Skip to content

トンネリング(GRE / IPsec)

GRE vs IPsec

GREIPsec
暗号化なしあり
マルチキャスト通せる通せない(ユニキャストのみ)
オーバーヘッド24バイト暗号化処理のCPU負荷

GRE over IPsec = 両方のいいとこ取り:

  • GRE → マルチキャストをユニキャストにカプセル化
  • IPsec → そのGREパケットを暗号化
  • OSPF/EIGRPをVPN越しに動かすにはこの組み合わせが必要

GREの設定(シンプル)

interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 tunnel source GigabitEthernet0/0
 tunnel destination 203.0.113.1
  • tunnel modeのデフォルトは gre ip(省略可能)

tunnel mode の種類

モード用途
gre ipデフォルト。Point-to-Point
gre multipointmGRE。DMVPNで使う(1対多)
ipipIP-in-IP。GREヘッダなし、オーバーヘッド小
ipsec ipv4IPsecトンネルモード

mGRE / DMVPN / NHRP

  • mGRE = multipoint GRE(1つのTunnel IFで複数相手と接続)
  • DMVPN = Dynamic Multipoint VPN(mGRE + IPsec + NHRP)
  • NHRP = Next Hop Resolution Protocol(トンネルIPから実IPを解決。ARPに近い発想)

NHRPの動き(LISPとの対比)

LISPNHRP
問い合わせこのEIDのRLOCは?このトンネルIPの実IPは?
聞く相手MR/MSNHSハブ
応答Map-ReplyNHRP Resolution Reply
目的EIDの所在地解決トンネルの相手先解決

Crypto Map(CiscoのIPsec設定)

FortiGateとの対応:

Cisco crypto mapFortiGate
ACLで対象トラフィック指定フェーズ2のローカル/リモートサブネット(セレクタ)
set peerリモートゲートウェイ
set transform-setフェーズ2の暗号化/ハッシュ設定
インターフェースに適用ポリシーでTunnel IFを紐付け

注意: crypto mapはレガシー。最近はVTI(Virtual Tunnel Interface)が主流。試験では両方出る可能性あり。

ワイルドカードマスク(ACLで使用)

  • 0のビット = 「一致しなければならない」
  • 1のビット = 「なんでもいい(ワイルドカード)」
  • /24の場合: サブネット 255.255.255.0 → ワイルドカード 0.0.0.255