03 květen

Konfigurační návod site-to-site VPN   Google+ Twitter LinkedIn Facebook

  0 Přílohy   0 Komentáře   
Počet hvězdiček je: 3,7/5. Hodnoceno 3x.
 
 
 

Konfigurační návod site-to-site VPN na platformě ArubaOS

 
 
 
Jakub Konečný

jakub.konecny@atlantis.cz

 
11. prosince 2020
 

Šíření bez souhlasu autora a společnosti atlantis telecom je zakázáno.

 
 


Obsah

1   Site-to-site VPN na Aruba OS ...........................................................................................................   5
      1.1   Podporované platformy ...............................................................................................................................   5
      1.2   Licencování ......................................................................................................................................................   5
      1.3   Dokumentace .................................................................................................................................................   6
2   Topologie pro tento návod a prerekvizity ......................................................................................   7
3   Přístup do administrace kontroléru ...............................................................................................   8
     3.1   Webová administrace (WebUI) ...................................................................................................................   8
      3.2   Prostředí CLI ...................................................................................................................................................   9
4   Zapnutí skrytých voleb ..................................................................................................................... 10
5   Práce s konfiguračními kontexty .................................................................................................... 11
6   Úvodní nastavení IP konektivity ...................................................................................................... 12
      6.1   Nastavení VLAN .............................................................................................................................................. 12
      6.2   Nastavení IP parametrů ............................................................................................................................... 14
      6.3   Otestování konektivity ................................................................................................................................... 17
7   Konfigurace L3 VPN pomocí IPsec .................................................................................................. 20
      7.1   Nastavení site-to-site IPsec na Site1 ......................................................................................................... 20
      7.2   Nastavení site-to-site IPsec na Site2 ......................................................................................................... 23
      7.3   Otestování funkčnosti L3 VPN pomocí IPsec .......................................................................................... 25
8   Konfigurace L2 VPN pomocí GRE a IPsec ....................................................................................... 27
      8.1   Nastavení VLAN pro GRE endpoint .......................................................................................................... 27
            8.1.1   Konfigurace na Site1 ........................................................................................................................... 27
            8.1.2   Konfigurace na Site2 ........................................................................................................................... 29
      8.2   Nastavení VLAN LAN v tomto příkladu ..................................................................................................... 31
            8.2.1   Konfigurace na Site1 ........................................................................................................................... 31
            8.2.2   Konfigurace na Site2 ........................................................................................................................... 33
      8.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu .......................................................................... 34
            8.3.1   Konfigurace na Site1 .......................................................................................................................... 34
            8.3.2   Konfigurace na Site2 .......................................................................................................................... 36
            8.3.3   Otestování funkčnosti IP tunelu ...................................................................................................... 38
      8.4   Nastavení L2 GRE tunelu ............................................................................................................................. 38
            8.4.1   Konfigurace na Site1 ........................................................................................................................... 38
            8.4.2 Konfigurace na Site2 ............................................................................................................................. 39
      8.5   Otestování funkčnosti L2 VPN pomocí GRE a IPsec.............................................................................. 40
9   Konfigurace L3 VPN pomocí GRE a IPsec ....................................................................................... 42
      9.1   Nastavení VLAN pro GRE endpoint .......................................................................................................... 42
 
 
_____
2   
Zpět na obsah
 
            9.1.1   Konfigurace na Site1 ...........................................................................................................................  42
            9.1.2   Konfigurace na Site2 ........................................................................................................................... 42
      9.2   Nastavení VLAN LAN v tomto příkladu ..................................................................................................... 42
            9.2.1   Konfigurace na Site1 ........................................................................................................................... 42
            9.2.2   Konfigurace na Site2 ........................................................................................................................... 44
      9.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu .......................................................................... 45
            9.3.1   Konfigurace na Site1 ........................................................................................................................... 45
            9.3.2   Konfigurace na Site2 ........................................................................................................................... 45
      9.4   Nastavení L3 GRE tunelu ............................................................................................................................. 46
            9.4.1   Konfigurace na Site1 ........................................................................................................................... 46
            9.4.2   Konfigurace na Site2 ........................................................................................................................... 47
      9.5   Nastavení směrování do L3 GRE tunelu .................................................................................................. 48
            9.5.1   Konfigurace na Site1 ........................................................................................................................... 48
            9.5.2   Konfigurace na Site2 ........................................................................................................................... 49
      9.6   Otestování funkčnosti L3 VPN pomocí GRE a IPsec ............................................................................... 49
10   Konfigurace L2 VPN pomocí GRE .................................................................................................. 51
      10.1   Nastavení VLAN LAN v tomto příkladu ................................................................................................... 51
            10.1.1   Konfigurace na Site1 ......................................................................................................................... 51
            10.1.2   Konfigurace na Site2 ......................................................................................................................... 51
      10.2   Nastavení L2 GRE tunelu ........................................................................................................................... 51
            10.2.1   Konfigurace na Site1 ......................................................................................................................... 51
            10.2.2   Konfigurace na Site2 ........................................................................................................................ 53
      10.3   Otestování funkčnosti L2 VPN pomocí GRE.......................................................................................... 54
11   Konfigurace L3 VPN pomocí GRE .................................................................................................. 56
      11.1   Nastavení VLAN LAN v tomto příkladu .................................................................................................. 56
            11.1.1   Konfigurace na Site1 ........................................................................................................................ 56
            11.1.2   Konfigurace na Site2 ........................................................................................................................ 56
      11.2   Nastavení L3 GRE tunelu ........................................................................................................................... 56
            11.2.1   Konfigurace na Site1 ........................................................................................................................ 56
            11.2.2   Konfigurace na Site2 ........................................................................................................................ 58
      11.3   Nastavení směrování do L3 GRE tunelu ................................................................................................ 59
            11.3.1   Konfigurace na Site1 ........................................................................................................................ 59
            11.3.2   Konfigurace na Site2 ........................................................................................................................ 59
      11.4   Otestování funkčnosti L3 VPN pomocí GRE.......................................................................................... 60
12   Diagnostika ...................................................................................................................................... 62
      12.1   Práce se systémovým logem .................................................................................................................... 62
 
_____
3   
Zpět na obsah
 
 
      12.2   Získávání informací o tunelech ................................................................................................................  62
      12.3   VLAN a IP diagnostika ................................................................................................................................ 62
      12.4   Zjišťování informací souvisejících s IPsec .............................................................................................. 63
      12.5   Testování konektivity .................................................................................................................................. 63
      12.6   Mazání provozních dat .............................................................................................................................. 63
Seznam obrázků ..................................................................................................................................... 64




















 
_____
4   
Zpět na obsah
 

1   Site-to-site VPN na Aruba OS

Site-to-site VPN slouží k propojení fyzicky oddělených počítačových sítí. Typicky se jedná o propojení firemních poboček s centrálou, kdy je účelem zajistit pobočkám přístup k firemním zdrojům. Další vlastností takového spojení je, že bývá zabezpečené (ačkoliv to nemusí být pravidlem), tedy data jsou přenášena šifrovaně. Site-to-site VPN může být také alternativou k tomu, aby uživatelé na pobočkách přistupovali k VPN jednotlivě prostřednictvím softwarových klientů – místo toho existuje centrální místo, které se o přístup k centrále stará.

Možností, jak realizovat site-to-site VPN, je mnoho. Některé staví na standardních protokolech, jiná řešení jsou proprietární. V dnešní době se často používá protokolu IPsec, který nabízí široké možnosti šifrování i ověřování (heslem i pomocí certifikátů). Aruba ve svých kontrolérech nabízí IPsec tunelování (pro L3 VPN) a GRE tunely (jak v režimu L2, tak i L3). Samotné GRE tunely, na rozdíl od IPsec tunelů, šifrované nejsou. Lze však výše uvedené možnosti kombinovat a docílit tak i zabezpečeného GRE spojení a to včetně L2 propojení. Kryptografické možnosti ArubaOS lze najít v dokumentaci1. Kromě standardně dostupných kryptografických algoritmů je k dispozici také Suite B kryptografie pomocí modulu Advanced Cryptography2 (ACR).

