Appearance
トンネリング(GRE / IPsec)
GRE vs IPsec
| GRE | IPsec | |
|---|---|---|
| 暗号化 | なし | あり |
| マルチキャスト | 通せる | 通せない(ユニキャストのみ) |
| オーバーヘッド | 24バイト | 暗号化処理のCPU負荷 |
GRE over IPsec = 両方のいいとこ取り:
- GRE → マルチキャストをユニキャストにカプセル化
- IPsec → そのGREパケットを暗号化
- OSPF/EIGRPをVPN越しに動かすにはこの組み合わせが必要
GREの設定(シンプル)
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
tunnel source GigabitEthernet0/0
tunnel destination 203.0.113.1tunnel modeのデフォルトはgre ip(省略可能)
tunnel mode の種類
| モード | 用途 |
|---|---|
gre ip | デフォルト。Point-to-Point |
gre multipoint | mGRE。DMVPNで使う(1対多) |
ipip | IP-in-IP。GREヘッダなし、オーバーヘッド小 |
ipsec ipv4 | IPsecトンネルモード |
mGRE / DMVPN / NHRP
- mGRE = multipoint GRE(1つのTunnel IFで複数相手と接続)
- DMVPN = Dynamic Multipoint VPN(mGRE + IPsec + NHRP)
- NHRP = Next Hop Resolution Protocol(トンネルIPから実IPを解決。ARPに近い発想)
NHRPの動き(LISPとの対比)
| LISP | NHRP | |
|---|---|---|
| 問い合わせ | このEIDのRLOCは? | このトンネルIPの実IPは? |
| 聞く相手 | MR/MS | NHSハブ |
| 応答 | Map-Reply | NHRP Resolution Reply |
| 目的 | EIDの所在地解決 | トンネルの相手先解決 |
Crypto Map(CiscoのIPsec設定)
FortiGateとの対応:
| Cisco crypto map | FortiGate |
|---|---|
| ACLで対象トラフィック指定 | フェーズ2のローカル/リモートサブネット(セレクタ) |
set peer | リモートゲートウェイ |
set transform-set | フェーズ2の暗号化/ハッシュ設定 |
| インターフェースに適用 | ポリシーでTunnel IFを紐付け |
注意: crypto mapはレガシー。最近はVTI(Virtual Tunnel Interface)が主流。試験では両方出る可能性あり。
ワイルドカードマスク(ACLで使用)
- 0のビット = 「一致しなければならない」
- 1のビット = 「なんでもいい(ワイルドカード)」
- /24の場合: サブネット
255.255.255.0→ ワイルドカード0.0.0.255