Académique Documents
Professionnel Documents
Culture Documents
1-6 Reseaux Prive Virtuels VPN
1-6 Reseaux Prive Virtuels VPN
Martin Langlois
malanglo@cisco.com
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 2
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Les VPNs
B A N K
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 3
Agenda
• Applications
• Considérations lors du design
• VPN site à site
• Interaction avec d’autres technologies
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 4
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès Distant
POP
Mobile
Extranet
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 5
Site Principal
Intranet
Extranet
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 6
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Replacement du lien WAN
a) round trip passe de 195 ms avant a 90ms incluant encryption et transport. Avant impossible dans une fin de
semaine de prendre un full backup du serveur (3 essais), aujourd'hui ca prend 4 heures - 4.5 heures encryption
comprise. on fait un incrémental journalier en presque deux heur es. Le temps réponse est beaucoup plus vite.
b) avant 1200$US portion us + 700$CDN portion Canada maintenant 1600$CDN bout a bout, contrat pris auprès de
cie canadienne. L'avantage majeur n'est pas le prix mais la possibilité de pren dre des backup sans intervention
de personne. Le site est dans une région propice aux tempètes et tornades, donc possibilité d'évacuations. En
cas de catastrophe, très façile a relevé de n'importe ou dans des délais très courts.
c) JAMAIS eu de downtime a part deux maintenaces de 5 minutes pr évues par le telco et dans un délai et
conditions respectées. Temps d'installation beaucoup plus rapide qu'un point a point 2 semaine au lieu de 8 et
avec le pix connection directe sur internet en floride donc plusrapide que de passer l'internet sur un lien dédié et
de prendre l'internet ici.
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 7
Site Principal
Extranet
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 8
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
V3PN (VoIP/Video Enabled IPSec VPN)
Téléphone IP
Services de téléphonie IP
>T1
Fournisseur de
Bureau régional
Services
SOHO
Téléphone
IP
Télétravailleur Cisco Powered Network
http://www.cisco.com /pcgi-bin/cpn/cpn_pub_bassrch.pl
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 9
Agenda
• Applications
• Considérations lors du design
• VPN site à site
• Interaction avec d’autres technologies
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 10
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Design Classique
Concentrateur VPN
Filtrage niveau 3
(IKE, ESP) VPN
Analyse
niveaux 4–7
DMZ
Filtrage niveaux 4 à 7
avec état des sessions
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 11
Concentrateur VPN
Analyse
Niveaux 4–7
Filtrage niveau 3
(IKE, ESP) VPN
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 12
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Pare-feu avec concentrateur VPN intégré
Analyse
Niveaux 4–7
Filtrage niveau 3
(IKE, ESP)
Concentrateur VPN
DMZ Filtrage niveaux 4 à 7
avec état des sessions
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 13
Analyse
Niveaux 4–7
Vers le WAN
Vers le Campus
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 14
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Points à considérer lors du Design
• Adressage IP
• Routage • Contrôle d’accès
• Sécurité • Haute disponibilité
• Évolutivité • Performance
• QoS • Interopérabilité
• Gestion • Authentification,
autorisation, et la
• Migration comptabilité
• Les composantes • Balancement de la
• La politique de charge
Sécurité
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 15
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Le positionnement des composantes - II
• Sécurité
Comment ajuster les pare-feu et les règles de
filtrage
Intranet vs Extranet
• Évolution
Les composantes doivent supportée
l’augmentation de la charge
Composante multifonctions ou dédiée
Routage, robustesse, balancement de la
charge et les options pour se relié au WAN
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 17
• QoS
Les paquets devraient maintenir l’étiquette de
QoS en place et les composantes doivent
pouvoir l’honorer
• Gestion
Composantes dédiées sont plus simple à
dépanner vs nombre de composantes.
