Generic Routing Encapsulation

Merhaba,
Yazımda GRE (Generic Routing Encapsulation) protokolünün çalışma şeklinden, faydalarından ve konfigürasyonundan bahsedeceğim. Bu yazının benim için bir ilk olmasından dolayı yaşadığım heyecan ve tecrübesizlik umarım yazıma da yansımaz 🙂

GRE bir kapsülleme protokolü olarak çalışır. GRE, üzerine IP başlığı eklenip IP paketi haline gelmiş veriyi kapsüller ve üzerine yeni bir IP başlığı ekler. Yeni eklenen IP başlığında ise paketin gideceği hedefin IP adresi bulunmaz. Onun yerine GRE tünelinin uç IP adresleri bulunur. Üçüncü katmanda çalışan cihazlar bu paketi yönlendirirken kapsülün dışındaki Okumaya devam et “Generic Routing Encapsulation”

IOS router'larda PKI konfigürasyonu

Merhaba

Bu zamana kadarki yazılarımda ISAKMP’de kimlik denetimini hep önceden paylaştırılmış gizli anahtar ile (Pre-shared Secret Key ve Pre-Shared Key, kısaca PSK) yaptık. ISAKMP kimlik denetimi için PSK sıklıkla kullanılır çünkü çok basit bir yöntemdir. PSK’nın yeterince ölçeklenebilir olmadığı durumlarda ise kimlik denetimi sertifikalarla yapılabilir. Asimetrik şifreleme ve hash algoritmalarıyla çalışan bu mekanizmaya PKI (Public Key Infrastructure) adı verilir.
Okumaya devam et “IOS router'larda PKI konfigürasyonu”

VPN High Availability

Merhaba

Son yazımı 2013’te görüşürüz diye bitirip Mart ayına kadar beklediğimi fark edince uzun bir yazı yazmaya kadar verdim 🙂 Bu yazımı şimdiye kadar basitlik adına hiç değinmediğim bir konuya, VPN bağlantılarında yedekliliğe ayıracağım ve çeşitli yedeklilik konfigürasyonlarını inceleyeceğiz.

Öncelikle link yedekliliğini inceleyelim. VPN tünelini sonlandırdığımız router’lar birbirlerine farklı interface’lerinden ulaşabiliyorlarsa her interface için bir tünel oluşturulması ölçeklenebilir olmayacaktır. Bunun yerine her iki router’da da birer loopback oluşturup tünelleri bu interface’lerde sonlandırabiliriz. Aşağıdaki topolojiyi inceleyelim:

 

 

Okumaya devam et “VPN High Availability”

DVTI (Dynamic Virtual Tunnel Interface)

Önceki yazımda SVTI’dan bahsetmiştim. Kısaca hatırlatmak gerekirse: Crypto map yerine VTI kullandığımızda elimizde hemen hemen tüm interface komutlarını uygulayabileceğimiz bir tunnel interface oluyordu. Bu sayede sadece VPN’e özgü security ve QoS konfigürasyonları yapabiliyorduk. (Ayrıca bu tünellerin multicast desteği de oluyordu). İşte remote access VPN’i dinamik crypto map değil de dinamik VTI kullanarak yapılandırırsak bu bahsettiğimiz yetenekleri remote access bağlantılarda da kullanabiliriz.
Okumaya devam et “DVTI (Dynamic Virtual Tunnel Interface)”

IPSEC Profile ve VTI (Virtual Tunnel Interface)

Merhaba

GRE over IPSEC yazısıyla IPSEC’te tünel interface’lerinin kullanılmasına giriş yapmış olduk. VPN bağlantılarının tünel interface’leri üzerinden yapılmasının bazı önemli avantajları var. Daha önce de bahsetmiş olduğum gibi GRE tünelleri üzerinden multicast destekledikleri için IGP çalıştırabiliriz. Bu tünelleri Firewall ve QoS uygulamalarında interface olarak kullanabilmek de bir diğer artısı. Ayrıca bir tünel interface’ini monitor etmek bir IPSEC bağlantısına kıyasla daha kolay olacaktır. Özetle elimizde artık bir interface olduğu için bir interface’le yapabileceğimiz pek çok şeyi yapabiliriz.
Okumaya devam et “IPSEC Profile ve VTI (Virtual Tunnel Interface)”

ISAKMP profile

Merhaba

Bu yazımda size ISAKMP profile”dan bahsedeceğim. ISAKMP profile Cisco cihazlarda ISAKMP konfigürasyonunu daha modüler bir şekilde yapabilmemiz için tasarlanmış bir teknolojidir. ISAKMP profile”ı bir crypto map”e veya IPSEC profile”a atayarak hangi peer”ın hangi ISAKMP parametrelerine tabi olacağını belirtebiliriz. Özellikle remote access VPN”lerde ISAKMP profile kullanarak daha anlamlı konfigürasyonlar yapmamız mümkün hale geliyor.
Okumaya devam et “ISAKMP profile”

GRE over IPSEC

Merhaba

Daha önce site-to-site VPN yapılandırmasıyla ilgili bir yazı yazmıştım. Bu yazıda da IPSEC’te kullanılan tünel ve transport modlarından ve de GRE over IPSEC’ten bahsedeceğim.

IPSEC’i iki farklı modda çalıştırabiliriz. Tünel modda tüm IP paketi şifrelenir ve başına yeni bir IP başlığı eklenir. Bu IP başlığında kaynak ve hedef IP’ler router’larda peer address olarak tanımladığımız tünelin sonlandığı IP’lerdir. Transport modda ise paketin sadece payload’u şifrelenir. IP başlığı ise aynen kalır.
Okumaya devam et “GRE over IPSEC”