   Otestování funkčnosti L2 VPN pomocí GRE a IPsec

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site2.
Že je sestavený IPsec tunel poznáte například ve směrovací tabulce, kde se objeví routa, odpovídající danému IPsec spojení. Viz Obrázek 78.

Můžete si také zobrazit informace o GRE tunelu a zkontrolovat jeho stav, viz Obrázek 79.

Pomocí příkazů a můžete ověřit, že je tunel skutečně funkční. V ARP tabulce následně uvidíte, že tunel funguje jako L2, viz záznam pro IP adresu 192.168.100.1. Viz Obrázek 80.

 

Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 81 ukazuje část zachycené komunikace mezi Site1 a Site2.








   

9   Konfigurace L3 VPN pomocí GRE a IPsec

V této části budete konfigurovat tunel, který vám umožní zabezpečené L3 propojení obou lokalit. Tento typ VPN se dá použít jako alternativa k samotnému IPsec tunelu, který byl popsán v kapitole 7 na straně 20. Na obou stranách tunelu v tomto případě tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). Obě strany se budou opět ověřovat heslem.
 

9.1   Nastavení VLAN pro GRE endpoint

GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
 

9.1.1   Konfigurace na Site1

Nastavení je totožné s částí 8.1.1 na straně 27. Postupujte proto podle ní.
 

9.1.2   Konfigurace na Site2

Nastavení je totožné s částí 8.1.2 na straně 29. Postupujte proto podle ní.

 

9.2   Nastavení VLAN LAN v tomto příkladu

Dále je třeba vytvořit sítě, které budete tunelem propojovat.
 

9.2.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 82.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 83. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.


 

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem  viz Obrázek 84.

Nyní VLAN ručně aktivujte příkazem a konfiguraci nezapomeňte uložit, viz Obrázek 85. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.  
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 86.  

9.2.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 87.

Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 88. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.  

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem  viz Obrázek 89.

Nyní VLAN ručně aktivujte příkazem  a konfiguraci nezapomeňte uložit, viz Obrázek 90. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu  ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 91.  

9.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu

Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
 

9.3.1   Konfigurace na Site1

Nastavení je totožné s částí 8.3.1 na straně 34. Postupujte proto podle ní.
 

9.3.2   Konfigurace na Site2

Nastavení je totožné s částí 8.3.2 na straně 36. Postupujte proto podle ní.

   

9.4   Nastavení L3 GRE tunelu

Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.

9.4.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu⁷ (zde 10.10.10.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 92.

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 93.


__________________________________________
 ⁷  Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.

     

9.4.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 10.10.10.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 94.    

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 95.  

9.5   Nastavení směrování do L3 GRE tunelu

Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
 

9.5.1 Konfigurace na Site1

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 96) a routu uložte klepnutím na tlačítko Submit vpravo dole.

V seznamu statických rout zkontrolujte, že je routa v pořádku (viz Obrázek 97) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.    
 

9.5.2   Konfigurace na Site2

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 98) a routu uložte klepnutím na tlačítko Submit vpravo dole.

V seznamu statických rout zkontrolujte, že je routa v pořádku (viz Obrázek 99) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.  

9.6   Otestování funkčnosti L3 VPN pomocí GRE a IPsec

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem  Viz Obrázek 100.    

Pohledem do směrovací tabulky můžete vidět, že jsou pravděpodobně v pořádku všechny potřebné cesty. Díky tomu, že je sestavený IPsec tunel, je sestavený i L3 GRE tunel a díky tomu je ve směrovací tabulce také statická routa do vzdáleného subnetu. Viz Obrázek 101.

Pomocí příkazu pak můžete ověřit, že je tunel skutečně funkční. Otestujte některou živou IP adresu z LAN, která se nachází na druhé straně L3 GRE tunelu. Viz Obrázek 102.

Nakonec si můžete ověřit, že jsou data opravdu přenášena zabezpečeně (tedy uvnitř IPsec, do jehož obsahu není vidět). Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 103 ukazuje část zachycené komunikace mezi Site1 a Site2.  