Plusieurs groupes peuvent être impliqués
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 18
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Agenda
• Applications
• Considérations lors du design
• VPN site à site
• Interaction avec d’autres technologies
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 19
VPN
IPsec SAs VPN
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Topologie en étoile
Fameux
IPSec
IPSec .2
172.21.115.0
192.168.100.0
Siège Social
172.21.114.0 Charlie
.1
.1 .2
IPSec
IPSec
.1
Détective 172.21.116.0
.2
IPSec
IPSec
192.168.150.0
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 21
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 22
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Topologie en étoile simplifiée
Détective
Seulement deux configurations:
IPSec
IPSec - Configuration du concentrateur est dynamique
- Configurations des régions sont semblables
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 23
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 24
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnel Endpoint Discovery (TED)
IOS
IOS12.1
12.1
Alice AàB
doivent être protégés
X1
Pas SA => sonde
IKE:
Aà B (S
onde
IP: A à B X2 =X1)
IKE: Y
YàX
1
Trafic vers B
doit être protégé
Pas SA & sonde reçue Bob
=> bloque & répondre à la sonde
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 25
TED – Configuration
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 26
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Limitations de TED
• Adressage
Comme la sonde utilise les adresses des composantes
protégées (A, B), ces adresses doivent être routables.
TED n’est donc pas applicable pour du VPN sur Internet
• Déploiement
Tous les routeurs IPSec doivent avoir TED actif
Le déploiement sur tous les routeurs doit être réalisé
simultanément ...
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 27
• Passive mode
Utilise IPSec lorsque les deux bouts ont activé IPSec
Utilise aucun chiffrement si un des bouts n’est pas configuré
pour IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 28
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement de IPSec Passive Mode
Routeur Transmet:
- IKE pour le trafic à chiffrer
S’il y a une réponse, le tunnel est établi comme d’habitude
S’il n’y a pas de réponse (après délai):
+ Création d’un “passive SA”: SA normal, avec une bit “passive”
Pas de chiffrement! Durée de vie très courte pour ce SA
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 30
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN
DMVPN
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 31
• Topologie en étoile
+ Tout le trafic doit passer par le site central
+ Facile à déployer
rDeux chiffrements
rBesoin de plus de bande passante vers le site central
rPeut donner des configurations très longues…
• Interconnexion complète (Full Mesh)
+ Communication directe entre les régions
rPetits routeurs n’ont pas les ressources pour
maintenir les connexions
rAjout d’un site = beaucoup de planification
rUn casse-tête d’évolution, donc la plupart des
entreprises utilisent une topologie en étoile
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 32
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN - DMVPN
= Tunnels IPSec Dynamiques & 10.100.1.0 255.255.255.0
Temporaires Spoke-to-spoke
10.100.1.1
= Tunnels IPsec Dynamiques &
Permanents spoke-to-hub
130.25.13.1 Adresse IP
Publique
Statique
Addresses IP
publiques
Dynamiques 10.1.2.1
(ou statiques)
10.1.2.0 255.255.255.0
Spoke
10.1.1.1
10.1.1.0 255.255.255.0
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 33
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 34
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN - Exemple
10.100.1.0 255.255.255.0
1. PC (192.168.1.25)
10.100.1.1
derrière le routeur A veut
contacter le serveur web
Publique: 130.25.13.1
(192.168.2.37) derrière le Privée (Tunnel): 10.0.0.1
routeur B.
Publique: 158.200.2.181
Privé (Tunnel): 10.0.0.2
Routeur B 192.168.2.1
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
Routeur A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 35
Routeur B 192.168.2.1
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
Routeur A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 36
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN - Exemple
10.100.1.0 255.255.255.0
3. Routeur A regarde
10.100.1.1
sa table de NHRP
pour la destination
Publique: 130.25.13.1
10.0.0.2 et ne trouve Privée (Tunnel): 10.0.0.1
pas d’entrée. Alors, il
envoie une requête au
NHRP serveur Publique: 158.200.2.181
Privée (Tunnel): 10.0.0.2
Routeur B 192.168.2.1
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
Routeur A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 37
Routeur B 192.168.2.1
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
Routeur A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 38
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN - Exemple
10.100.1.0 255.255.255.0
5. Routeur A reçoit la
10.100.1.1
réponse et l’inscrit dans sa
table de NHRP. Ceci
Publique: 130.25.13.1
déclanche un tunnel IPSec Privée (Tunnel): 10.0.0.1
directement à 158.200.2.181.
(Routeur A utilise son
adresse publique comme Publique: 158.200.2.181
Privée (Tunnel): 10.0.0.2
peer IPSec)
Routeur B 192.168.2.1
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
192.168.2.37
Routeur A
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 39
192.168.2.1
Routeur B
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
Routeur A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 40
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dynamique Multipoint VPN - Exemple
10.100.1.0 255.255.255.0
7. Le serveur Web reçoit le
paquet du PC et transmet la 10.100.1.1
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 41
192.168.2.1
SPOKE B
Publique: 173.1.13.101
Privée (Tunnel): 10.0.0.10 192.168.2.0 /24 www
SPOKE A 192.168.2.37
192.168.1.1
192.168.1.0 /24
192.168.1.25 PC
= Tunnels IPSec Dynamiques & Temporaires Spoke-to-spoke
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 42
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration – Site Central
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 43
interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1416
ip nhrp authentication donttell
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 44
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration – Site Central – Suite.
interface Ethernet0
ip address 130.25.13.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.0.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
!
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 45
Configuration – Régions
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 46
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration – Régions – Suite
interface Tunnel0
bandwidth 1000
ip address 10.0.0.3 255.255.255.0
ip mtu 1416
ip nhrp authentication donttell
ip nhrp map 10.0.0.1 130.25.13.1
ip nhrp network-id 99
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 47
!
interface Ethernet0
ip address dhcp hostname Spoke1
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 48
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Recommandations
• Certificats/PKI
Si vous utilisez des clef partagées et que la clef est
compromise, il faut changer les clefs dans tous les régions.
• L’authentification avec NHRP
–NHRP Network ID et mot de passe
–mGRE Network ID
• Ces paramètres sont transmis par le tunnel IPSec entre le
site central et les régions et sont chiffrés
• Il est possible de configurer plusieurs serveurs NHRP sur
plusieurs sites centraux pour la redondance
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 49
• 12.2(15)T
7200, 37xx, 36xx, 26xx, 17xx
• 12.2.(13)ZG
Pour les 831, 836 et 837
www.cisco.com/go/fn
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 50
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Agenda
• Applications
• Considérations lors du design
• VPN site à site
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 51
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 52
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Grosseur d’un paquet IP
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 53
Un paquet IP
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags
Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 54
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Les champs d’un paquet fragmenté
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 55
Fragmentation IP
Avant la fragmentation:
ID=x, TL=1300,FO=0,MF=0 Données 1280
En-tête IP Données
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 56
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Pour reconstruire la trame
• L’hôte de Destination
Destination reconstruite la trame en se basant sur
Adresse IP de Source
Le champ “identification”
Les Fragments
MF flags
• Les routeurs ne devraient jamais reconstruire une trame sauf
s’ils sont la destination
• Fragments perdu = Perte complète de la trame IP
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 57
Impact de la Fragmentation
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 58
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Qui Fragmente?
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 59
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 60 1
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Path MTU Discovery (PMTUD)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 61
S R1 R2 R3 R4 D
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 62
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Path MTU Discovery/2
S R1 R2 R3 R4 D
IP L=15
00 DF= 1. R2 ne peut pas transmettre la trame car
1
MTU=1000 demande de fragmenter; mais la
fragmentation est interdite par le DF bit.
2. R2 envoie un ICMP unreachable 3/4 à la source
S (RFC1191 demande que le maximum MTU soit
ICMP ¾ MTU=1000 inscrit dans le ICMP).
