キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

tunnel protection と crypto map の違い

GRE と IPSec を併用する際、crypto map を GRE トンネルのソースとなる物理インターフェースに適用すると、tunnel protection をトンネルインターフェースに適用するという二種類のやり方があります。

-------------------------- R1 -------------------------- R2 --------------------------

                                    192.168.12.0/30

crypto map を使用する場合の設定例(R2 の設定):

IPSec のアクセスリストは GRE プロトコルのみマッチしていることに注目してください。

!
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key CISCO address 192.168.12.1
!
crypto ipsec transform-set TSET esp-3des esp-md5-hmac
mode transport

!
crypto map MAP 10 ipsec-isakmp
set peer 192.168.12.1
set transform-set TSET
match address IPsec

!
interface Loopback0
ip address 192.168.120.222 255.255.255.255
!
interface Tunnel12
ip address 192.168.120.2 255.255.255.248

ip ospf network point-to-point
tunnel source 192.168.12.2
tunnel destination 192.168.12.1
!
interface GigabitEthernet0/1
ip address 192.168.12.2 255.255.255.252
crypto map MAP

!
router ospf 1
router-id 192.168.120.222
network 192.168.120.2 0.0.0.0 area 0
network 192.168.120.222 0.0.0.0 area 0
!
ip access-list extended IPsec
permit gre host 192.168.12.2 host 192.168.12.1

!

tunnel protection をトンネルインターフェースに適用する場合:

!
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key CISCO address 192.168.12.1
!
crypto ipsec transform-set TSET esp-3des esp-md5-hmac
mode transport

!
crypto ipsec profile PROF
set transform-set TSET

!
interface Loopback0
ip address 192.168.120.222 255.255.255.255
!
interface Tunnel12
ip address 192.168.120.2 255.255.255.248

ip ospf network point-to-point
tunnel source 192.168.12.2
tunnel destination 192.168.12.1
tunnel protection ipsec profile PROF

!
interface GigabitEthernet0/1
ip address 192.168.12.2 255.255.255.252
!
router ospf 1
router-id 192.168.120.222
network 192.168.120.2 0.0.0.0 area 0
network 192.168.120.222 0.0.0.0 area 0
!

この二つのやり方に関して誤解しやすいところは、前者では暗号化は物理インターフェースで行われ、暗号化されるのは GRE のパケットであり、後者では暗号化はトンネルインターフェースで行われ、暗号化されるのは本来の平文パケットであり、暗号化された後の ESP パケットが GRE トンネルから出力されます。この理解は間違っています。

実際、どちらも本来の平文パケットに GRE のヘッダを追加し、その後暗号化をかける順序となります。なので、結果的にトンネルより出力されるパケットはどちらも ESP パケットです。これは、両者どちらの場合でも IP Protocol 47 (すなわち GRE) のパケットを対象に IPSec SA が確立されていることからも確認できます。

Router# show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 192.168.12.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.12.2/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

二種類の設定の本質的な違いはただ一つ:
crypto map の場合、暗号化対象のトラフィックをトリガーに SA が確立されます
tunnel protection の場合、設定が入った時点で SA が確立されます

バージョン履歴
改訂番号
1/1
最終更新:
‎07-22-2010 07:53 PM
更新者: