Site-to-site VPN slouží k propojení fyzicky oddělených počítačových sítí. Typicky se jedná o propojení firemních poboček s centrálou, kdy je účelem zajistit pobočkám přístup k firemním zdrojům. Další vlastností takového spojení je, že bývá zabezpečené (ačkoliv to nemusí být pravidlem), tedy data jsou přenášena šifrovaně. Site-to-site VPN může být také alternativou k tomu, aby uživatelé na pobočkách přistupovali k VPN jednotlivě prostřednictvím softwarových klientů – místo toho existuje centrální místo, které se o přístup k centrále stará.
Možností, jak realizovat site-to-site VPN, je mnoho. Některé staví na standardních protokolech, jiná řešení jsou proprietární. V dnešní době se často používá protokolu IPsec, který nabízí široké možnosti šifrování i ověřování (heslem i pomocí certifikátů). Aruba ve svých kontrolérech nabízí IPsec tunelování (pro L3 VPN) a GRE tunely (jak v režimu L2, tak i L3). Samotné GRE tunely, na rozdíl od IPsec tunelů, šifrované nejsou. Lze však výše uvedené možnosti kombinovat a docílit tak i zabezpečeného GRE spojení a to včetně L2 propojení. Kryptografické možnosti ArubaOS lze najít v dokumentaci1. Kromě standardně dostupných kryptografických algoritmů je k dispozici také Suite B kryptografie pomocí modulu Advanced Cryptography2 (ACR).
Vzhledem k tomu, že IPsec je standardizovaný protokol, lze vytvářet site-to-site VPN nejen mezi dvěma Aruba kontroléry, ale také mezi Aruba kontroléry a produkty třetích stran. Kompatibilita a použitelnost takového řešení se však pochopitelně může lišit a je nutné ji před nasazením důkladně otestovat. GRE tunely mezi Aruba kontroléry a produkty třetích stran kompatibilní nejsou.
Pro správnou funkčnost VPN by měl mít kontrolér povolené na nadřazeném firewallu nejméně tyto porty a protokoly:
Funkce pro tvorbu site-to-site VPN jsou k dispozici minimálně na všech aktuálních kontrolérech Aruba. Jde o:
Site-to-site VPN (a to jak GRE, tak i IPsec) jsou dostupné v rámci základních funkcí Aruba OS, tedy bez nutnosti vlastnit licence, které vám umožnily tyto funkce využívat. Dodatečné licence (LIC-PEF, LIC-VIA,
__________________________________________
LIC-ACR) budete potřebovat pouze v případě, že budete chtít použít některé pokročilé funkce. Jde například o pokročilou kryptografii, možnost aplikovat ACL na tunely, či na uživatelské role.
Všechny příklady v tomto návodu se však bez dodatečných licencí obejdou.
V příkladech níže budete konfigurovat výhradně Aruba kontroléry. Firewally ve schématu výše plní vždy jen roli výchozí brány pro konkrétní kontrolér a starají se o komunikaci ven. Jejich nastavení zde proto není dále nijak diskutováno a je ponecháno na vás.
3 Přístup do administrace kontroléru
Většinu konfigurací v příkladech v tomto návodu budete provádět z prostředí webové administrace WebUI. Některé testování a diagnostické informace však webové rozhraní neobsahuje. V takovém případě budete používat prostředí CLI.
Pokud víte, jak se dostat do administrace kontroléru, pak můžete následující řádky přeskočit a můžete pokračovat rovnou na následující kapitolu.
3.1 Webová administrace (WebUI)
Webové rozhraní je dostupné na IP adresách kontroléru, které jsou živé. Má-li kontrolér IP adresu například 192.168.1.1, pak je WebUI běžně na adrese
https://192.168.1.1:4343. Připojte se tedy k webovému rozhraní a přihlaste se do něj pomocí vašich uživatelských údajů. Výchozí uživatel je
.PNG.aspx)
, heslo jste si zvolili nejspíše při prvotním nastavení kontroléru. Viz
Obrázek 2.
Obrázek 2: Přihlášení do webového rozhraní kontroléru
Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz
Obrázek 3.
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru
3.2 Prostředí CLI
CLI je přístupné buď prostřednictvím lokální konzole, kterou s největší pravděpodobností stejně použijete pro prvotní nastavení kontroléru po jeho spouštění s čistou tovární konfigurací. Když je kontrolér dostupný po IP, můžete též použít SSH, které je ve výchozím stavu povoleno. Stačí se připojit na některou IP adresu, která je na kontroléru nastavená a je živá. Například stejnou IP adresu jako jste použili pro přístup k webovému rozhraní.
4 Zapnutí skrytých voleb
Webové rozhraní AOS 8 ve výchozím stavu skrývá některé konfigurační položky (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem a nejasnostem, zapněte si jejich zobrazování rovnou.
V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na položku Preferences. Viz
Obrázek 4.
Obrázek 4: Menu pro zapnutí skrytých voleb ve webovém rozhraní
V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz
Obrázek 5.
Obrázek 5: Nastavení zobrazování skrytých voleb ve webovém rozhraní
V další části provedete a otestujete úvodní IP nastavení.
5 Práce s konfiguračními kontexty
Zatímco například práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, jiná nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.
Konfigurační kontext změníte klepnutím na tlačítko

vlevo nahoře, viz
Obrázek 6. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz
Obrázek 7.
Obrázek 6: Menu pro změnu konfiguračního kontextu
Obrázek 7: Přehled konfiguračních kontextů, aktivní kontext je označen oranžově
Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz
Obrázek 8.
Obrázek 8: Změna konfiguračního kontextu
6 Úvodní nastavení IP konektivity
Nastavení obou kontrolérů je v principu stejné a reálně se liší pouze konkrétními čísly a názvy VLAN, IP adresami a podobně. Dejte proto pozor, který kontrolér zrovna nastavujete, abyste předešli chybám, které se často velmi špatně odhalují. Popisky jednotlivých obrázků vždy obsahují informaci, kterému kontroléru daný obrázek zrovna odpovídá.
6.1 Nastavení VLAN
VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo dříve: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje
Obrázek 9.
Obrázek 9: Menu pro přístup ke konfiguraci VLAN
Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na

. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 10 a
Obrázek 11.
Obrázek 10: Vytvoření VLAN pro přístup k internetu na Site1
Obrázek 11: Vytvoření VLAN pro přístup k internetu na Site2
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 901, respektive 902) a následně s ní v části Port Members asociujte konkrétní port. Přístup k Port Members menu viz
Obrázek 12 (pro Site1) a
Obrázek 13 (pro Site2). Přiřazení portu do VLAN je pak stejné pro oba dva kontroléry, viz
Obrázek 14. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.
Obrázek 12: Přístup k nastavení VLAN na portech na Site1
Obrázek 13: Přístup k nastavení VLAN na portech na Site2
Obrázek 14: Přiřazení VLAN na konkrétní port na Site1 i Site2
Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete jednotlivé čekající změny zkontrolovat. Klepnutím na tlačítko Deploy Changes se změny aktivují. Postup je opět stejný pro Site1 i Site2. Viz
Obrázek 15.
Obrázek 15: Nasazení nové konfigurace VLAN do provozu
6.2 Nastavení IP parametrů
Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 16 (pro Site1) a
Obrázek 17 (pro Site2). Nastavení uložte klepnutím na tlačítko Submit.
Obrázek 16: Nastavení IP adresy pro WAN na Site1
Obrázek 17: Nastavení IP adresy pro WAN na Site2
Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz
Obrázek 18 (pro Site1) a
Obrázek 19 (pro Site2). V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven. Nastavení opět uložte tlačítkem Submit.
Obrázek 18: Zapnutí NAT provoz do internetu na Site1
Obrázek 19: Zapnutí NAT provoz do internetu na Site2
Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko
.PNG.aspx?width=20&height=19)
a zadejte adresu brány, jak ukazuje
Obrázek 20 (pro Site1) a
Obrázek 21 (pro Site2).

Obrázek 20: Přidání nové výchozí brány na Site1

Obrázek 21: Přidání nové výchozí brány na Site2
Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu. Viz
Obrázek 22 (pro Site1) a
Obrázek 23 (pro Site2). Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře a následně Deploy Changes.
Obrázek 22: Seznam výchozích bran na Site1
Obrázek 23: Seznam výchozích bran na Site2
V případě reálného nasazení nezapomeňte ještě nastavit na kontrolérech správný čas (nejlépe samozřejmě pomocí NTP). To se provádí v menu Configuration, System, na záložce General, v části Clock. Toto je naprosto zásadní zejména pokud používáte certifikáty (například právě u IPsec tunelů). Bez správného času totiž nemusí certifikáty fungovat správně, neboť se budou vinou špatného času například tvářit jako exspirované. V následujících příkladech však certifikáty používat nebudete, přesný čas tedy není pro jejich funkčnost zásadní.
6.3 Otestování konektivity
Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje
Obrázek 24.
Obrázek 24: Menu pro přístup k diagnostickým nástrojům
Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány na obou kontrolérech. Viz
Obrázek 25 (pro Site1) a
Obrázek 26 (pro Site2).
Obrázek 25: Otestování dostupnosti výchozí brány na Site1