3. ICMP contient le MTU et une partie de la trame
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 63
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 64
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Solution: TCP MSS
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 65
S R1 R2 R3 PIX D
0
ct MSS=146
TCP Connect MSS=960 TCP Conne
1.
1. SSn’envoie
n’envoiepas
pasde detrame
trameIP
IP>>1000
1000octets
octets
2. Pas de fragmentation
2. Pas de fragmentation
3.
3. MMême
ême sisiSSutilise
utilisePMTUD,
PMTUD,comme
commeililn’y
n’yaa
pas
pasde
defragmentation,
fragmentation,nous
nousn’avons
n’avonspas
pas
besoin
besoindedegénérer
générerdesdesICMPs
ICMPs
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 66
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Solution: Initialiser à zéro le DF bit
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 67
S R1 R2 R3 R4 D
IP L
=15
00 D
F=1 R1 utilise PBR pour initialiser le DF
bit: permetant la fragmentation
IP L
=15
00 D
F=0
Deux
fragm
ents <
= 100
0 octe
ts
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 68
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Impact de GRE
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 69 1
GRE RFC 2784 (standard: Cisco, Procket, Juniper Obsoletes RFC 1701)
encapsules tous les protocoles dans IP
Dans l’IOS, le tunnel GRE est une interface (avec son propre MTU)
GRE encapsule
IPX tous les protocoles
DECnet
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 70
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Encapsulation GRE
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 71
GRE MTU
• Le MTU de l’interface tunnel GRE est par défaut le MTU de
l’interface physique – 24 octets
Pour Ethernet le MTU de GRE est 1476 octets
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 72
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
GRE et la fragmentation
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 73
Par
Pardéfaut:
défaut: Original IP header IP payload
MTU
MTUdudutunnel
tunnelGRE
GREestestde
de1476
1476 FO=0,MF=0,DF=0,ID=x
=>
=>La
Latrame
trameinitiale
initialeest
estfragmentée
fragmentée 20 octets 1480 octets
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 74
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Encapsulation GRE avec Fragmentation /2
MTU=1500-- 24=1476
MTU=1500
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
IP L=15
00 DF=
0 GRE L<
=1500 D La station D assemble
F=0 les 2 fragments
GRE L<=
1000 DF
=0
1. R1 fragmente
2. R1 Envoie 2
paquets GRE
avec DF=0
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 75
• Tout fonctionne
• Mais, il y a 2 fragmentations
A l’entrée du tunnel
Dans le tunnel
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 76
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Encapsulation GRE avec Fragmentation /4
DF=1 (le cas des stations qui font PMTUD)
MTU=1500-- 24=1476
MTU=1500
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
IP L=15
00 DF= 1. R1 doit fragmenter mais la trame IP
1
initiale à DF=1
476
U=1 2. R1 envoie un ICMP unreachable à S
P MT
ICM
IP L=14 GRE L< Le paquet GRE est trop grop et est à
76 DF= =1500 D
1 F=0 nouveau fragmenté (DF=0)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 78
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Solution: GRE MTU = 1500
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 79
MTU
MTUdudutunnel
tunnel GRE
GREest
estconfigur
configuréé àà
configuré Trame initiale IP (grosseur = 1500)
1500
1500
Interface
Interface tunnel
tunnel …… Original IP header IP payload
ip
ip mtu
mtu 1500
1500 FO=0, MF=0, ID=x
Trame
Trameinitiale
initialen’est
n’estplus
plusfragmentée
fragmentée 20 octets 1480 octets
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
PMTUD avec MTU de l’interface GRE=1500
MTU=1500
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
IP L=15
00 DF=
1 GRE L<
=1500 D
F=0
GRE L<=
1000 DF
=0
1. R1 utilise 1
paquet GRE avec
DF=0
2. R1 fragmente le
paquet GRE
1. R4 reconstruit le paquet GRE
1. 1er fragment est trop gros et 2. La trame IP initiale est envoyée
est à nouveau fragmenté
2. 2ème fragment GRE est
transmi sans être modifié
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 81
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 82
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
PMTUD dans tunnel GRE
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 83
Tunnel path-mtu-discovery /1
MTU=1500-- 24=1476
MTU=1500
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
IP L=15
00 DF= 1. R1 doit fragmenter mais DF=1
1
6 2. R1 transmet un ICMP unreachable à S
=147
P MTU
ICM 1.
