barra de menu

sábado, 27 de enero de 2018

NOTAS CCIE WRITTEN - IPSEC VIRTUAL TUNNEL INTERFACES (VTI)

Una VTI es una interface de túnel con encapsulación IPSEC directamente. Es el mismo concepto que GRE+IPSEC,  pero sin una cabecera adicional, es decir, es más pequeño el paquete. Podemos decir es IPSEC sobre IP.

Tenemos dos tipos:
  • VTI Estática (SVTI) -> Usado en VPN Site-to-Site
  • VTI Dinámica (DVTI)-> Usado en Accesos Remotos por VPN. También es llamado como EZVPN o EasyVPN.


Otra diferencia que podemos encontrar con GRE+IPSEC es que las VTI no pueden transportar protocolos (OSPF, RIP, etc). Solo Ipv4 sobre Ipv4 o Ipv6 sobre Ipv6.

Las VTI siempre están en ON. No son como los GRE+IPSEC que se levantan bajo demanda de tráfico interesante.

Otra diferencia importante es que las VTI no se levantan (line protocol up) hasta que la Fase 2 de IKE no está completada. En la GRE+IPSEC, el túnel GRE puede estar levantado porque tiene ruta hasta el destino pero la negociación IPSEC no.

A la hora de configrar las VTI ,la fase 1 de IKE (crypto map) es igual que en IPSEC. Es en la Fase 2 de IKE donde cambia un poco.


Para la configuración de las SVTI en 2 sitios remotos:


Mismas direcciones que en laboratios VPN y DMVPN

En R6

interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.252
 full-duplex
 no sh
!
interface Ethernet0/1
 ip address 192.168.0.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.10.0 255.255.255.0 tunnel 0

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
crypto isakmp key IPSEC-SVTI address 0.0.0.0 0.0.0.0
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC-SVTI-TRANSFORM esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile SVTI
 set transform-set IPSEC-SVTI-TRANSFORM


interface Tunnel0
 ip address 100.100.100.1 255.255.255.0
 ip mtu 1400
 ip tcp adjust-mss 1360

 tunnel source Ethernet0/0
 tunnel destination 172.16.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile SVTI


En R8

interface Ethernet0/0
 ip address 172.16.1.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 192.168.10.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
ip route 192.168.0.0 255.255.255.0 tunnel 0
!

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
crypto isakmp key IPSEC-SVTI address 0.0.0.0 0.0.0.0
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC-SVTI-TRANSFORM esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile SVTI
 set transform-set IPSEC-SVTI-TRANSFORM


interface Tunnel0
 ip address 100.100.100.2 255.255.255.0
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile SVTI


En R2

ip routing
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 172.16.1.1 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/2
 ip address 172.16.2.1 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/3
 ip address 172.16.3.1 255.255.255.252
 full-duplex
 no sh 
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!


Vamos a uno de los equipos y comprobamos que es un túnel con IPSEC

show interface tunnel 0
 Vemos el túnel levantado, con encapsulación TUNNEL y el protocolo IPSEC sobre él.

show crypto session - show crypto ipsec sa

Vemos la sesión IPSEC levantada y si nos fijamos en el SA  del IPSEC, podemos ver que ahora el protocolo es 0, que se refiere a IP. En el túnel GRE veíamos que el protocolo era el 47.

SI hacemos un ping entre los PC deberían verse. Si no funciona, hacer un shutdown/no shutdown del túnel.






No hay comentarios:

Publicar un comentario