Obrázek 26: Otestování dostupnosti výchozí brány na Site2
Nakonec ještě pomocí nástroje Traceroute zkontrolujte, zdali je funkční připojení mezi oběma kontroléry. Viz
Obrázek 27 test ze Site1.
Obrázek 27: Otestování konektivity mezi Site1 a Site2
Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.
7 Konfigurace L3 VPN pomocí IPsec
V tomto příkladu budete nastavovat tunel mezi oběma lokalitami pouze skrze IPsec. Tímto tunelem zajistíte zabezpečené L3 propojení VLAN 1 na obou lokalitách. Obě strany se budou vzájemně ověřovat heslem.
Site-to-site IPsec VPN se konfigurují v menu Configuration, Services, VPN. Viz
Obrázek 28.
Obrázek 28: Menu pro konfiguraci VPN služeb
7.1 Nastavení site-to-site IPsec na Site1
V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol
.PNG.aspx?width=20&height=19)
. Nové IPsec spojení vhodně pojmenujte a zadejte subnety, mezi nimiž se má provoz přenášet šifrovaně (odpovídají oběma VLAN 1, jak ukazuje
Obrázek 1 na straně 7). Více viz
Obrázek 29.
Obrázek 29: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 1
Dále vyberte nastavení IKE protokolu
3, povolte vyšší zabezpečení pomocí PFS
4 a v položce Transforms zvolte, jakými algoritmy má být šifrován přenos dat. Možnosti položek IKE Policy a Transforms jsou velmi široké. Pro další informace proto navštivte dokumentaci, případně si projděte části IKEv1 a IKEv2 na stránce VPN v menu Configuration, Services. Obecně je však dobré myslet na to, že volba kryptografických algoritmů má vliv na propustnost tunelu. Při plánování je proto dobré nahlédnout do datasheetu použitého kontroléru a ověřit tam výkon zvolených algoritmů. Viz
Obrázek 30 níže.
Dále nezapomeňte VLAN, která slouží jako transportní síť (zde WAN VLAN), a zvolte další parametry tunelu. Volba Enforce NAT-T
5 slouží k zajištění správné funkčnosti v případě, že je kontrolér umístěn za NATem. Není-li kontrolér za NATem, pak není nutné tuto volbu použít, avšak pokud ji necháte zapnutou, ničemu to neuškodí. Zásadní je položka Trusted Tunnel, která zajišťuje, aby se na tunel neaplikovala výchozí systémová ACL, která mohou blokovat provoz. Pokud totiž nevlastníte licence pro firewall, nemůžete ani nastavení těchto ACL měnit a možnost provozovat tunel jako transparentní je jediná možnost. Opět viz
Obrázek 30.
Obrázek 30: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 2
__________________________________________
3 IKE protokol slouží k vyjednání kryptografických algoritmů a jejich parametrů, kterými bude následně zabezpečen samotný přenos dat).
4 PFS zajišťuje, že klíče pro nové sessions jsou generovány nezávisle na klíčích předchozích. Nové klíče tak nelze odvodit ani v případě, že jsou původní klíče kompromitovány.
5 NAT-T zajistí správnou funkčnost IPsec za NATem tak, že ho data balí do UDP na portu 4500, viz například
https://en.wikipedia.org/wiki/NAT_traversal#IPsec.
Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE
6. Viz
Obrázek 31. Celé nastavení uložte tlačítkem Submit.
Obrázek 31: Nastavení parametrů IPsec tunelu pro L3 VPN na Site1, část 3
Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz
Obrázek 32. Následně nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz
Obrázek 33.
Obrázek 32: Seznam IPsec spojení na Site1
Obrázek 33: Aktivace změn po nastavení L3 IPsec VPN na Site1
Nastavení kontroléru Site1 je hotovo. Nastavení druhé strany tunelu je popsáno v další kapitole.
__________________________________________
6 Alternativně se dá IKE zabezpečit certifikáty. Tento návod se však touto možností nezabývá.
7.2 Nastavení site-to-site IPsec na Site2
Nejprve opět přejděte do menu Configuration, Services. Následně vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. V tabulce IPSec Maps klepněte na symbol
.PNG.aspx?width=20&height=19)
. Nové IPsec spojení vhodně pojmenujte a zadejte lokální a vzdálený subnet, které mají být propojeny (odpovídají oběma VLAN 1, jak ukazuje
Obrázek 1 na straně 7). Více viz
Obrázek 34.
Obrázek 34: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 1
Následně nastavte kryptografické parametry spojení a další nezbytné parametry tunelu. Nezapomeňte hlavně na volbu Trusted Tunnel, předejdete tak potenciálním problémům s funkčností tunelu. Viz
Obrázek 35.
Obrázek 35: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 2
Na závěr zadejte IP adresu protistrany a nastavte heslo pro IKE spojení. Viz
Obrázek 36. Celé nastavení uložte tlačítkem Submit vpravo dole.
Obrázek 36: Nastavení parametrů IPsec tunelu pro L3 VPN na Site2, část 3
Po uložení se nově vytvořené spojení zobrazí v seznamu IPSec Maps v části Site-to-Site na stránce s nastavením VPN, viz
Obrázek 37. Nakonec nastavení aplikujte prostřednictvím tlačítka Pending Changes vpravo nahoře. Viz
Obrázek 38.
Obrázek 37: Seznam IPsec spojení na Site2
Obrázek 38: Aktivace změn po nastavení L3 IPsec VPN na Site2
Nyní je nastavení L3 IPsec tunelu mezi oběma lokalitami hotovo. Další kapitola ukazuje testy funkčnosti.
7.3 Otestování funkčnosti L3 VPN pomocí IPsec
Testování funkčnosti je totožné na obou kontrolérech. Pro přehlednost jsou zde proto uvedeny ukázky pouze z jednoho z nich.
Pokud jste zapnuli možnost Pre-Connect, pak se IPsec tunel mezi oběma lokalitami vytvoří okamžitě. Pokud jste tuto možnost nevybrali, pak dojde k sestavení tunelu až ve chvíli, kdy na jedné ze stran vznikne požadavek na přenos dat do vzdálené sítě. Jakmile je tunel sestaven, objeví se nový záznam ve směrovací tabulce kontroléru. Viz
Obrázek 39.
Obrázek 39: Stav směrovací tabulky na Site1 po sestavení tunelu pro L3 IPsec VPN do Site2
To, že se tunel sestaví, ještě neznamená, že je plně funkční. Typicky se stává, že je tunel neprůchozí, protože není označen jako Trusted (viz vysvětlení výše v části 7.1 na straně 20). Proto jeho funkčnost otestujte například nástrojem Ping. Zde ping ze Site1 na interní IP adresu kontroléru Site2. Viz
Obrázek 40.
Obrázek 40: Kontrola funkčnosti L3 IPsec VPN pomocí ICMP ze Site1 do Site2
IPsec není ani klasický L2 forwarding, ale ani L3 routing. Proto se ani neprojeví v MAC, respektive ARP tabulce, viz
Obrázek 41.
Obrázek 41: Kontrola MAC a ARP tabulky na Site1
Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark.
Obrázek 42 ukazuje část zachycené komunikace mezi Site1 a Site2.
Obrázek 42: Ukázka odchycené IPsec komunikace mezi Site1 a Site2
8 Konfigurace L2 VPN pomocí GRE a IPsec
Zde budete konfigurovat tunel, který vám umožní L2 zabezpečené propojení obou lokalit. Do jedné velké sítě tak propojíte dvě stejné VLAN na obou lokalitách. V případě jako je tento je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní. L2 přenos zajistí GRE tunel, zabezpečení dat pak IPsec. Obě strany se budou ověřovat heslem.
8.1 Nastavení VLAN pro GRE endpoint
GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
8.1.1 Konfigurace na Site1
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
.PNG.aspx?width=20&height=19)
. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 43.
Obrázek 43: Vytvoření GRE endpoint VLAN na Site1
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 44. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 44: Nastavení IP adresy pro GRE endpoint VLAN na Site1
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje
Obrázek 45, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.
Obrázek 45: Stav GRE endpoint VLAN na Site1, VLAN není funkční
Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem

, viz
Obrázek 46.
Obrázek 46: Kontrola stavu GRE endpoint VLAN na Site1 v CLI
Nyní VLAN ručně aktivujte příkazem

a konfiguraci nezapomeňte uložit, viz
Obrázek 47. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 47: Ruční aktivace GRE endpoint VLAN na Site1
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu

ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 48.
Obrázek 48: Kontrola funkčnosti GRE endpoint VLAN na Site1
8.1.2 Konfigurace na Site2
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
.PNG.aspx?width=20&height=19)
. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita jako GRE endpoint. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 49.
Obrázek 49: Vytvoření GRE endpoint VLAN na Site2
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 50. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 50: Nastavení IP adresy pro GRE endpoint VLAN na Site2
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Jak ukazuje
Obrázek 51, VLAN v tuto chvíli není funkční (sloupec Operational State), protože není přiřazena žádnému fyzickému portu. Vzhledem k tomu, že VLAN ani nebude přiřazena žádnému portu, je třeba ji oživit jinak.
Obrázek 51: Stav GRE endpoint VLAN na Site2, VLAN není funkční
Přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem
.PNG.aspx)
viz
Obrázek 52.
Obrázek 52: Kontrola stavu GRE endpoint VLAN na Site2 v CLI
Nyní VLAN ručně aktivujte příkazem

a konfiguraci nezapomeňte uložit, viz
Obrázek 53. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 53: Ruční aktivace GRE endpoint VLAN na Site2
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu
.PNG.aspx)
ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 54.
Obrázek 54: Kontrola funkčnosti GRE endpoint VLAN na Site2
8.2 Nastavení VLAN LAN v tomto příkladu
Dále je třeba vytvořit síť, kterou budete pomocí tunelu propojovat s druhou lokalitou.
8.2.1 Konfigurace na Site1
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
.PNG.aspx?width=20&height=19)
. V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 55.
Obrázek 55: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 56. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 56: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site1
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.
Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem
.PNG.aspx)
viz
Obrázek 57.
Obrázek 57: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site1 v CLI
Nyní VLAN ručně aktivujte příkazem
.PNG.aspx)
a konfiguraci nezapomeňte uložit, viz
Obrázek 58. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 58: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu
.PNG.aspx)
ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 59.
Obrázek 59: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site1
8.2.2 Konfigurace na Site2
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
.PNG.aspx?width=20&height=19)
. V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 60.
Obrázek 60: Vytvoření VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 61. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 61: Nastavení IP adresy pro LAN VLAN pro L2 GRE/IPsec tunelování na Site2
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.
Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem
.PNG.aspx)
viz
Obrázek 62.
Obrázek 62: Kontrola stavu LAN VLAN pro L2 GRE/IPsec tunelování na Site2 v CLI
Nyní VLAN ručně aktivujte příkazem
.PNG.aspx)
a konfiguraci nezapomeňte uložit, viz
Obrázek 63. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 63: Ruční aktivace VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu
.PNG.aspx)
ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 64.
Obrázek 64: Kontrola funkčnosti VLAN pro LAN pro L2 GRE/IPsec tunelování na Site2
8.3 Nastavení IPsec tunelu pro zabezpečení GRE tunelu
Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
8.3.1 Konfigurace na Site1
V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol
.PNG.aspx?width=20&height=19)
. Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz
Obrázek 65.
Obrázek 65: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 1
Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz
Obrázek 66.
Obrázek 66: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 2
Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site2) a heslo, které se má použít pro IKE. Viz
Obrázek 67. Celé nastavení uložte tlačítkem Submit.
Obrázek 67: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site1, část 3
Nově vytvořené spojení zkontrolujte (viz
Obrázek 68) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 68: Kontrola IPsec spojení pro GRE/IPsec VPN na Site1
8.3.2 Konfigurace na Site2
V menu Configuration, Services vyberte v horní nabídce VPN a níže na stránce otevřete část Site-to-Site. Dále v tabulce IPSec Maps klepněte na symbol
.PNG.aspx?width=20&height=19)
. Nové IPsec spojení vhodně pojmenujte a jako subnety použijte IP adresy GRE endpointů z části 8.1 na straně 27. Tím zajistíte, že se do IPsec tunelu budou „nabírat“ data, která přenáší GRE tunel. Viz
Obrázek 69.
Obrázek 69: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 1
Pak nastavte další parametry IPsec tunelu. Nezapomeňte hlavně na položku Trusted Tunnel. Viz
Obrázek 70.
Obrázek 70: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 2
Nakonec nastavte IP adresu protistrany (zde WAN IP adresa kontroléru na Site1) a heslo, které se má použít pro IKE. Viz
Obrázek 71. Celé nastavení uložte tlačítkem Submit.
Obrázek 71: Nastavení parametrů IPsec tunelu pro GRE/IPsec VPN na Site2, část 3
Nově vytvořené spojení zkontrolujte (viz
Obrázek 72) a nové nastavení aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 72: Kontrola IPsec spojení pro GRE/IPsec VPN na Site2
8.3.3 Otestování funkčnosti IP tunelu
Nyní můžete zkontrolovat, že je IPsec tunel (nyní ještě bez samotného GRE tunelu) funkční. Použijte třeba na Site1 (nebo na Site2, je to jedno) příkaz
.PNG.aspx)
a ověřte dostupnost protějšího GRE endpointu. Viz
Obrázek 73.
Obrázek 73: Kontrola funkčnosti IPsec tunelu pro GRE/IPsec VPN na Site1
8.4 Nastavení L2 GRE tunelu
Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
8.4.1 Konfigurace na Site1
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol
.PNG.aspx?width=20&height=19)
.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 74.
Obrázek 74: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site1
Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz
Obrázek 75.
Obrázek 75: Kontrola GRE tunelů vytvořených na Site1
8.4.2 Konfigurace na Site2
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol
.PNG.aspx?width=20&height=19)
.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 76.
Obrázek 76: Nastavení parametrů L2 GRE tunelu pro GRE/IPsec VPN na Site2
Nastavení tunelu uložte tlačítkem Submit vpravo dole a následně ho aktivujte přes tlačítko Pending Changes vpravo nahoře. Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz
Obrázek 77.
Obrázek 77: Kontrola GRE tunelů vytvořených na Site2
8.5 Otestování funkčnosti L2 VPN pomocí GRE a IPsec
Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site2.
Že je sestavený IPsec tunel poznáte například ve směrovací tabulce, kde se objeví routa, odpovídající danému IPsec spojení. Viz
Obrázek 78.
Obrázek 78: Kontrola směrovací tabulky u L2 GRE/IPsec VPN na Site2
Můžete si také zobrazit informace o GRE tunelu a zkontrolovat jeho stav, viz
Obrázek 79.
Obrázek 79: Kontrola stavu GRE tunelu u L2 GRE/IPsec VPN na Site2
Pomocí příkazů
.PNG.aspx)
a

můžete ověřit, že je tunel skutečně funkční. V ARP tabulce následně uvidíte, že tunel funguje jako L2, viz záznam pro IP adresu 192.168.100.1. Viz
Obrázek 80.
Obrázek 80: Otestování GRE tunelu u L2 GRE/IPsec VPN na Site2
Na závěr můžete ještě zkontrolovat, že jsou data opravdu přenášena tak, jak očekáváte. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark.
Obrázek 81 ukazuje část zachycené komunikace mezi Site1 a Site2.
Obrázek 81: Ukázka odchycené L2 GRE/IPsec komunikace mezi Site1 a Site2
9 Konfigurace L3 VPN pomocí GRE a IPsec
V této části budete konfigurovat tunel, který vám umožní zabezpečené L3 propojení obou lokalit. Tento typ VPN se dá použít jako alternativa k samotnému IPsec tunelu, který byl popsán v kapitole 7 na straně 20. Na obou stranách tunelu v tomto případě tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). Obě strany se budou opět ověřovat heslem.
9.1 Nastavení VLAN pro GRE endpoint
GRE tunel je třeba navázat mezi dvěma IP adresami. Normálně by pro něj bylo možné použít například veřejné IP adresy kontrolérů. V tomto případě ale potřebujete tunel následně ještě „schovat“ do IPsec tunelu, aby data mohla být přenášena zabezpečeně. Proto je vhodné GRE navázat na jiné IP adresy („GRE endpoint“), abyste mohli snadno vybrat, který provoz má skončit v IPsec tunelu. Jako endpoint zde použijete VLAN vyhrazenou jen pro tento účel.
9.1.1 Konfigurace na Site1
Nastavení je totožné s částí 8.1.1 na straně 27. Postupujte proto podle ní.
9.1.2 Konfigurace na Site2
Nastavení je totožné s částí 8.1.2 na straně 29. Postupujte proto podle ní.
9.2 Nastavení VLAN LAN v tomto příkladu
Dále je třeba vytvořit sítě, které budete tunelem propojovat.
9.2.1 Konfigurace na Site1
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 82.
Obrázek 82: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 83. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.

Obrázek 83: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site1
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.
Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem
.PNG.aspx)
viz
Obrázek 84.
Obrázek 84: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site1 v CLI
Nyní VLAN ručně aktivujte příkazem
.PNG.aspx)
a konfiguraci nezapomeňte uložit, viz
Obrázek 85. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 85: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu
.PNG.aspx)
ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 86.
.PNG.aspx)
Obrázek 86: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site1
9.2.2 Konfigurace na Site2
V menu Configuration, Interfaces, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na

. V dialogu, který se otevře, vytvořte novou VLAN, která bude v tomto případě sloužit jako LAN. Nastavení uložte klepnutím na tlačítko Submit. Viz
Obrázek 87.
Obrázek 87: Vytvoření VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2
Teď nastavte nové VLAN IP adresu. Vyberte správnou VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 88. Nastavení uložte klepnutím na tlačítko Submit. Konfiguraci následně aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 88: Nastavení IP adresy pro LAN VLAN pro L3 GRE/IPsec tunelování na Site2
Za normálních okolností bývá VLAN přiřazená na fyzický port, čímž dojde k oživení IP adresy jí přiřazené. Pro zjednodušení následného testování však i tuto VLAN oživte ručně. Následně pak budete moci testování funkčnosti provádět snadno přímo z kontroléru a nebudete potřebovat na obou lokalitách mít připojená fyzická zařízení. Alternativně samozřejmě můžete VLAN přiřadit na konkrétní porty a do těch připojit zařízení a testovat z nich.
Abyste VLAN mohli oživit, přepněte se z webového rozhraní do prostředí CLI. Aktuální stav VLAN si v CLI můžete zobrazit příkazem
.PNG.aspx)
viz
Obrázek 89.
Obrázek 89: Kontrola stavu LAN VLAN pro L3 GRE/IPsec tunelování na Site2 v CLI
Nyní VLAN ručně aktivujte příkazem
.PNG.aspx)
a konfiguraci nezapomeňte uložit, viz
Obrázek 90. VLAN bude od tohoto momentu neustále živá, podobně jako tomu je například u loopbacků.
Obrázek 90: Ruční aktivace VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2
Nakonec si ještě zkontrolujte, že je vše OK. Zobrazte si opět stav VLAN a také můžete pomocí příkazu
.PNG.aspx)
ověřit, že je IP adresa dané VLAN dostupná. Viz
Obrázek 91.
Obrázek 91: Kontrola funkčnosti VLAN pro LAN pro L3 GRE/IPsec tunelování na Site2
9.3 Nastavení IPsec tunelu pro zabezpečení GRE tunelu
Teď si připravte IPsec tunel, který bude šifrovaně přenášet GRE tunel. Konfigurace je velmi podobná jako u příkladu v části 7 na straně 20. Zde proto najdete jen stručnou ukázku konfigurace. Pokud chcete bližší vysvětlení některých nastavení, navštivte odkazovanou kapitolu.
9.3.1 Konfigurace na Site1
Nastavení je totožné s částí 8.3.1 na straně 34. Postupujte proto podle ní.
9.3.2 Konfigurace na Site2
Nastavení je totožné s částí 8.3.2 na straně 36. Postupujte proto podle ní.
9.4 Nastavení L3 GRE tunelu
Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.
9.4.1 Konfigurace na Site1
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu
7 (zde 10.10.10.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 92.
Obrázek 92: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site1
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 93.
__________________________________________
7 Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.

Obrázek 93: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1
9.4.2 Konfigurace na Site2
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 10.10.10.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Nakonec zvolte zdrojovou a cílovou IP adresu – použijte endpointy dříve připravené v části 8.1 na straně 27. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 94.
Obrázek 94: Nastavení parametrů L3 GRE tunelu pro GRE/IPsec VPN na Site2
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 95.
Obrázek 95: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2
9.5 Nastavení směrování do L3 GRE tunelu
Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
9.5.1 Konfigurace na Site1
Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.
Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol

. Zadejte parametry nové routy (viz
Obrázek 96) a routu uložte klepnutím na tlačítko Submit vpravo dole.
Obrázek 96: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1
V seznamu statických rout zkontrolujte, že je routa v pořádku (viz
Obrázek 97) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.
Obrázek 97: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1
9.5.2 Konfigurace na Site2
Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.
Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol

. Zadejte parametry nové routy (viz
Obrázek 98) a routu uložte klepnutím na tlačítko Submit vpravo dole.
Obrázek 98: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2
V seznamu statických rout zkontrolujte, že je routa v pořádku (viz
Obrázek 99) a nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.
Obrázek 99: Kontrola routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2
9.6 Otestování funkčnosti L3 VPN pomocí GRE a IPsec
Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem

Viz
Obrázek 100.
Obrázek 100: Kontrola stavu GRE tunelu u L3 GRE/IPsec VPN na Site1
Pohledem do směrovací tabulky můžete vidět, že jsou pravděpodobně v pořádku všechny potřebné cesty. Díky tomu, že je sestavený IPsec tunel, je sestavený i L3 GRE tunel a díky tomu je ve směrovací tabulce také statická routa do vzdáleného subnetu. Viz
Obrázek 101.
Obrázek 101: Kontrola směrovací tabulky u L3 GRE/IPsec VPN na Site1
Pomocí příkazu
.PNG.aspx)
pak můžete ověřit, že je tunel skutečně funkční. Otestujte některou živou IP adresu z LAN, která se nachází na druhé straně L3 GRE tunelu. Viz
Obrázek 102.
Obrázek 102: Otestování GRE tunelu u L3 GRE/IPsec VPN na Site1
Nakonec si můžete ověřit, že jsou data opravdu přenášena zabezpečeně (tedy uvnitř IPsec, do jehož obsahu není vidět). Můžete je typicky odchytit po cestě, například pomocí programu Wireshark.
Obrázek 103 ukazuje část zachycené komunikace mezi Site1 a Site2.
Obrázek 103: Ukázka odchycené L3 GRE/IPsec komunikace mezi Site1 a Site2
10 Konfigurace L2 VPN pomocí GRE
Pokud máte v tuto chvíli aktivní VPN z části 8 na straně 27, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.
V tomto příkladu nastavíte tunel, který vám umožní L2 propojení obou lokalit pouze pomocí GRE. To v praxi znamená hlavně, to že komunikace po cestě nebude nijak zabezpečená. Kdokoliv by ji po cestě odchytil, ten by byl schopen ji přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).
Podobně jako u varianty L2 GRE tunelu uvnitř IPsec tunelu, i zde je však nutné pamatovat na to, že se daná VPN bude chovat jako klasický switch. Tzn. L2 multicast a broadcast bude posílán i napříč tunelem a to může v některých případech mít neblahý dopad na výkon sítě. Buďte proto s použitím L2 VPN opatrní.
Z konfiguračního pohledu je zde patrný rozdíl proti variantě L2 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
10.1 Nastavení VLAN LAN v tomto příkladu
Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
10.1.1 Konfigurace na Site1
Nastavení je totožné s částí 8.2.1 na straně 31. Postupujte proto podle ní.
10.1.2 Konfigurace na Site2
Nastavení je totožné s částí 8.2.2 na straně 33. Postupujte proto podle ní.
10.2 Nastavení L2 GRE tunelu
Dále vytvořte samotný GRE tunel, který se postará o L2 přenos dat.
10.2.1 Konfigurace na Site1
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 104.
Obrázek 104: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site1
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 105.
.PNG.aspx)
Obrázek 105: Aktivace nastavení nového L2 GRE tunelu na Site1
Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz
Obrázek 106.
Obrázek 106: Seznam GRE tunelů vytvořených na Site1
10.2.2 Konfigurace na Site2
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L2) a vyberte VLAN, která má být v tunelu přenášena (zde 100). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 107.
Obrázek 107: Nastavení parametrů L2 GRE tunelu pro L2 GRE VPN na Site2
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 108.
Obrázek 108: Aktivace nastavení nového L2 GRE tunelu na Site2
Vytvořený tunel můžete zkontrolovat v seznamu GRE tunelů, viz
Obrázek 109.
Obrázek 109: Seznam GRE tunelů vytvořených na Site2
10.3 Otestování funkčnosti L2 VPN pomocí GRE
Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem
.PNG.aspx?width=244&height=22)
Viz
Obrázek 110. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.
Obrázek 110: Kontrola stavu GRE tunelu u L2 GRE VPN na Site1
Pomocí příkazu
.PNG.aspx)
pak můžete ověřit, že je tunel skutečně funkční. Viz
Obrázek 111.
Obrázek 111: Otestování GRE tunelu u L2 GRE VPN na Site1
Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark.
Obrázek 112 ukazuje část zachycené komunikace mezi Site1 a Site2.
Obrázek 112: Ukázka odchycené L2 GRE komunikace mezi Site1 a Site2
11 Konfigurace L3 VPN pomocí GRE
Pokud máte v tuto chvíli aktivní VPN z části 9 na straně 42, vypněte související GRE tunel – položka Enable v parametrech GRE tunelu. Předejdete potenciálním problémům.
Zde budete konfigurovat tunel, kterým zajistíte L3 propojení dvou lokalit. Na obou stranách tunelu tedy budou rozdílné sítě (IP subnety) a provoz mezi nimi bude směrován (na rozdíl od L2 VPN, která funguje jako bridge). V tomto případě však pouze za pomocí GRE, bez IPsec. Takové spojení tedy nebude zabezpečené a kdokoliv by byl schopen komunikaci po cestě odchytit, ten by ji mohl také přečíst. Proto toto řešení není vhodné na přenos dat přes internet. Spíše jde o řešení vhodné k propojení lokalit v prostředí infrastruktury, kterou můžete považovat za bezpečnou (například, protože ji máte fyzicky pod kontrolou).
Z konfiguračního pohledu je zde patrný rozdíl proti variantě L3 GRE s IPsec zabezpečením. Protože GRE tunel není nutné dále balit do IPsec, nejsou zde ani nutné dedikované GRE endpointy. Tunel lze „natáhnout“ přímo mezi WAN IP adresami obou kontrolérů, jak je popsáno dále při konfiguraci.
11.1 Nastavení VLAN LAN v tomto příkladu
Nejprve je třeba vytvořit sítě, které budete tunelem propojovat.
11.1.1 Konfigurace na Site1
Nastavení je totožné s částí 9.2.1 na straně 42. Postupujte proto podle ní.
11.1.2 Konfigurace na Site2
Nastavení je totožné s částí 9.2.2 na straně 44. Postupujte proto podle ní.
11.2 Nastavení L3 GRE tunelu
Dále vytvořte GRE tunel, který se postará o zapouzdření přenášených dat.
11.2.1 Konfigurace na Site1
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu
8 (zde 172.16.172.1/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 901), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 113.
__________________________________________
8 Vnitřní IP adresy L3 tunelu slouží jako next-hop pro provoz, který má být přenášen tunelem. Více viz další část tohoto příkladu.
Obrázek 113: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site1
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 114.
Obrázek 114: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site1
11.2.2 Konfigurace na Site2
Otevřete menu Configuration, Interfaces a v horní nabídce vyberte GRE Tunnels. Níže na stránce v části GRE Tunnel klepněte na symbol

.
Nový GRE tunel pojmenujte a dejte mu ID podle uvážení. Dále zvolte správný režim (zde L3) a zadejte jeho vnitřní IP adresu (zde 172.16.172.2/32). Nezapomeňte zaškrtnout volbu Trust, aby tunel mohl transparentně přenášet data. Jako zdroj tunelu vyberte WAN VLAN (zde 902), kontrolér tak bude komunikaci spojenou s tímto tunelem posílat z IP adresy této VLAN. Jako cílovou IP pak použijte WAN IP adresu protistrany. Můžete také zapnout keepalive, aby byl tunel udržován aktivní, i když v něm zrovna nebudou přenášena data. Celé nastavení viz
Obrázek 115.
Obrázek 115: Nastavení parametrů L3 GRE tunelu pro L3 GRE VPN na Site2
Nastavení tunelu uložte tlačítkem Submit vpravo dole. Následně nastavení aktivujte přes tlačítko Pending Changes vpravo nahoře, respektive přes tlačítko Deploy Changes v dialogu, který se vám otevře. Viz
Obrázek 116.

Obrázek 116: Kontrola parametrů L3 GRE tunelu před aktivací změn na Site2
11.3 Nastavení směrování do L3 GRE tunelu
Zbývá vám dostat do L3 GRE tunelu přenášená data. K tomu použijte statické směrování.
11.3.1 Konfigurace na Site1
Pokud máte v tuto chvíli aktivní routu z části 9.5.1 na straně 48, raději ji smažte. Předejdete potenciálním problémům.
Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.
Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol

. Zadejte parametry nové routy (viz
Obrázek 117) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.
Obrázek 117: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site1
11.3.2 Konfigurace na Site2
Pokud máte v tuto chvíli aktivní routu z části 9.5.2 na straně 49, raději ji smažte. Předejdete potenciálním problémům.
Provoz lze do L3 GRE tunelu nasměrovat nejsnadněji pomocí obyčejné statické routy. Cílovou sítí je vzdálený subnet, jako next-hop použijte lokální vnitřní IP adresu L3 GRE tunelu.
Nastavení směrování najdete v Configuration, Interfaces. V horní nabídce vyberte IP Routes. Níže na stránce v části IP Routes klepněte na symbol

. Zadejte parametry nové routy (viz
Obrázek 118) a routu uložte klepnutím na tlačítko Submit vpravo dole. Nastavení aktivujte pomocí tlačítka Pending Changes vpravo nahoře.

Obrázek 118: Vytvoření routy pro směrování vzdáleného subnetu do L3 GRE tunelu na Site2
11.4 Otestování funkčnosti L3 VPN pomocí GRE
Ověření funkčnosti se provádí stejně na obou kontrolérech, proto zde najdete ukázku třeba ze Site1. Informace o GRE tunelu a jeho stav můžete zjistit příkazem
.PNG.aspx?width=246&height=22)
Viz
Obrázek 119. Všimněte si zejména atributu Source, který ukazuje, jak se zachová kontrolér v případě, že je zdrojem tunelu VLAN a ne konkrétní IP adresa.
Obrázek 119: Kontrola stavu GRE tunelu u L3 GRE VPN na Site1
Pomocí příkazu
.PNG.aspx)
pak můžete ověřit, že je tunel skutečně funkční. Viz
Obrázek 120.
Obrázek 120: Otestování GRE tunelu u L3 GRE VPN na Site1
Dále můžete zkontrolovat směrovací tabulku, viz
Obrázek 121. Za prvé by v ní měla být aktivní routa pro GRE tunel, za druhé pak routa do vzdálené sítě (zvýrazněny žlutě).

Obrázek 121: Kontrola směrovací tabulky u L3 GRE VPN na Site1
Nakonec se ještě můžete podívat, jak jsou data přenášena. Můžete je typicky odchytit po cestě, například pomocí programu Wireshark.
Obrázek 122 ukazuje výše provedený ping mezi Site1 a Site2. Jelikož nejsou data šifrovaná a jelikož se jedná o standardní GRE protokol, je Wireshark schopen přečíst i zapouzdřená data. Jak ukazuje
Obrázek 123, ve skutečnosti nejsou ICMP zprávy posílány přímo, ale jsou opravdu zapouzdřena v GRE.
Obrázek 122: Ukázka odchycené L3 GRE komunikace mezi Site1 a Site2
Obrázek 123: Detail odchycené L3 GRE komunikace mezi Site1 a Site2
12 Diagnostika
Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování častých potíží, určitě nepopisují všechny možné situace.
Výstup některých CLI příkazů je příliš dlouhý. Proto v následujících částech naleznete pouze příkazy, které se pro diagnostiku mohou hodit, ale už ne jejich výstup. Přispěje to k lepší přehlednosti.
K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI
9 (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
12.1 Práce se systémovým logem
Systémový log najdete pod příkazy

:
Záleží, co přesně v logu budete hledat. Různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
12.2 Získávání informací o tunelech
Příkazem

můžete zobrazit přehled všech tunelů a informací o nich.
Můžete si také zobrazit informace jen o konkrétním tunelu a to pomocí příkazu
Podrobné forwarding informace o navázaných tunelech najdete pod příkazem

Také lze zobrazit podrobné forwarding informace o vybraném tunelu

Pozor ID zde odpovídá číslu tunelu z příkazu

12.3 VLAN a IP diagnostika
Informace o VLAN najdete pod příkazem
. Podrobnější informace pak poskytne příkaz
. Příkaz show ip interface brief vám zobrazí informace o IP rozhraních.
__________________________________________
9 Více informací k CLI viz:
https://www.arubanetworks.com/techdocs/CLI-Bank/Content/CLI%20RG/cli-home-aos.htm.
Zobrazení směrovací tabulky je možné příkazem

Alternativně můžete použít také příkaz

který nabízí podrobnější informace o IPsec routách. ARP tabulku můžete procházet příkazem

.
12.4 Zjišťování informací souvisejících s IPsec
Přehled navázaných IPsec spojeních (tzv. SA, Security Associations) zobrazíte příkazem

.
Bližší informace o konkrétním IPsec spojení nabízí příkaz

Díky tomuto příkazu zjistíte prakticky všechny informace o IPsec spojení na jednom místě.
Informace o ISAKMP spojení najdete pod příkazem

. Detail konkrétního spojení pak pod příkazem

.
ISAKMP statistiky jsou pod příkazy

a

Seznam transform setů zobrazíte příkazem

.
Obdobně můžete také zjistit dostupné IKE policy a to příkazem

Detail konkrétní policy lze zobrazit příkazem

12.5 Testování konektivity
Pro otestování konektivity lze použít příkazy
.PNG.aspx)
a
.PNG.aspx?width=82&height=22)
a jejich doplňkové parametry (například zdrojové rozhraní, resp. IP adresa).
12.6 Mazání provozních dat
Seznam obrázků