Sur réception d’un ICMP unreachable, S va ajuster
son MTU à 1476 octets
IP L=14 GRE L< 2. 2ème paquet IP est maintenant de 1476 octets
76 DF= =1500 D
1 F=1
1. Le paquet GRE est trop gros et il ne peut pas
0 être fragmenté (DF=1)
=100
P MTU 2. Paquet abandonné
ICM
3. ICMP envoyé à R1 (la source du paquet GRE)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 84
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnel path-mtu-discovery /2
MTU est maintenat de 976
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
Tunnel path-mtu-discovery /2
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnel path-mtu-discovery: conclusion
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 87
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 88
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPinIP Encapsulation
IPinIP
IPinIPest
estdéfini
définidans
dansle
leRFC2003
RFC2003 Trame IP Initiale
Utilise le protocole 4
Utilise le protocole 4
Fonctionne
Fonctionneseulement
seulementpour
pourIP
IP Original IP header IP payload
Utilisé
Utilisépar
parIPsec
IPsecen
enmode
modetunnel
tunnel
Presque 20 octets
Presqueidentique
identiqueààGRE
GREdans
dansIOS
IOS
Paquet IPinIP avec en-tête IP: protocol 4 (avec la nouvelle adresse de destination)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 89
Impact de IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 90 1
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 91
Par
Pardéfaut:
défaut: Trame IP initiale
DF
DF bitest
bit estcopié
copié Original IP header IP payload
dans l’en
l’en--tête
dans l’en-tête DF=x
20 octets
IP
IPexterne
externe
Encapsulation IPSec ESP
ESP ESP
Original IP header IP payload
header trailer
16 octets 20 octets 2-10 octets
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 92
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Différence entre GRE et IPSec mode Tunnel
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 93
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IP fragmentation & IPSec
S R1 R2 R3 R4 D
IP L=1
500
IPSec L
<=1500
IPSec L<=
1000
1. Encapsulate dans 1
paquet IPSec
IP L=1500
2. Transmet 1 paquet
IPSec dans 2 fragments
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 95
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 96
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPSec et PMTUD
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 97
PMTUD et IPSec/1
Path MTU = MTU Physique = 1500
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
IP L=15
00 DF= 1. R1 doit fragmenter mais DF=1
1
2. R1 envoie un ICMP unreachable à S (avec Path MTU – 46)
ICMP
1. Sur reception du ICMP unreachable, S envoie des
paquets avec d’un maximum 1454 octets
IP L=14 2. 2ème paquet IP est de 1454 octets
54 DF=
1
IPSec
L=1500
DF=1 1. Paquet IPSec est trop gros et ne peut pas
être fragmenté (DF=1)
ICMP
2. Le paquet est abandonné
3. ICMP envoyé à R1 (source du paquet IPSec)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 98
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
PMTUD et IPSec/2
IPSec Path MTU est maintenant à 1000
MTU=1500 MTU=1500 MTU=1000 MTU=1500 MTU=1500
S R1 R2 R3 R4 D
Plus
Plusde defragmentation
fragmentationSI SIET ETSEULEMENT
SEULEMENTSI SI
les messages ICMP vers
les messages ICMP vers R1 et S ne sont pas R1 et S ne sont pas
filtrés
filtrés
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 99
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
GRE et IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 101 1
GRE + IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 102
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
GRE + Ipsec et la Fragmentation
• Fragmentation
GRE fragmente avant l’encapsulation
IPsec fragmente après le chiffrement
Nous pouvons avoir une double fragmentation
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 104
1500
1 Données (DF bit = 0)
44 1476
2 Fragmente le paquet GRE
68 1500
3 Ajoute encapsulatation GRE
120 1552
4 IPsec chiffre les paquets
120 72 1500