10   Konfigurace L2 VPN pomocí GRE

Pokud máte v tuto chvíli aktivní VPN z části 8 na straně 27, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.

V tomto příkladu nastavíte tunel, který vám umožní L2 propojení obou lokalit pouze pomocí GRE. To v praxi znamená hlavně, to že komunikace po cestě nebude nijak zabezpečená. Kdokoliv by ji po cestě odchytil, ten by byl schopen ji přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).

Podobně jako u varianty L2 GRE tunelu uvnitř IPsec tunelu, i zde je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní.

Z konfiguračního pohledu je zde patrný rozdíl proti variantě L2 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
 

10.1   Nastavení VLAN LAN v tomto příkladu

Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
 

10.1.1   Konfigurace na Site1

Nastavení je totožné s částí 8.2.1 na straně 31. Postupujte proto podle ní.
 

10.1.2   Konfigurace na Site2

Nastavení je totožné s částí 8.2.2 na straně 33. Postupujte proto podle ní.
 

10.2   Nastavení L2 GRE tunelu

Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
 

10.2.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 104.



   

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 105.    

Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 106.  

10.2.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 107.

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 108.
 

Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 109.  

10.3   Otestování funkčnosti L2 VPN pomocí GRE

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem  Viz Obrázek 110. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.  
Pomocí příkazu pak můžete ověřit, že je tunel skutečně funkční. Viz Obrázek 111.

Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 112 ukazuje část zachycené komunikace mezi Site1 a Site2.
















 

11   Konfigurace L3 VPN pomocí GRE

Pokud máte v tuto chvíli aktivní VPN z části 9 na straně 42, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.

Zde budete konfigurovat tunel, kterým zajistíte L3 propojení dvou lokalit. Na obou stranách tunelu tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). V tomto případě však pouze za pomocí GRE, bez IPsec. Takové spojení tedy nebude zabezpečené a kdokoliv by byl schopen komunikaci po cestě odchytit, ten by ji mohl také přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).

Z konfiguračního pohledu je zde patrný rozdíl proti variantě L3 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
 

11.1   Nastavení VLAN LAN v tomto příkladu

Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
 

11.1.1   Konfigurace na Site1

Nastavení je totožné s částí 9.2.1 na straně 42. Postupujte proto podle ní.
 

11.1.2   Konfigurace na Site2

Nastavení je totožné s částí 9.2.2 na straně 44. Postupujte proto podle ní.
 

11.2   Nastavení L3 GRE tunelu

Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.
 

11.2.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu⁸ (zde 172.16.172.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 113.





__________________________________________
 ⁸  Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.
 

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 114.

 

11.2.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 172.16.172.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 115.

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 116.

   

11.3   Nastavení směrování do L3 GRE tunelu

Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
 

11.3.1   Konfigurace na Site1

Pokud máte v tuto chvíli aktivní routu z části 9.5.1 na straně 48, raději ji smažte. Předejdete potenciálním problémům.

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 117) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.  

11.3.2   Konfigurace na Site2

Pokud máte v tuto chvíli aktivní routu z části 9.5.2 na straně 49, raději ji smažte. Předejdete potenciálním problémům.

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 118) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.
   

11.4   Otestování funkčnosti L3 VPN pomocí GRE

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem Viz Obrázek 119. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.

Pomocí příkazu pak můžete ověřit, že je tunel skutečně funkční. Viz Obrázek 120.

Dále můžete zkontrolovat směrovací tabulku, viz Obrázek 121. Za prvé by v ní měla být aktivní routa pro GRE tunel, za druhé pak routa do vzdálené sítě (zvýrazněny žlutě).

 

Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 122 ukazuje výše provedený ping mezi Site1 a Site2. Jelikož nejsou data šifrovaná a jelikož se jedná o standardní GRE protokol, je Wireshark schopen přečíst i zapouzdřená data. Jak ukazuje Obrázek 123, ve skutečnosti nejsou ICMP zprávy posílány přímo, ale jsou opravdu zapouzdřena v GRE.  

12   Diagnostika

Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování častých potíží, určitě nepopisují všechny možné situace.

Výstup některých CLI příkazů je příliš dlouhý. Proto v následujících částech naleznete pouze příkazy, které se pro diagnostiku mohou hodit, ale už ne jejich výstup. Přispěje to k lepší přehlednosti.

K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI⁹ (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
 

12.1   Práce se systémovým logem

Systémový log najdete pod příkazy : 
 
Záleží, co přesně v logu budete hledat. Různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
 

12.2   Získávání informací o tunelech

Příkazem můžete zobrazit přehled všech tunelů a informací o nich.

Můžete si také zobrazit informace jen o konkrétním tunelu a to pomocí příkazu  

Podrobné forwarding informace o navázaných tunelech najdete pod příkazem  

Také lze zobrazit podrobné forwarding informace o vybraném tunelu  Pozor ID zde odpovídá číslu tunelu z příkazu
 

12.3   VLAN a IP diagnostika

Informace o VLAN najdete pod příkazem . Podrobnější informace pak poskytne příkaz . Příkaz show ip interface brief vám zobrazí informace o IP rozhraních.


__________________________________________
 ⁹  Více informací k CLI viz:

https://www.arubanetworks.com/techdocs/CLI-Bank/Content/CLI%20RG/cli-home-aos.htm.

 

12.4   Zjišťování informací souvisejících s IPsec

12.5   Testování konektivity

12.6   Mazání provozních dat

 

Seznamy

 

 

 

 

Seznam obrázků

Obrázek 1: Schéma testovací topologie ...................................................................................................................	7
Obrázek 2: Přihlášení do webového rozhraní kontroléru ...................................................................................	8
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru ..........................................................	8
Obrázek 4: Menu pro zapnutí skrytých voleb ve webovém rozhraní ...............................................................	10
Obrázek 5: Nastavení zobrazování skrytých voleb ve webovém rozhraní ......................................................	10
Obrázek 6: Menu pro změnu konfiguračního kontextu ......................................................................................	11
Obrázek 7: Přehled konfiguračních kontextů, aktivní kontext je označen oranžově ...................................	11
Obrázek 8: Změna konfiguračního kontextu .........................................................................................................	11
Obrázek 9: Menu pro přístup ke konfiguraci VLAN ..............................................................................................	12
Obrázek 10: Vytvoření VLAN pro přístup k internetu na Site1 ..........................................................................	12
Obrázek 11: Vytvoření VLAN pro přístup k internetu na Site2 ..........................................................................	12
Obrázek 12: Přístup k nastavení VLAN na portech na Site1 ..............................................................................	13
Obrázek 13: Přístup k nastavení VLAN na portech na Site2 ..............................................................................	13
Obrázek 14: Přiřazení VLAN na konkrétní port na Site1 i Site2 .........................................................................	14
Obrázek 15: Nasazení nové konfigurace VLAN do provozu ...............................................................................	14
Obrázek 16: Nastavení IP adresy pro WAN na Site1 ............................................................................................	14
Obrázek 17: Nastavení IP adresy pro WAN na Site2 ............................................................................................	15
Obrázek 18: Zapnutí NAT provoz do internetu na Site1 .....................................................................................	15
Obrázek 19: Zapnutí NAT provoz do internetu na Site2 .....................................................................................	16
Obrázek 20: Přidání nové výchozí brány na Site1 ................................................................................................	16
Obrázek 21: Přidání nové výchozí brány na Site2 ................................................................................................	16
Obrázek 22: Seznam výchozích bran na Site1 .......................................................................................................	17
Obrázek 23: Seznam výchozích bran na Site2 .......................................................................................................	17
Obrázek 24: Menu pro přístup k diagnostickým nástrojům ...............................................................................	17
Obrázek 25: Otestování dostupnosti výchozí brány na Site1 ............................................................................	18
Obrázek 26: Otestování dostupnosti výchozí brány na Site2 ............................................................................	18
Obrázek 27: Otestování konektivity mezi Site1 a Site2 .......................................................................................	19
Obrázek 28: Menu pro konfiguraci VPN služeb ....................................................................................................	20
Obrázek 29: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 1 ...............................................	20
Obrázek 30: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 2 ...............................................	21
Obrázek 31: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 3 ...............................................	22
Obrázek 32: Seznam IPsec spojení na Site1 ..........................................................................................................	22
Obrázek 33: Aktivace změn po nastavení L3 IPsec VPN na Site1 .....................................................................	22
Obrázek 34: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 1 ...............................................	23
Obrázek 35: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 2 ...............................................	23
Obrázek 36: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 3 ...............................................	24
Obrázek 37: Seznam IPsec spojení na Site2 ..........................................................................................................	24
Obrázek 38: Aktivace změn po nastavení L3 IPsec VPN na Site2 .....................................................................	24
Obrázek 39: Stav směrovací tabulky na Site1 po sestavení tunelu pro L3 IPsec VPN do Site2 ................	25
Obrázek 40: Kontrola funkčnosti L3 IPsec VPN pomocí ICMP ze Site1 do Site2 ..........................................	25
Obrázek 41: Kontrola MAC a ARP tabulky na Site1 ..............................................................................................	26
Obrázek 42: Ukázka odchycené IPsec komunikace mezi Site1 a Site2 ...........................................................	26
Obrázek 43: Vytvoření GRE endpoint VLAN na Site1 ...........................................................................................	27
Obrázek 44: Nastavení IP adresy pro GRE endpoint VLAN na Site1 ................................................................	27
Obrázek 45: Stav GRE endpoint VLAN na Site1, VLAN není funkční ................................................................	28
Obrázek 46: Kontrola stavu GRE endpoint VLAN na Site1 v CLI .......................................................................	28

 

 

 

 

Obrázek 47: Ruční aktivace GRE endpoint VLAN na Site1 ..................................................................................	28
Obrázek 48: Kontrola funkčnosti GRE endpoint VLAN na Site1 ........................................................................	29
Obrázek 49: Vytvoření GRE endpoint VLAN na Site2 ...........................................................................................	29
Obrázek 50: Nastavení IP adresy pro GRE endpoint VLAN na Site2 ................................................................	29
Obrázek 51: Stav GRE endpoint VLAN na Site2, VLAN není funkční ................................................................	30
Obrázek 52: Kontrola stavu GRE endpoint VLAN na Site2 v CLI .......................................................................	30
Obrázek 53: Ruční aktivace GRE endpoint VLAN na Site2 ..................................................................................	30
Obrázek 54: Kontrola funkčnosti GRE endpoint VLAN na Site2 ........................................................................	31
Obrázek 55: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ...............................................	31
Obrázek 56: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site1 ............................	31
Obrázek 57: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site1 v CLI ...................................	32
Obrázek 58: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ......................................	32
Obrázek 59: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ............................	32
Obrázek 60: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ...............................................	33
Obrázek 61: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site2 ............................	33
Obrázek 62: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site2 v CLI ...................................	34
Obrázek 63: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ......................................	34
Obrázek 64: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ............................	34
Obrázek 65: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 1 .................................	35
Obrázek 66: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 2 .................................	35
Obrázek 67: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 3 .................................	36
Obrázek 68: Kontrola IPsec spojení pro GRE/IPsec VPN na Site1 ....................................................................	36
Obrázek 69: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 1 .................................	36
Obrázek 70: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 2 .................................	37
Obrázek 71: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 3 .................................	37
Obrázek 72: Kontrola IPsec spojení pro GRE/IPsec VPN na Site2 ....................................................................	37
Obrázek 73: Kontrola funkčnosti IPsec tunelu pro GRE/IPsec VPN na Site1 .................................................	38
Obrázek 74: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site1 ..........................................	38
Obrázek 75: Kontrola GRE tunelů vytvořených na Site1 .....................................................................................	39
Obrázek 76: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site2 ..........................................	39
Obrázek 77: Kontrola GRE tunelů vytvořených na Site2 .....................................................................................	39
Obrázek 78: Kontrola směrovací tabulky u L2 GRE/IPsec VPN na Site2 .........................................................	40
Obrázek 79: Kontrola stavu GRE tunelu u L2 GRE/IPsec VPN na Site2 ...........................................................	40
Obrázek 80: Otestování GRE tunelu u L2 GRE/IPsec VPN na Site2 ..................................................................	41
Obrázek 81: Ukázka odchycené L2 GRE/IPsec komunikace mezi Site1 a Site2 ............................................	41
Obrázek 82: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ...............................................	42
Obrázek 83: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site1 ............................	43
Obrázek 84: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site1 v CLI ...................................	43
Obrázek 85: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ......................................	43
Obrázek 86: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ............................	44
Obrázek 87: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ...............................................	44
Obrázek 88: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site2 ............................	44
Obrázek 89: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site2 v CLI ...................................	45
Obrázek 90: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ......................................	45
Obrázek 91: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ............................	45
Obrázek 92: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site1 ..........................................	46
Obrázek 93: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1 .............................................	47
Obrázek 94: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site2 ..........................................	47

 

 

 

Obrázek 95: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2 .............................................	48
Obrázek 96: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 ................	48
Obrázek 97: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 ..................	48
Obrázek 98: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 ................	49
Obrázek 99: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 ..................	49
Obrázek 100: Kontrola stavu GRE tunelu u L3 GRE/IPsec VPN na Site1 .........................................................	49
Obrázek 101: Kontrola směrovací tabulky u L3 GRE/IPsec VPN na Site1 .......................................................	50
Obrázek 102: Otestování GRE tunelu u L3 GRE/IPsec VPN na Site1 ................................................................	50
Obrázek 103: Ukázka odchycené L3 GRE/IPsec komunikace mezi Site1 a Site2 ..........................................	50
Obrázek 104: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site1 .............................................	52
Obrázek 105: Aktivace nastavení nového L2 GRE tunelu na Site1 ...................................................................	52
Obrázek 106: Seznam GRE tunelů vytvořených na Site1 ....................................................................................	53
Obrázek 107: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site2 ..............................................	53
Obrázek 108: Aktivace nastavení nového L2 GRE tunelu na Site2 ...................................................................	54
Obrázek 109: Seznam GRE tunelů vytvořených na Site2 ....................................................................................	54
Obrázek 110: Kontrola stavu GRE tunelu u L2 GRE VPN na Site1 ....................................................................	54
Obrázek 111: Otestování GRE tunelu u L2 GRE VPN na Site1 ...........................................................................	55
Obrázek 112: Ukázka odchycené L2 GRE komunikace mezi Site1 a Site2......................................................	55
Obrázek 113: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site1 ..............................................	57
Obrázek 114: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1 ...........................................	57
Obrázek 115: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site2 ..............................................	58
Obrázek 116: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2 ...........................................	59
Obrázek 117: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 ..............	59
Obrázek 118: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 ..............	60
Obrázek 119: Kontrola stavu GRE tunelu u L3 GRE VPN na Site1 ....................................................................	60
Obrázek 120: Otestování GRE tunelu u L3 GRE VPN na Site1 ...........................................................................	60
Obrázek 121: Kontrola směrovací tabulky u L3 GRE VPN na Site1 ..................................................................	61
Obrázek 122: Ukázka odchycené L3 GRE komunikace mezi Site1 a Site2......................................................	61
Obrázek 123: Detail odchycené L3 GRE komunikace mezi Site1 a Site2 ........................................................	61