Vzhledem k tomu, že IPsec je standardizovaný protokol, lze vytvářet site-to-site VPN nejen mezi dvěma Aruba kontroléry, ale také mezi Aruba kontroléry a produkty třetích stran. Kompatibilita a použitelnost takového řešení se však pochopitelně může lišit a je nutné ji před nasazením důkladně otestovat. GRE tunely mezi Aruba kontroléry a produkty třetích stran kompatibilní nejsou.

Pro správnou funkčnost VPN by měl mít kontrolér povolené na nadřazeném firewallu nejméně tyto porty a protokoly:
 
  • GRE protokol (protokol 47),
  • IKE (UDP/500),
  • ESP (protokol 50).
  • IPsec NAT-T (UDP/4500).

Kontrolér, který VPN zajišťuje, je nejlepší provozovat na veřejné IP adrese. Pokud to není možné, je možné ho schovat za NAT na neveřejnou IP adresu. Pro správnou funkčnost IPsec je pak ale nutné pamatovat na použití NAT-T.
 

1.1   Podporované platformy

Funkce pro tvorbu site-to-site VPN jsou k dispozici minimálně na všech aktuálních kontrolérech Aruba. Jde o:
 
  • kontrolér řady 7000 a 7200,
  • virtualizovaný kontrolér (Mobility Controller Virtual Appliance),
  • SD-WAN gateway řady 9000 v režimu Wi-Fi kontroléru.



1.2   Licencování

Site-to-site VPN (a to jak GRE, tak i IPsec) jsou dostupné v rámci základních funkcí Aruba OS, tedy bez nutnosti vlastnit licence, které vám umožnily tyto funkce využívat. Dodatečné licence (LIC-PEF, LIC-VIA,


__________________________________________
 1  Standardně dostupné kryptografické algoritmy shrnuje část About Default IKE Policies na stránce 
https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/vpn/site-to-site-vpns.htm.
 2  Podrobnosti o ACR viz například datasheet: https://www.arubanetworks.com/assets/ds/DS_OS_ACR.pdf.
 
_____
5   
Zpět na obsah
 
LIC-ACR) budete potřebovat pouze v případě, že budete chtít použít některé pokročilé funkce. Jde například o pokročilou kryptografii, možnost aplikovat ACL na tunely, či na uživatelské role.

Všechny příklady v tomto návodu se však bez dodatečných licencí obejdou.


1.3   Dokumentace

Podrobná dokumentace viz:
 
 

Dále pak samozřejmě lze použít i další dokumentace k jednotlivým softwarovým verzím OS pro kontrolér, viz například Aruba Support Portal na adrese https://asp.arubanetworks.com.
























 
_____
6   
Zpět na obsah
 

2   Topologie pro tento návod a prerekvizity

Před samotnou konfigurací se očekává, že máte připraveny dva kontroléry s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.6). Kontroléry by měly mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měly by být dostupné po IP. Adresy pro VLAN 1 obou kontrolérů naleznete v obrázku níže. Konfigurace je demonstrována na zařízeních v režimu . Veškerá funkcionalita prezentovaná v tomto návodu nevyžaduje dodatečné licence.

Testovací topologii ukazuje Obrázek 1. Topologie by měla obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení. Případné doplňující informace (například vnitřní IP adresy L3 GRE tunelů) budou uvedeny v konkrétních kapitolách.

Obrazek_1-(1).PNG

Obrázek 1: Schéma testovací topologie


V příkladech níže budete konfigurovat výhradně Aruba kontroléry. Firewally ve schématu výše plní vždy jen roli výchozí brány pro konkrétní kontrolér a starají se o komunikaci ven. Jejich nastavení zde proto není dále nijak diskutováno a je ponecháno na vás.

 
_____
7   
Zpět na obsah
 

3   Přístup do administrace kontroléru

Většinu konfigurací v příkladech v tomto návodu budete provádět z prostředí webové administrace WebUI. Některé testování a diagnostické informace však webové rozhraní neobsahuje. V takovém případě budete používat prostředí CLI.

Pokud víte, jak se dostat do administrace kontroléru, pak můžete následující řádky přeskočit a můžete pokračovat rovnou na následující kapitolu.


3.1   Webová administrace (WebUI)

Webové rozhraní je dostupné na IP adresách kontroléru, které jsou živé. Má-li kontrolér IP adresu například 192.168.1.1, pak je WebUI běžně na adrese https://192.168.1.1:4343. Připojte se tedy k webovému rozhraní a přihlaste se do něj pomocí vašich uživatelských údajů. Výchozí uživatel je Obr_admin-(1).PNG, heslo jste si zvolili nejspíše při prvotním nastavení kontroléru. Viz Obrázek 2.
 
Obrazek_2-(2).PNG
Obrázek 2: Přihlášení do webového rozhraní kontroléru


Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
Obrazek_3.PNG
 
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru
 
_____
8   
Zpět na obsah


3.2   Prostředí CLI

CLI je přístupné buď prostřednictvím lokální konzole, kterou s největší pravděpodobností stejně použijete pro prvotní nastavení kontroléru po jeho spouštění s čistou tovární konfigurací. Když je kontrolér dostupný po IP, můžete též použít SSH, které je ve výchozím stavu povoleno. Stačí se připojit na některou IP adresu, která je na kontroléru nastavená a je živá. Například stejnou IP adresu jako jste použili pro přístup k webovému rozhraní.























 
_____
9   
Zpět na obsah
 

4   Zapnutí skrytých voleb

Webové rozhraní AOS 8 ve výchozím stavu skrývá některé konfigurační položky (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem a nejasnostem, zapněte si jejich zobrazování rovnou.

V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na položku Preferences. Viz Obrázek 4.
 
Obrazek_4.PNG

Obrázek 4: Menu pro zapnutí skrytých voleb ve webovém rozhraní


V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz Obrázek 5.
 
Obrazek_5.PNG
Obrázek 5: Nastavení zobrazování skrytých voleb ve webovém rozhraní


V další části provedete a otestujete úvodní IP nastavení.






 
_____
   10  
Zpět na obsah


5   Práce s konfiguračními kontexty

Zatímco například práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, jiná nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.

Konfigurační kontext změníte klepnutím na tlačítko ikona-pruhy.PNG vlevo nahoře, viz Obrázek 6. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 7.

Obrazek_6.PNG
Obrázek 6: Menu pro změnu konfiguračního kontextu
 
Obrazek_7.PNG
Obrázek 7: Přehled konfiguračních kontextů, aktivní kontext je označen oranžově


Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 8.

Obrazek_8.PNG
Obrázek 8: Změna konfiguračního kontextu






 
_____
   11  
Zpět na obsah
 

6   Úvodní nastavení IP konektivity

Nastavení obou kontrolérů je v principu stejné a reálně se liší pouze konkrétními čísly a názvy VLAN, IP adresami a podobně. Dejte proto pozor, který kontrolér zrovna nastavujete, abyste předešli chybám, které se často velmi špatně odhalují. Popisky jednotlivých obrázků vždy obsahují informaci, kterému kontroléru daný obrázek zrovna odpovídá.


6.1   Nastavení VLAN

VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo dříve: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 9.
 
Obrazek_9.PNG
Obrázek 9: Menu pro přístup ke konfiguraci VLAN


Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na  Ikona-plus.PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 10 a Obrázek 11.