5 Fragmente IPsec
120 1552
6 Assemble le paquet IPsec
68 1500
7 Retire le chiffrement IPsec
8 44 1476
Retire l’encapsulation GRE
9 Hôte Assemble la trame 1500
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 105
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPsec + GRE avec PMTUD – 1ère Partie
MTU 1500 MTU 1500
H1 H2
MTU MTU MTU
1500 1400 1500
H1 MTU: 1476
1438
GRE 1438
1476 IPsec Tunnel GRE 1476
IPsec
IPsec 1500
1500 IPsec 1500
1500
1 Trame IP; Abandonée par GRE
(1476)
2 ICMP envoyé à la source (type=3, code=4)
1476 1500
3 Trame IP; Paquet GRE; Abandonné par IPsec
(1462)
4 ICMP envoyé la source du tunnel GRE
1476
5 Trame IP Abandonnée par GRE
(1438)
6 ICMP envoyé à la source (type=3, code=4)
1438 1462 1500
7 Trame IP; Paquet GRE; Paquet IPSec;
Abandonné par le router intermédiare
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 106
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 107
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPSec et la Qualité de Service
(QoS)
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 108 1
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 109
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnels IPSec & QoS
DSCP
IP header IP Payload
DSCP
IP new hdr ESP header IP IP Payload
Paquet IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 110
Entrée CAR,
CAR, • L’ordre dans les files d’entrée
CBWFQ
et sortie dépend de la QoS
Routage
Commutation
WFQ: Une file par session
PQ/CQ: 4 où 16 queues (ACL)
CBWFQ: Queues multiples (ACL,
IPSec NBAR, …)
Chiffrement
Sortie (QoS)
Serialisation
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 111
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
CBWFQ et IPSec
Entrée
Entr ée CAR CBWFQ • Le marquage des paquets avec
marquage DSCP est réalisé avant le
chiffrement
Routage
Commutation • CBWFQ
classification basée sur des
IPSec “extended ACL”
Chiffrement
=> Plusieurs queues
CBWFQ
classification
CBWFQ
QoS
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 112
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 113
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
WFQ et IPSec
WFQ
Classification basée sur les
WFQ
classification adresses IP, protocoles, (ports IP)
classification
Poids (weight) basé sur les bits
IPSec
IPSec de précédence IP
Chiffrement
Chiffrement
=> Plusieurs queues sont
WFQ utilisées
QoS
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 114
Chiffrement
ChiffrementIPSec
IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 115
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Low Latency Queuing (LLQ) et IPSec
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 116
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
QoS et Anti-Replay
#5 #4 #3 #2 #1
QoS
Change l’ordre dans lequel
les paquets sont livrés #2 #1 #5
Window Size = 3
1 2 3 4 5 6 7 8 9
Paquets #1 et #2
sont à l’extérieur de
1 2 3 4 5 6 7 8 9 la fenêtre et
sont abandonnées
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 118
IOS et PIX
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 119
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Pour annuler l’Anti-Replay
1 IKE SA Unique
Références
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 121 1
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPSec et le PMTUD ou la QoS
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 122
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 123
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Cisco IOS – Nouvelles fonctions de sécurité
Categorie Fonctions Version
Trust & Identity Manual Cert. Enrollment (TFTP and Cut & Paste) 12.2(13)T
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 124
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved. 125
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Merci
N’oubliez pas de remplir votre formulaire d’évaluation.
Forum Solutions Technologiques 2003 © 2003, Cisco Systems, Inc. All rights reserved . 126
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr