CCNP ENCOR合格のための技術解説(GRE & IPSEC)

CCNP

こんにちは、トラ男です。
CCNP ENCOR試験では以下の6つの大分類から出題されます。

  • デュアルスタック(IPv4 および IPv6)アーキテクチャ
  • 仮想化
  • インフラストラクチャ
  • ネットワークアシュアランス
  • セキュリティ
  • 自動化

今回は仮想化分野の技術知識(トンネリング技術 GREとIPsec)についてまとめていきたいと思います。

トンネリング

トンネリングとは、カプセリングすることによりネットワーク上の2点間を仮想の回線(トンネル)でつなぐことです。

トンネリングプロトコルにはPPTP、L2F、L2TP、IPsec、GREなどがありますが、これらのうち暗号化を行えるプロトコルはIPsecだけです。

GREなどの他のプロトコルを使用したい場合には、暗号化のためにGREoverIPsecVPNなどIPsecを併用する必要があります。

VPN(Virtual Private Network)

VPNは仮想的なプライベートネットワーク接続のことで、IPsecなどを実装することで通信データの盗聴を防ぎ、通信の両端の機器間をトンネルで論理的に1対1接続しセキュアな通信を実現します。
トンネルの両端の機器同士が相互に認証、通信の暗号化をすることによって、途中経路の機器ではトンネル内の通信がどのようなものか直接参照できなくなります。

IPsec(Security Architecture for Internet Protocol)

IPsecはIPを使った通信でセキュリティを確保するための規格です。ネットワーク層で動作します。
IPsecを利用したVPN接続を行うことで、公衆網を経由した通信でも安全に情報をやりとり出来、高価な専用線の代用となります。

IPsecはAHやESP、IKEなどのプロトコルで構成されています。
ESPだけで暗号化と認証の両方の機能が備わっているのでESPだけでIPsecを行うことが多いですが、AH+ESPによってESPで暗号化をAHで認証をすることもあります。(AHではパケット全体を認証することが可能となります)

AH
(Authentication Header)
認証パケットが改ざんされていないかどうか認証を行う
パケットの暗号化はできない
送信元認証
完全性の確保(MD5、SHA-1)
アンチリプレイ
ESP
(Encapsulated Security Payload)
暗号化
認証
パケットが改ざんされていないかどうか認証を行う
パケットのペイロード部の暗号化を行う
送信元認証
完全性の確保(MD5、SHA-1)
アンチリプレイ
機密性の保持(DES、3DES、AES)
IKE
(Internet Key Exchage)
鍵交換秘密鍵情報の交換を安全に行う
SA(Security Association)を生成する

GRE(Generic Routing Encapsulation)

GREはIPレベルで動作するトンネリングプロトコルです。
カプセル化するのみで暗号化などは行いません。またユニキャスト、ブロードキャスト、マルチキャストをサポートします。
マルチキャストをサポートするため、動的ルーティング(OSPFなど)をサポートします。
IPsecではマルチキャストをサポートしないため拠点間VPNでOSPFを動作させたい場合にはGRE over IPsecVPNを使用します。

GRE over IPsecVPN

GREとIPsecを組み合わせてVPNを構成します。
GREヘッダをIPsecヘッダでさらにカプセリングします。(トランスポートモードの場合はGREヘッダをESPヘッダで暗号化だけする)

GREでカプセリングしてからIPsecで暗号化するため、ルータ内でのパケットの処理順序は以下のようになります。

ルーティングする
GREトンネルインターフェースにパケットを送出する
GREでカプセル化する
IPsecで暗号化する
カプセル化したパケットをルーティングする
物理インターフェースからパケットを送出する

GREトンネルインターフェース

GREトンネルインターフェースは正常にアップするとup/upになります。
これがup/downとなると異常となり、以下のような原因が考えられます。

GREではインターフェースにtunnel sourceコマンドでGREパケットを送出する自身のIPアドレスもしくはインターフェースを指定します。以下の状態だと無効な値が設定されていると判断されup/downステータスになります。

送信元の問題(tunnel source)
指定したIPアドレスがどのインターフェースにも設定されていない
指定したIPアドレスが設定されたインターフェースがup/upになっていない
指定したインターフェースにIPアドレスが設定されていない
指定したインターフェースがup/upになっていない

GREではインターフェースにtunnel destinationコマンドでGREの対向側のIPアドレスもしくはそのアドレスをもつホスト名を指定します。以下の状態だと無効な値が設定されていると判断されup/downステータスになります。

宛先の問題(tunnel destination)
指定したアドレスへの経路情報がルーティングテーブルに存在しない
(疎通不可でもルーティングテーブルに存在していればupはする)
指定したホスト名が名前解決できない
(名前解決失敗時にコマンドがエラーになる)

MTU/MSS

GREなどでカプセリングするとオーバーヘッドが発生します。(GREの場合は24バイトのオーバーヘッドが発生。)
EthernetではMTUは基本的に1500なのでカプセリングによってMTUが1500を超えてしまい、フラグメント(パケット分割)が発生します。
フラグメントによりネットワークの伝送効率が低下するため、これを防ぐためにはMTUやMSSを変更する必要があります。

なおフラグメントに対して、分割されたパケットを再度組み立てることをリアセンブルと呼びます。

今回はここまでとなります。続けてCCNP ENCORの仮想化分野に関してまとめていきたいと思います。

第六回はこちら

コメント

タイトルとURLをコピーしました