Obrazek_10.PNG
Obrázek 10: Vytvoření VLAN pro přístup k internetu na Site1

Obrazek_11.PNG
Obrázek 11: Vytvoření VLAN pro přístup k internetu na Site2
 
_____
   12  
Zpět na obsah
 

Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 901, respektive 902) a následně s ní v části Port Members asociujte konkrétní port. Přístup k Port Members menu viz Obrázek 12 (pro Site1) a Obrázek 13 (pro Site2). Přiřazení portu do VLAN je pak stejné pro oba dva kontroléry, viz Obrázek 14. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.

Obrazek_12.PNG
Obrázek 12: Přístup k nastavení VLAN na portech na Site1
 
Obrazek_13.PNG
Obrázek 13: Přístup k nastavení VLAN na portech na Site2
 
_____
   13  
Zpět na obsah
 

Obrazek_14.PNG
Obrázek 14: Přiřazení VLAN na konkrétní port na Site1 i Site2


Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete jednotlivé čekající změny zkontrolovat. Klepnutím na tlačítko Deploy Changes se změny aktivují. Postup je opět stejný pro Site1 i Site2. Viz Obrázek 15.

Obrazek_15.PNG
Obrázek 15: Nasazení nové konfigurace VLAN do provozu
 

6.2   Nastavení IP parametrů

Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 16 (pro Site1) a Obrázek 17 (pro Site2). Nastavení uložte klepnutím na tlačítko Submit.
 
Obrazek_16.PNG
Obrázek 16: Nastavení IP adresy pro WAN na Site1
 
_____
   14  
Zpět na obsah
 
 
Obrazek_17.PNG
Obrázek 17: Nastavení IP adresy pro WAN na Site2


Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 18 (pro Site1) a Obrázek 19 (pro Site2). V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven. Nastavení opět uložte tlačítkem Submit.

Obrazek_18.PNG
Obrázek 18: Zapnutí NAT provoz do internetu na Site1
 
_____
   15  
Zpět na obsah
 
 
Obrazek_19.PNG

Obrázek 19: Zapnutí NAT provoz do internetu na Site2

 
Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko Ikona-plus-(1).PNG a zadejte adresu brány, jak ukazuje Obrázek 20 (pro Site1) a Obrázek 21 (pro Site2).

Obrazek_20.PNG
Obrázek 20: Přidání nové výchozí brány na Site1


Obrazek_21.PNG
Obrázek 21: Přidání nové výchozí brány na Site2
 
_____
   16  
Zpět na obsah
 

Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu. Viz Obrázek 22 (pro Site1) a Obrázek 23 (pro Site2). Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře a následně Deploy Changes.

Obrazek_22.PNG
Obrázek 22: Seznam výchozích bran na Site1


Obrazek_23.PNG
Obrázek 23: Seznam výchozích bran na Site2


V případě reálného nasazení nezapomeňte ještě nastavit na kontrolérech správný čas (nejlépe samozřejmě pomocí NTP). To se provádí v menu Configuration, System, na záložce General, v části Clock. Toto je naprosto zásadní zejména pokud používáte certifikáty (například právě u IPsec tunelů). Bez správného času totiž nemusí certifikáty fungovat správně, neboť se budou vinou špatného času například tvářit jako exspirované. V následujících příkladech však certifikáty používat nebudete, přesný čas tedy není pro jejich funkčnost zásadní.


6.3   Otestování konektivity

Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 24.

Obrazek_24.PNG
Obrázek 24: Menu pro přístup k diagnostickým nástrojům


Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány na obou kontrolérech. Viz Obrázek 25 (pro Site1) a Obrázek 26 (pro Site2).

 
_____
   17  
Zpět na obsah
 

Obrazek_25.PNG
 
Obrázek 25: Otestování dostupnosti výchozí brány na Site1


Obrazek_26.PNG
Obrázek 26: Otestování dostupnosti výchozí brány na Site2
 
_____
   18  
Zpět na obsah
 

Nakonec ještě pomocí nástroje Traceroute zkontrolujte, zdali je funkční připojení mezi oběma kontroléry. Viz Obrázek 27 test ze Site1.
 

Obrazek_27.PNG
 
Obrázek 27: Otestování konektivity mezi Site1 a Site2


Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.


















 
_____
   19  
Zpět na obsah
 

7   Konfigurace L3 VPN pomocí IPsec

V tomto příkladu budete nastavovat tunel mezi oběma lokalitami pouze skrze IPsec. Tímto tunelem zajistíte zabezpečené L3 propojení VLAN 1 na obou lokalitách. Obě strany se budou vzájemně ověřovat heslem.

Site-to-site IPsec VPN se konfigurují v menu Configuration, Services, VPN. Viz Obrázek 28.

Obrazek_28.PNG
Obrázek 28: Menu pro konfiguraci VPN služeb


7.1   Nastavení site-to-site IPsec na Site1

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol Ikona-plus-(2).PNG. Nové IPsec spojení vhodně pojmenujte a zadejte subnety, mezi nimiž se má provoz přenášet šifrovaně (odpovídají oběma VLAN 1, jak ukazuje Obrázek 1 na straně 7). Více viz Obrázek 29.

Obrazek_29.PNG
Obrázek 29: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 1
 
_____
   20  
Zpět na obsah
 

Dále vyberte nastavení IKE protokolu3, povolte vyšší zabezpečení pomocí PFS4 a v položce Transforms zvolte, jakými algoritmy má být šifrován přenos dat. Možnosti položek IKE Policy a Transforms jsou velmi široké. Pro další informace proto navštivte dokumentaci, případně si projděte části IKEv1 a IKEv2 na stránce VPN v menu Configuration, Services. Obecně je však dobré myslet na to, že volba kryptografických algoritmů má vliv na propustnost tunelu. Při plánování je proto dobré nahlédnout do datasheetu použitého kontroléru a ověřit tam výkon zvolených algoritmů. Viz Obrázek 30 níže.

Dále nezapomeňte VLAN, která slouží jako transportní síť (zde WAN VLAN), a zvolte další parametry tunelu. Volba Enforce NAT-T5 slouží k zajištění správné funkčnosti v případě, že je kontrolér umístěn za NATem. Není-li kontrolér za NATem, pak není nutné tuto volbu použít, avšak pokud ji necháte zapnutou, ničemu to neuškodí. Zásadní je položka Trusted Tunnel, která zajišťuje, aby se na tunel neaplikovala výchozí systémová ACL, která mohou blokovat provoz. Pokud totiž nevlastníte licence pro firewall, nemůžete ani nastavení těchto ACL měnit a možnost provozovat tunel jako transparentní je jediná možnost. Opět viz Obrázek 30.
 
Obrazek_30.PNG
Obrázek 30: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 2


__________________________________________
 3  IKE protokol slouží k vyjednání kryptografických algoritmů a jejich parametrů, kterými bude následně zabezpečen samotný přenos dat).
 4  PFS zajišťuje, že klíče pro nové sessions jsou generovány nezávisle na klíčích předchozích. Nové klíče tak nelze odvodit ani v případě, že jsou původní klíče kompromitovány.
 5 NAT-T zajistí správnou funkčnost IPsec za NATem tak, že ho data balí do UDP na portu 4500, viz například https://en.wikipedia.org/wiki/NAT_traversal#IPsec.
 
_____
   21  
Zpět na obsah
 

Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE6. Viz Obrázek 31. Celé nastavení uložte tlačítkem Submit.

Obrazek_31.PNG
Obrázek 31: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 3


Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz Obrázek 32. Následně nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz Obrázek 33.

Obrazek_32.PNG
Obrázek 32: Seznam IPsec spojení na Site1
 
 
Obrazek_33.PNG
Obrázek 33: Aktivace změn po nastavení L3 IPsec VPN na Site1


Nastavení kontroléru Site1 je hotovo. Nastavení druhé strany tunelu je popsáno v další kapitole.


__________________________________________
 6 Alternativně se dá IKE zabezpečit certifikáty. Tento návod se však touto možností nezabývá.

 
_____
   22  
Zpět na obsah
 

7.2   Nastavení site-to-site IPsec na Site2

Nejprve opět přejděte do menu Configuration, Services. Následně vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. V tabulce IPSec Maps klepněte na symbol Ikona-plus-(3).PNG. Nové IPsec spojení vhodně pojmenujte a zadejte lokální a vzdálený subnet, které mají být propojeny (odpovídají oběma VLAN 1, jak ukazuje Obrázek 1 na straně 7). Více viz Obrázek 34.

Obrazek_34.PNG
Obrázek 34: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 1


Následně nastavte kryptografické parametry spojení a další nezbytné parametry tunelu. Nezapomeňte hlavně na volbu Trusted Tunnel, předejdete tak potenciálním problémům s funkčností tunelu. Viz Obrázek 35.

Obrazek_35.PNG
Obrázek 35: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 2
 
_____
   23  
Zpět na obsah
 

Na závěr zadejte IP adresu protistrany a nastavte heslo pro IKE spojení. Viz Obrázek 36. Celé nastavení uložte tlačítkem Submit vpravo dole.

Obrazek_36.PNG

Obrázek 36: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 3


Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz Obrázek 37. Nakonec nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz Obrázek 38.

Obrazek_37.PNG
Obrázek 37: Seznam IPsec spojení na Site2
 

Obrazek_38.PNG
Obrázek 38: Aktivace změn po nastavení L3 IPsec VPN na Site2


Nyní je nastavení L3 IPsec tunelu mezi oběma lokalitami hotovo. Další kapitola ukazuje testy funkčnosti.

 
_____
   24  
Zpět na obsah
 

7.3   Otestování funkčnosti L3 VPN pomocí IPsec

Testování funkčnosti je totožné na obou kontrolérech. Pro přehlednost jsou zde proto uvedeny ukázky pouze z jednoho z nich.

Pokud jste zapnuli možnost Pre-Connect, pak se IPsec tunel mezi oběma lokalitami vytvoří okamžitě. Pokud jste tuto možnost nevybrali, pak dojde k sestavení tunelu až ve chvíli, kdy na jedné ze stran vznikne požadavek na přenos dat do vzdálené sítě. Jakmile je tunel sestaven, objeví se nový záznam ve směrovací tabulce kontroléru. Viz Obrázek 39.
 
Obrazek_39.PNG
Obrázek 39: Stav směrovací tabulky na Site1 po sestavení tunelu pro L3 IPsec VPN do Site2


To, že se tunel sestaví, ještě neznamená, že je plně funkční. Typicky se stává, že je tunel neprůchozí, protože není označen jako Trusted (viz vysvětlení výše v části 7.1 na straně 20). Proto jeho funkčnost otestujte například nástrojem Ping. Zde ping ze Site1 na interní IP adresu kontroléru Site2. Viz Obrázek 40.
 
Obrazek_40.PNG
Obrázek 40: Kontrola funkčnosti L3 IPsec VPN pomocí ICMP ze Site1 do Site2
 
_____
   25  
Zpět na obsah
 

IPsec není ani klasický L2 forwarding, ale ani L3 routing. Proto se ani neprojeví v MAC, respektive ARP tabulce, viz Obrázek 41.

Obrazek_41.PNG
Obrázek 41: Kontrola MAC a ARP tabulky na Site1


Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 42 ukazuje část zachycené komunikace mezi Site1 a Site2.

Obrazek_42.PNG
Obrázek 42: Ukázka odchycené IPsec komunikace mezi Site1 a Site2


 
_____
26  
Zpět na obsah
 

8   Konfigurace L2 VPN pomocí GRE a IPsec

Zde budete konfigurovat tunel, který vám umožní L2 zabezpečené propojení obou lokalit. Do jedné velké sítě tak propojíte dvě stejné VLAN na obou lokalitách. V případě jako je tento je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní. L2 přenos zajistí GRE tunel, zabezpečení dat pak IPsec. Obě strany se budou ověřovat heslem.
 

8.1   Nastavení VLAN pro GRE endpoint

GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
 

8.1.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na Ikona-plus-(4).PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 43.

Obrazek_43.PNG
Obrázek 43: Vytvoření GRE endpoint VLAN na Site1


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 44. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_44.PNG
Obrázek 44: Nastavení IP adresy pro GRE endpoint VLAN na Site1
 
 
_____
27  
Zpět na obsah
 

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje Obrázek 45, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.

Obrazek_45.PNG
Obrázek 45: Stav GRE endpoint VLAN na Site1, VLAN není funkční


Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show.PNG, viz Obrázek 46.

Obrazek_46.PNG
Obrázek 46: Kontrola stavu GRE endpoint VLAN na Site1 v CLI


Nyní VLAN ručně aktivujte příkazem Obr_operstate.PNG a konfiguraci nezapomeňte uložit, viz Obrázek 47. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_47.PNG
Obrázek 47: Ruční aktivace GRE endpoint VLAN na Site1


Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping.PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 48.
 
_____
28  
Zpět na obsah

 

Obrázek 48: Kontrola funkčnosti GRE endpoint VLAN na Site1



8.1.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na Ikona-plus-(5).PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 49.

Obrazek_49.PNG
Obrázek 49: Vytvoření GRE endpoint VLAN na Site2


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 50. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_50.PNG
Obrázek 50: Nastavení IP adresy pro GRE endpoint VLAN na Site2
 
_____
29  
Zpět na obsah
 

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje Obrázek 51, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.
 
Obrazek_51.PNG
Obrázek 51: Stav GRE endpoint VLAN na Site2, VLAN není funkční


Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show-(1).PNG viz Obrázek 52.
 
Obrazek_52.PNG
Obrázek 52: Kontrola stavu GRE endpoint VLAN na Site2 v CLI


Nyní VLAN ručně aktivujte příkazem  a konfiguraci nezapomeňte uložit, viz Obrázek 53. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_53.PNG
Obrázek 53: Ruční aktivace GRE endpoint VLAN na Site2


Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping-(1).PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 54.
 
_____
30  
Zpět na obsah
 

Obrazek_54.PNG

Obrázek 54: Kontrola funkčnosti GRE endpoint VLAN na Site2
 

8.2   Nastavení VLAN LAN v tomto příkladu

Dále je třeba vytvořit síť, kterou budete pomocí tunelu propojovat s druhou lokalitou.

 

8.2.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na Ikona-plus-(5).PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 55.

Obrazek_55.PNG
Obrázek 55: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 56. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_56.PNG
Obrázek 56: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site1


_____
31  
Zpět na obsah
 

Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show-(2).PNG viz Obrázek 57.

Obrazek_57.PNG
Obrázek 57: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site1 v CLI


Nyní VLAN ručně aktivujte příkazem Obr_operstate-(3).PNG a konfiguraci nezapomeňte uložit, viz Obrázek 58. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_58.PNG
Obrázek 58: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1


Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping-(2).PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 59.

Obrazek_59.PNG

Obrázek 59: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1
 

_____
32  
Zpět na obsah
 
 

8.2.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na Ikona-plus-(5).PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 60.

Obrazek_60.PNG
Obrázek 60: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 61. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_61.PNG
Obrázek 61: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site2


Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show-(3).PNG viz Obrázek 62.
 

_____
33  
Zpět na obsah
 

Obrazek_62.PNG

Obrázek 62: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site2 v CLI


Nyní VLAN ručně aktivujte příkazem Obr_operstate-(4).PNG a konfiguraci nezapomeňte uložit, viz Obrázek 63. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_63.PNG
Obrázek 63: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2


Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping-(3).PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 64.

Obrazek_64.PNG

Obrázek 64: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2
 

8.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu

Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
 

8.3.1   Konfigurace na Site1

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol Ikona-plus-(5).PNG. Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz Obrázek 65.
 

_____
34  
Zpět na obsah
 
 
Obrazek_65.PNG
Obrázek 65: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 1


Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz Obrázek 66.

Obrazek_66.PNG
Obrázek 66: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 2
 

_____
35  
Zpět na obsah
 

Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE. Viz Obrázek 67. Celé nastavení uložte tlačítkem Submit.

Obrazek_67.PNG
Obrázek 67: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 3


Nově vytvořené spojení zkontrolujte (viz Obrázek 68) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_68.PNG
Obrázek 68: Kontrola IPsec spojení pro GRE/IPsec VPN na Site1
 

8.3.2   Konfigurace na Site2

V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol Ikona-plus-(5).PNG. Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz Obrázek 69.

Obrazek_69.PNG
Obrázek 69: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 1
 

_____
36  
Zpět na obsah
 

Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz Obrázek 70.

Obrazek_70.PNG
Obrázek 70: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 2


Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site1) a heslo, které se má použít pro IKE. Viz Obrázek 71. Celé nastavení uložte tlačítkem Submit.

Obrazek_71.PNG
Obrázek 71: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 3


Nově vytvořené spojení zkontrolujte (viz Obrázek 72) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_72.PNG
Obrázek 72: Kontrola IPsec spojení pro GRE/IPsec VPN na Site2
 
_____
37  
Zpět na obsah
 
 

8.3.3   Otestování funkčnosti IP tunelu

Nyní můžete zkontrolovat, že je IPsec tunel (nyní ještě bez samotného GRE tunelu) funkční. Použijte třeba na Site1 (nebo na Site2, je to jedno) příkaz Obr_ping-(4).PNG a ověřte dostupnost protějšího GRE endpointu. Viz Obrázek 73.
 
Obrazek_73.PNG
Obrázek 73: Kontrola funkčnosti IPsec tunelu pro GRE/IPsec VPN na Site1
 

8.4   Nastavení L2 GRE tunelu

Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
 

8.4.1 Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol Ikona-plus-(5).PNG.

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 74.

Obrazek_74.PNG
Obrázek 74: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site1
 
_____
38  
Zpět na obsah
 

Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 75.

Obrázek 75: Kontrola GRE tunelů vytvořených na Site1
 

8.4.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol Ikona-plus-(5).PNG.

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 76.

Obrazek_76.PNG
Obrázek 76: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site2


Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 77.

Obrazek_77.PNG
Obrázek 77: Kontrola GRE tunelů vytvořených na Site2
 
_____
39  
Zpět na obsah
 

8.5   Otestování funkčnosti L2 VPN pomocí GRE a IPsec

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site2.
Že je sestavený IPsec tunel poznáte například ve směrovací tabulce, kde se objeví routa, odpovídající danému IPsec spojení. Viz Obrázek 78.

Obrazek_78.PNG
Obrázek 78: Kontrola směrovací tabulky u L2 GRE/IPsec VPN na Site2


Můžete si také zobrazit informace o GRE tunelu a zkontrolovat jeho stav, viz Obrázek 79.

Obrazek_79.PNG
Obrázek 79: Kontrola stavu GRE tunelu u L2 GRE/IPsec VPN na Site2


Pomocí příkazů Obr_ping-(5).PNG a Obr_traceroute.PNG můžete ověřit, že je tunel skutečně funkční. V ARP tabulce následně uvidíte, že tunel funguje jako L2, viz záznam pro IP adresu 192.168.100.1. Viz Obrázek 80.

 
_____
40  
Zpět na obsah
 

Obrazek_80.PNG
Obrázek 80: Otestování GRE tunelu u L2 GRE/IPsec VPN na Site2


Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 81 ukazuje část zachycené komunikace mezi Site1 a Site2.

Obrazek_81.PNG
Obrázek 81: Ukázka odchycené L2 GRE/IPsec komunikace mezi Site1 a Site2









 
_____
41  
Zpět na obsah
 
 

9   Konfigurace L3 VPN pomocí GRE a IPsec

V této části budete konfigurovat tunel, který vám umožní zabezpečené L3 propojení obou lokalit. Tento typ VPN se dá použít jako alternativa k samotnému IPsec tunelu, který byl popsán v kapitole 7 na straně 20. Na obou stranách tunelu v tomto případě tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). Obě strany se budou opět ověřovat heslem.
 

9.1   Nastavení VLAN pro GRE endpoint

GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
 

9.1.1   Konfigurace na Site1

Nastavení je totožné s částí 8.1.1 na straně 27. Postupujte proto podle ní.
 

9.1.2   Konfigurace na Site2

Nastavení je totožné s částí 8.1.2 na straně 29. Postupujte proto podle ní.

 

9.2   Nastavení VLAN LAN v tomto příkladu

Dále je třeba vytvořit sítě, které budete tunelem propojovat.
 

9.2.1   Konfigurace na Site1

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 82.

Obrazek_82.PNG
Obrázek 82: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 83. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.


 
_____
42  
Zpět na obsah
 

Obrazek_83.PNG
Obrázek 83: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site1


Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show-(4).PNG viz Obrázek 84.

Obrazek_84.PNG
Obrázek 84: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site1 v CLI


Nyní VLAN ručně aktivujte příkazem Obr_operstate-(5).PNG a konfiguraci nezapomeňte uložit, viz Obrázek 85. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_85.PNG
Obrázek 85: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1
 
_____
43  
Zpět na obsah
 

Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping-(6).PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 86.
 
Obrazek_86-(1).PNG

Obrázek 86: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1
 

9.2.2   Konfigurace na Site2

V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 87.

Obrazek_87.PNG
Obrázek 87: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2


Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 88. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrazek_88.PNG
Obrázek 88: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site2
 
_____
44  
Zpět na obsah


Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.

Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem Obr_show-(5).PNG viz Obrázek 89.

Obrazek_89.PNG
Obrázek 89: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site2 v CLI


Nyní VLAN ručně aktivujte příkazem Obr_operstate-(7).PNG a konfiguraci nezapomeňte uložit, viz Obrázek 90. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.

Obrazek_90.PNG
Obrázek 90: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2


Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu Obr_ping-(7).PNG ověřit, že je IP adresa dané VLAN dostupná. Viz Obrázek 91.

Obrazek_91.PNG
Obrázek 91: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2
 

9.3   Nastavení IPsec tunelu pro zabezpečení GRE tunelu

Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
 

9.3.1   Konfigurace na Site1

Nastavení je totožné s částí 8.3.1 na straně 34. Postupujte proto podle ní.
 

9.3.2   Konfigurace na Site2

Nastavení je totožné s částí 8.3.2 na straně 36. Postupujte proto podle ní.

 
_____
45  
Zpět na obsah
 

9.4   Nastavení L3 GRE tunelu

Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.


9.4.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu7 (zde 10.10.10.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 92.

Obrazek_92.PNG
Obrázek 92: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site1


Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 93.


__________________________________________
 7  Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.

 
_____
46  
Zpět na obsah
 

Obrazek_93.PNG
Obrázek 93: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1
 

9.4.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 10.10.10.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 94.

Obrazek_94.PNG
Obrázek 94: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site2
 
_____
47  
Zpět na obsah
 

Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 95.

Obrazek_95.PNG
Obrázek 95: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2
 

9.5   Nastavení směrování do L3 GRE tunelu

Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
 

9.5.1 Konfigurace na Site1

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 96) a routu uložte klepnutím na tlačítko Submit vpravo dole.

Obrazek_96.PNG
Obrázek 96: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1


V seznamu statických rout zkontrolujte, že je routa v pořádku (viz Obrázek 97) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.

Obrazek_97.PNG
Obrázek 97: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1
 
_____
48  
Zpět na obsah
 
 

9.5.2   Konfigurace na Site2

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 98) a routu uložte klepnutím na tlačítko Submit vpravo dole.

Obrazek_98.PNG
Obrázek 98: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2


V seznamu statických rout zkontrolujte, že je routa v pořádku (viz Obrázek 99) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.

Obrazek_99.PNG
Obrázek 99: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2
 

9.6   Otestování funkčnosti L3 VPN pomocí GRE a IPsec

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem Obr_tunnel.PNG Viz Obrázek 100.

Obrazek_100.PNG
Obrázek 100: Kontrola stavu GRE tunelu u L3 GRE/IPsec VPN na Site1
 
_____
49  
Zpět na obsah
 

Pohledem do směrovací tabulky můžete vidět, že jsou pravděpodobně v pořádku všechny potřebné cesty. Díky tomu, že je sestavený IPsec tunel, je sestavený i L3 GRE tunel a díky tomu je ve směrovací tabulce také statická routa do vzdáleného subnetu. Viz Obrázek 101.

Obrazek_101.PNG
Obrázek 101: Kontrola směrovací tabulky u L3 GRE/IPsec VPN na Site1


Pomocí příkazu Obr_ping-(8).PNG pak můžete ověřit, že je tunel skutečně funkční. Otestujte některou živou IP adresu z LAN, která se nachází na druhé straně L3 GRE tunelu. Viz Obrázek 102.

Obrazek_102.PNG
Obrázek 102: Otestování GRE tunelu u L3 GRE/IPsec VPN na Site1


Nakonec si můžete ověřit, že jsou data opravdu přenášena zabezpečeně (tedy uvnitř IPsec, do jehož obsahu není vidět). Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 103 ukazuje část zachycené komunikace mezi Site1 a Site2.

Obrazek_103.PNG
Obrázek 103: Ukázka odchycené L3 GRE/IPsec komunikace mezi Site1 a Site2

_____
50  
Zpět na obsah
 

10   Konfigurace L2 VPN pomocí GRE

Pokud máte v tuto chvíli aktivní VPN z části 8 na straně 27, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.

V tomto příkladu nastavíte tunel, který vám umožní L2 propojení obou lokalit pouze pomocí GRE. To v praxi znamená hlavně, to že komunikace po cestě nebude nijak zabezpečená. Kdokoliv by ji po cestě odchytil, ten by byl schopen ji přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).

Podobně jako u varianty L2 GRE tunelu uvnitř IPsec tunelu, i zde je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní.

Z konfiguračního pohledu je zde patrný rozdíl proti variantě L2 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
 

10.1   Nastavení VLAN LAN v tomto příkladu

Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
 

10.1.1   Konfigurace na Site1

Nastavení je totožné s částí 8.2.1 na straně 31. Postupujte proto podle ní.
 

10.1.2   Konfigurace na Site2

Nastavení je totožné s částí 8.2.2 na straně 33. Postupujte proto podle ní.
 

10.2   Nastavení L2 GRE tunelu

Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
 

10.2.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 104.



 
_____
51  
Zpět na obsah
 

Obrazek_104.PNG
Obrázek 104: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site1


Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 105.
 
Obrazek_105-(1).PNG
Obrázek 105: Aktivace nastavení nového L2 GRE tunelu na Site1
 
_____
52  
Zpět na obsah
 

Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 106.

Obrazek_106.PNG
Obrázek 106: Seznam GRE tunelů vytvořených na Site1
 

10.2.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 107.

Obrazek_107.PNG
Obrázek 107: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site2


Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 108.
 
_____
53  
Zpět na obsah
 

Obrazek_108.PNG
Obrázek 108: Aktivace nastavení nového L2 GRE tunelu na Site2


Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz Obrázek 109.

Obrazek_109.PNG
Obrázek 109: Seznam GRE tunelů vytvořených na Site2
 

10.3   Otestování funkčnosti L2 VPN pomocí GRE

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem Obr_tunnel-(1).PNG Viz Obrázek 110. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.

Obrazek_110.PNG
Obrázek 110: Kontrola stavu GRE tunelu u L2 GRE VPN na Site1
 
_____
54  
Zpět na obsah
 

Pomocí příkazu Obr_ping-(10).PNGpak můžete ověřit, že je tunel skutečně funkční. Viz Obrázek 111.

Obrazek_111.PNG
Obrázek 111: Otestování GRE tunelu u L2 GRE VPN na Site1


Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 112 ukazuje část zachycené komunikace mezi Site1 a Site2.

Obrazek_112.PNG
Obrázek 112: Ukázka odchycené L2 GRE komunikace mezi Site1 a Site2

















 
_____
55  
Zpět na obsah

 

11   Konfigurace L3 VPN pomocí GRE

Pokud máte v tuto chvíli aktivní VPN z části 9 na straně 42, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.

Zde budete konfigurovat tunel, kterým zajistíte L3 propojení dvou lokalit. Na obou stranách tunelu tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). V tomto případě však pouze za pomocí GRE, bez IPsec. Takové spojení tedy nebude zabezpečené a kdokoliv by byl schopen komunikaci po cestě odchytit, ten by ji mohl také přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).

Z konfiguračního pohledu je zde patrný rozdíl proti variantě L3 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
 

11.1   Nastavení VLAN LAN v tomto příkladu

Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
 

11.1.1   Konfigurace na Site1

Nastavení je totožné s částí 9.2.1 na straně 42. Postupujte proto podle ní.
 

11.1.2   Konfigurace na Site2

Nastavení je totožné s částí 9.2.2 na straně 44. Postupujte proto podle ní.
 

11.2   Nastavení L3 GRE tunelu

Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.
 

11.2.1   Konfigurace na Site1

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu8 (zde 172.16.172.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 113.





__________________________________________
 8  Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.
 
_____
56  
Zpět na obsah


Obrazek_113.PNG
Obrázek 113: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site1


Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 114.

Obrazek_114.PNG
Obrázek 114: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1


 
_____
57  
Zpět na obsah

 

11.2.2   Konfigurace na Site2

Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol .

Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 172.16.172.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz Obrázek 115.

Obrazek_115.PNG
Obrázek 115: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site2


Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz Obrázek 116.

 
_____
58  
Zpět na obsah

 
Obrazek_116.PNG
Obrázek 116: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2
 

11.3   Nastavení směrování do L3 GRE tunelu

Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
 

11.3.1   Konfigurace na Site1

Pokud máte v tuto chvíli aktivní routu z části 9.5.1 na straně 48, raději ji smažte. Předejdete potenciálním problémům.

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 117) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.

Obrazek_117.PNG
Obrázek 117: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1
 

11.3.2   Konfigurace na Site2


Pokud máte v tuto chvíli aktivní routu z části 9.5.2 na straně 49, raději ji smažte. Předejdete potenciálním problémům.

Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.

Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol . Zadejte parametry nové routy (viz Obrázek 118) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.
 
_____
59  
Zpět na obsah
 


Obrazek_118.PNG
Obrázek 118: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2
 

11.4   Otestování funkčnosti L3 VPN pomocí GRE

Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem Obr_tunnel-(2).PNG Viz Obrázek 119. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.

Obrazek_119.PNG
Obrázek 119: Kontrola stavu GRE tunelu u L3 GRE VPN na Site1


Pomocí příkazu Obr_ping-(11).PNG pak můžete ověřit, že je tunel skutečně funkční. Viz Obrázek 120.

Obrazek_120.PNG
Obrázek 120: Otestování GRE tunelu u L3 GRE VPN na Site1


Dále můžete zkontrolovat směrovací tabulku, viz Obrázek 121. Za prvé by v ní měla být aktivní routa pro GRE tunel, za druhé pak routa do vzdálené sítě (zvýrazněny žlutě).

 
_____
60  
Zpět na obsah
 
 
Obrazek_121.PNG
Obrázek 121: Kontrola směrovací tabulky u L3 GRE VPN na Site1


Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark. Obrázek 122 ukazuje výše provedený ping mezi Site1 a Site2. Jelikož nejsou data šifrovaná a jelikož se jedná o standardní GRE protokol, je Wireshark schopen přečíst i zapouzdřená data. Jak ukazuje Obrázek 123, ve skutečnosti nejsou ICMP zprávy posílány přímo, ale jsou opravdu zapouzdřena v GRE.

Obrazek_122.PNG
Obrázek 122: Ukázka odchycené L3 GRE komunikace mezi Site1 a Site2


Obrazek_123.PNG
Obrázek 123: Detail odchycené L3 GRE komunikace mezi Site1 a Site2
 
_____
61  
Zpět na obsah
 

12   Diagnostika

Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování častých potíží, určitě nepopisují všechny možné situace.

Výstup některých CLI příkazů je příliš dlouhý. Proto v následujících částech naleznete pouze příkazy, které se pro diagnostiku mohou hodit, ale už ne jejich výstup. Přispěje to k lepší přehlednosti.

K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI9 (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
 

12.1   Práce se systémovým logem

Systémový log najdete pod příkazy Obr_show-log.PNG
 
Obr_str62.PNG

Záleží, co přesně v logu budete hledat. Různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
 

12.2   Získávání informací o tunelech

Příkazem Obr_show-interface-tunnel.PNG můžete zobrazit přehled všech tunelů a informací o nich.

Můžete si také zobrazit informace jen o konkrétním tunelu a to pomocí příkazu Obr_tunnel-(3).PNG 

Podrobné forwarding informace o navázaných tunelech najdete pod příkazem Obr_show-dapath-tunnel.PNGObr_table.PNG 

Také lze zobrazit podrobné forwarding informace o vybraném tunelu Obr_show-dapath-tunnel-(1).PNG Obr_tunnel-id.PNG Pozor ID zde odpovídá číslu tunelu z příkazu Obr_show-dapath-tunnel.PNGObr_table.PNG
 

12.3   VLAN a IP diagnostika

Informace o VLAN najdete pod příkazem Obr_show-vlan.PNG. Podrobnější informace pak poskytne příkaz Obr_show-(7).PNG. Příkaz show ip interface brief vám zobrazí informace o IP rozhraních.


__________________________________________
 9  Více informací k CLI viz:

https://www.arubanetworks.com/techdocs/CLI-Bank/Content/CLI%20RG/cli-home-aos.htm.

 

_____
62  
Zpět na obsah


Zobrazení směrovací tabulky je možné příkazem Obr_show-ip-route.PNG Alternativně můžete použít také příkaz Obr_show-ip-route-verbose.PNG který nabízí podrobnější informace o IPsec routách. ARP tabulku můžete procházet příkazem Obr_show-arp.PNG.
 

12.4   Zjišťování informací souvisejících s IPsec

Přehled navázaných IPsec spojeních (tzv. SA, Security Associations) zobrazíte příkazem Obr_show-crypto.PNG Obr_ipsec-sa.PNG.

Bližší informace o konkrétním IPsec spojení nabízí příkaz Obr_show-crypto-ipsec-sa.PNG Díky tomuto příkazu zjistíte prakticky všechny informace o IPsec spojení na jednom místě.

Informace o ISAKMP spojení najdete pod příkazem Obr_show-crypto-isakm.PNG. Detail konkrétního spojení pak pod příkazem Obr_show-crypto-isakmp-sa.PNG.

ISAKMP statistiky jsou pod příkazy Obr_show-crypto-isakmp-stats.PNG a Obr_show-crypto-isakmp.PNGObr_transport.PNG

Seznam transform setů zobrazíte příkazem Obr_show-crypto-ipsec-transform.PNG.

Obdobně můžete také zjistit dostupné IKE policy a to příkazem Obr_show-crypto-isakmp-policy.PNG Detail konkrétní policy lze zobrazit příkazem Obr_show-crypto-isakmp-policy.PNG


12.5   Testování konektivity

Pro otestování konektivity lze použít příkazy Obr_ping-(12).PNG a Obr_traceroute-(1).PNG a jejich doplňkové parametry (například zdrojové rozhraní, resp. IP adresa).
 

12.6   Mazání provozních dat

Pro mazání některých provozních informací, čítačů, statistik slouží příkaz Obr_clear.PNG. Viz například dokumentace: https://www.arubanetworks.com/techdocs/CLI-Bank/Content/aos-cli/clear.htm.

Například v případě debugu, či ladění, IPsec/IKE se mohou hodit příkazy ke smazání již existujících IPsec/ISAKMP spojení:

Obr_str63.PNG
 






 
_____
63  
Zpět na obsah
 













 

Seznamy












 

 


 

_____
64  
Zpět na obsah

 


Seznam obrázků

Obrázek 1: Schéma testovací topologie ................................................................................................................... 7
Obrázek 2: Přihlášení do webového rozhraní kontroléru ................................................................................... 8
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru .......................................................... 8
Obrázek 4: Menu pro zapnutí skrytých voleb ve webovém rozhraní ............................................................... 10
Obrázek 5: Nastavení zobrazování skrytých voleb ve webovém rozhraní ...................................................... 10
Obrázek 6: Menu pro změnu konfiguračního kontextu ...................................................................................... 11
Obrázek 7: Přehled konfiguračních kontextů, aktivní kontext je označen oranžově ................................... 11
Obrázek 8: Změna konfiguračního kontextu ......................................................................................................... 11
Obrázek 9: Menu pro přístup ke konfiguraci VLAN .............................................................................................. 12
Obrázek 10: Vytvoření VLAN pro přístup k internetu na Site1 .......................................................................... 12
Obrázek 11: Vytvoření VLAN pro přístup k internetu na Site2 .......................................................................... 12
Obrázek 12: Přístup k nastavení VLAN na portech na Site1 .............................................................................. 13
Obrázek 13: Přístup k nastavení VLAN na portech na Site2 .............................................................................. 13
Obrázek 14: Přiřazení VLAN na konkrétní port na Site1 i Site2 ......................................................................... 14
Obrázek 15: Nasazení nové konfigurace VLAN do provozu ............................................................................... 14
Obrázek 16: Nastavení IP adresy pro WAN na Site1 ............................................................................................ 14
Obrázek 17: Nastavení IP adresy pro WAN na Site2 ............................................................................................ 15
Obrázek 18: Zapnutí NAT provoz do internetu na Site1 ..................................................................................... 15
Obrázek 19: Zapnutí NAT provoz do internetu na Site2 ..................................................................................... 16
Obrázek 20: Přidání nové výchozí brány na Site1 ................................................................................................ 16
Obrázek 21: Přidání nové výchozí brány na Site2 ................................................................................................ 16
Obrázek 22: Seznam výchozích bran na Site1 ....................................................................................................... 17
Obrázek 23: Seznam výchozích bran na Site2 ....................................................................................................... 17
Obrázek 24: Menu pro přístup k diagnostickým nástrojům ............................................................................... 17
Obrázek 25: Otestování dostupnosti výchozí brány na Site1 ............................................................................ 18
Obrázek 26: Otestování dostupnosti výchozí brány na Site2 ............................................................................ 18
Obrázek 27: Otestování konektivity mezi Site1 a Site2 ....................................................................................... 19
Obrázek 28: Menu pro konfiguraci VPN služeb .................................................................................................... 20
Obrázek 29: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 1 ............................................... 20
Obrázek 30: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 2 ............................................... 21
Obrázek 31: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 3 ............................................... 22
Obrázek 32: Seznam IPsec spojení na Site1 .......................................................................................................... 22
Obrázek 33: Aktivace změn po nastavení L3 IPsec VPN na Site1 ..................................................................... 22
Obrázek 34: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 1 ............................................... 23
Obrázek 35: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 2 ............................................... 23
Obrázek 36: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 3 ............................................... 24
Obrázek 37: Seznam IPsec spojení na Site2 .......................................................................................................... 24
Obrázek 38: Aktivace změn po nastavení L3 IPsec VPN na Site2 ..................................................................... 24
Obrázek 39: Stav směrovací tabulky na Site1 po sestavení tunelu pro L3 IPsec VPN do Site2 ................ 25
Obrázek 40: Kontrola funkčnosti L3 IPsec VPN pomocí ICMP ze Site1 do Site2 .......................................... 25
Obrázek 41: Kontrola MAC a ARP tabulky na Site1 .............................................................................................. 26
Obrázek 42: Ukázka odchycené IPsec komunikace mezi Site1 a Site2 ........................................................... 26
Obrázek 43: Vytvoření GRE endpoint VLAN na Site1 ........................................................................................... 27
Obrázek 44: Nastavení IP adresy pro GRE endpoint VLAN na Site1 ................................................................ 27
Obrázek 45: Stav GRE endpoint VLAN na Site1, VLAN není funkční ................................................................ 28
Obrázek 46: Kontrola stavu GRE endpoint VLAN na Site1 v CLI ....................................................................... 28
 

 

_____
65  
Zpět na obsah

 

 

Obrázek 47: Ruční aktivace GRE endpoint VLAN na Site1 ..................................................................................  28
Obrázek 48: Kontrola funkčnosti GRE endpoint VLAN na Site1 ........................................................................ 29
Obrázek 49: Vytvoření GRE endpoint VLAN na Site2 ........................................................................................... 29
Obrázek 50: Nastavení IP adresy pro GRE endpoint VLAN na Site2 ................................................................ 29
Obrázek 51: Stav GRE endpoint VLAN na Site2, VLAN není funkční ................................................................ 30
Obrázek 52: Kontrola stavu GRE endpoint VLAN na Site2 v CLI ....................................................................... 30
Obrázek 53: Ruční aktivace GRE endpoint VLAN na Site2 .................................................................................. 30
Obrázek 54: Kontrola funkčnosti GRE endpoint VLAN na Site2 ........................................................................ 31
Obrázek 55: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ............................................... 31
Obrázek 56: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site1 ............................ 31
Obrázek 57: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site1 v CLI ................................... 32
Obrázek 58: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ...................................... 32
Obrázek 59: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1 ............................ 32
Obrázek 60: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ............................................... 33
Obrázek 61: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site2 ............................ 33
Obrázek 62: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site2 v CLI ................................... 34
Obrázek 63: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ...................................... 34
Obrázek 64: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2 ............................ 34
Obrázek 65: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 1 ................................. 35
Obrázek 66: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 2 ................................. 35
Obrázek 67: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 3 ................................. 36
Obrázek 68: Kontrola IPsec spojení pro GRE/IPsec VPN na Site1 .................................................................... 36
Obrázek 69: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 1 ................................. 36
Obrázek 70: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 2 ................................. 37
Obrázek 71: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 3 ................................. 37
Obrázek 72: Kontrola IPsec spojení pro GRE/IPsec VPN na Site2 .................................................................... 37
Obrázek 73: Kontrola funkčnosti IPsec tunelu pro GRE/IPsec VPN na Site1 ................................................. 38
Obrázek 74: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site1 .......................................... 38
Obrázek 75: Kontrola GRE tunelů vytvořených na Site1 ..................................................................................... 39
Obrázek 76: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site2 .......................................... 39
Obrázek 77: Kontrola GRE tunelů vytvořených na Site2 ..................................................................................... 39
Obrázek 78: Kontrola směrovací tabulky u L2 GRE/IPsec VPN na Site2 ......................................................... 40
Obrázek 79: Kontrola stavu GRE tunelu u L2 GRE/IPsec VPN na Site2 ........................................................... 40
Obrázek 80: Otestování GRE tunelu u L2 GRE/IPsec VPN na Site2 .................................................................. 41
Obrázek 81: Ukázka odchycené L2 GRE/IPsec komunikace mezi Site1 a Site2 ............................................ 41
Obrázek 82: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ............................................... 42
Obrázek 83: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site1 ............................ 43
Obrázek 84: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site1 v CLI ................................... 43
Obrázek 85: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ...................................... 43
Obrázek 86: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1 ............................ 44
Obrázek 87: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ............................................... 44
Obrázek 88: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site2 ............................ 44
Obrázek 89: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site2 v CLI ................................... 45
Obrázek 90: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ...................................... 45
Obrázek 91: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2 ............................ 45
Obrázek 92: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site1 .......................................... 46
Obrázek 93: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1 ............................................. 47
Obrázek 94: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site2 .......................................... 47


 

_____
66  
Zpět na obsah

 

 

Obrázek 95: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2 .............................................  48
Obrázek 96: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 ................  48
Obrázek 97: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 .................. 48
Obrázek 98: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 ................ 49
Obrázek 99: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 .................. 49
Obrázek 100: Kontrola stavu GRE tunelu u L3 GRE/IPsec VPN na Site1 ......................................................... 49
Obrázek 101: Kontrola směrovací tabulky u L3 GRE/IPsec VPN na Site1 ....................................................... 50
Obrázek 102: Otestování GRE tunelu u L3 GRE/IPsec VPN na Site1 ................................................................ 50
Obrázek 103: Ukázka odchycené L3 GRE/IPsec komunikace mezi Site1 a Site2 .......................................... 50
Obrázek 104: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site1 ............................................. 52
Obrázek 105: Aktivace nastavení nového L2 GRE tunelu na Site1 ................................................................... 52
Obrázek 106: Seznam GRE tunelů vytvořených na Site1 .................................................................................... 53
Obrázek 107: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site2 .............................................. 53
Obrázek 108: Aktivace nastavení nového L2 GRE tunelu na Site2 ................................................................... 54
Obrázek 109: Seznam GRE tunelů vytvořených na Site2 .................................................................................... 54
Obrázek 110: Kontrola stavu GRE tunelu u L2 GRE VPN na Site1 .................................................................... 54
Obrázek 111: Otestování GRE tunelu u L2 GRE VPN na Site1 ........................................................................... 55
Obrázek 112: Ukázka odchycené L2 GRE komunikace mezi Site1 a Site2...................................................... 55
Obrázek 113: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site1 .............................................. 57
Obrázek 114: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1 ........................................... 57
Obrázek 115: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site2 .............................................. 58
Obrázek 116: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2 ........................................... 59
Obrázek 117: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1 .............. 59
Obrázek 118: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2 .............. 60
Obrázek 119: Kontrola stavu GRE tunelu u L3 GRE VPN na Site1 .................................................................... 60
Obrázek 120: Otestování GRE tunelu u L3 GRE VPN na Site1 ........................................................................... 60
Obrázek 121: Kontrola směrovací tabulky u L3 GRE VPN na Site1 .................................................................. 61
Obrázek 122: Ukázka odchycené L3 GRE komunikace mezi Site1 a Site2...................................................... 61
Obrázek 123: Detail odchycené L3 GRE komunikace mezi Site1 a Site2 ........................................................  61













 

_____
67  
Zpět na obsah

 

Konfigurační návod site-to-site VPN

Komentáře (0)



Leave message
Your rating:

Štítky

Přihlášení

Registrace