Case 5-svar PDF

Summary

This document provides an explanation of GRE-VPN and IPsec-VPN technologies. It details the functionalities and components of these protocols, including configurations, security considerations, and differences. It also discusses the use of these technologies in various network configurations, and their practical applications across diverse network scenarios.

Full Transcript

1.Beskriv och förklara GRE-VPN

GRE (Generic Routing Encapsulation) är ett tunnelleringsprotokoll som används för att
inkapsla ett brett spektrum av olika nätverkslagsprotokoll inuti IP-tunnlar. Detta
protokoll är särskilt användbart i situationer där nätverkstrafik måste föras över ett
heterogent nätverk. GRE är designat för att vara flexibelt, vilket innebär att det kan
hantera många olika typer av transportprotokoll och paketformat. GRE själv
tillhandahåller ingen kryptering eller autentisering, vilket gör det nödvändigt att
kombinera det med säkerhetsprotokoll som IPsec för att skapa en säker
kommunikationskanal.

GRE VPN Konfiguration

GRE VPN konfigurationer kan variera beroende på användningsfall, men en typisk
implementation innefattar följande steg:

1. Skapa GRE Tunnlar:

o GRE tunnlar kräver konfiguration av en GRE tunnelgränssnitt på varje
slutpunkt. Detta gränssnitt specificerar vilka IP-adresser som används för
att sända och ta emot tunnelerad trafik.

o Exempel på konfiguration på en Cisco-router:

interface Tunnel0

ip address 192.168.1.1 255.255.255.0

tunnel source 10.0.0.1

tunnel destination 10.0.0.2

2. Säkerhet med IPsec:

För att säkerställa integritet och datakonfidentialitet, används ofta IPsec
tillsammans med GRE. IPsec konfigureras för att kryptera och autentisera den
GRE-inkapslade trafiken.
 IPsec kan konfigureras antingen via kryptokartor eller IPsec profiler. Profiler är
att föredra för mer dynamiska miljöer.

En typisk IPsec-konfiguration inkluderar skapandet av en transform-set och en
associerad IPsec-policy:

crypto ipsec transform-set MYSET esp-aes esp-sha-hmac

crypto ipsec profile MYPROFILE

set transform-set MYSET

Tunnelgränssnittet måste sedan associeras med den IPsec-profilen:

interface Tunnel0

ip address 192.168.1.1 255.255.255.0

tunnel source 10.0.0.1

tunnel destination 10.0.0.2

tunnel protection ipsec profile MYPROFILE

Användning och Fördelar med GRE-VPN

Multivendor Interoperabilitet: GRE är stödd av ett brett utbud av
nätverksutrustning över olika plattformar, vilket gör det idealiskt för heterogena
nätverksmiljöer.

Flexibilitet: GRE kan transportera olika typer av protokoll över ett IP-nätverk,
vilket gör det användbart för att ansluta nätverk som använder olika
nätverksprotokoll.

Skalbarhet: GRE-tunnlar är relativt enkla att skala upp, vilket är fördelaktigt i
stora nätverk eller i nätverk som kräver dynamiska förändringar i konfigurationen.

Säkerhetsöverväganden

Medan GRE erbjuder många tekniska fördelar, är det viktigt att notera att protokollet inte
erbjuder någon inbyggd kryptering eller autentisering. Därför är det avgörande att
implementera GRE i samband med robusta säkerhetsprotokoll som IPsec för att
säkerställa att dataföringen är säker mot externa hot och överensstämmer med
säkerhetsstandarder som HIPAA, PCI DSS, och andra.

2.Beskriv och förklara IPsec-VPN

IPsec (Internet Protocol Security) är ett robust protokoll för att säkra kommunikation
över osäkra IP-nätverk som Internet. Det används främst för att implementera virtuella
privata nätverk (VPN), och erbjuder funktioner för autentisering, integritet,
datakonfidentialitet, och replay protection. IPsec kan operera i två huvudsakliga
driftslägen: Transport Mode och Tunnel Mode, och använder starka krypterings- och
autentiseringsmekanismer för att skydda dataflöden mellan enheter.

IPsec VPNs: Grundläggande Komponenter och Konfiguration

Grundläggande Komponenter av IPsec

1. Security Associations (SAs)

o Definition: En SA är en logisk förbindelse som etablerar krypterings- och
autentiseringsparametrar mellan två enheter. Varje IPsec-session kräver
två SAs (en i vardera riktningen).

o SA-attribut: Inkluderar krypteringsnycklar, krypterings- och
autentiseringsalgoritmer, säkerhetsprotokoll (AH eller ESP), och
sessionens varaktighet.

2. IKE (Internet Key Exchange)

o Funktion: Används för att hantera nyckelutbyte och förhandla fram SAs
automatiskt och säkert.

o Versioner:

 IKEv1: Består av två faser: Fas 1 skapar en säker kanal (ISAKMP SA)
för Fas 2, där IPsec SAs förhandlas fram.
  IKEv2: Effektivare och robustare än IKEv1, med förbättringar för att
minska antalet nödvändiga meddelanden och stödja flera
samtidiga förhandlingar.

3. Protokoll

o Authentication Header (AH): Ger dataintegritet och autentisering av IP-
paket, men krypterar inte datan.

o Encapsulating Security Payload (ESP): Ger integritet, autentisering och
konfidentialitet (kryptering av data).

Driftslägen för IPsec

1. Transport Mode

o Användning: Endast datadelen av IP-paketen krypteras, vilket är idealiskt
för ände-till-ände-förbindelser mellan två kända enheter.

o Typiskt användningsfall: Används för säker kommunikation mellan
servrar eller mellan klient och server inom säkra nätverk.

2. Tunnel Mode

o Användning: Hela IP-paketet krypteras och inkapslas i ett nytt IP-paket,
vilket är effektivt för gateway-till-gateway-kommunikation.

o Typiskt användningsfall: Används i VPN-scenarier för att ansluta olika
nätverk över Internet eller andra osäkra nätverk.

Krypterings- och Autentiseringsalgoritmer

Krypteringsalgoritmer: AES (med olika nyckellängder som 128, 192, och 256
bitar), 3DES, och DES (undviks på grund av svagheter).

Hashing-algoritmer: SHA-1, SHA-256, SHA-384, SHA-512 ger
integritetsverifiering.

Autentiseringsmetoder: Digitala certifikat, RSA-signaturer, Pre-shared Keys
(PSK).
IPsec VPN Implementering

Site-to-Site IPsec VPNs

o Används för att säkert ansluta två nätverk över Internet. Varje
nätverksgränssnitt vid de två ändpunkterna konfigureras med IPsec för att
kryptera och dekryptera trafiken som passerar genom tunneln.

Remote Access VPNs

o Möjliggör för användare att säkert ansluta till ett företagsnätverk från en
fjärrplats. Ofta implementerat med FlexVPN på Cisco-enheter eller
genom andra klientbaserade VPN-lösningar.

Avancerade Konfigurationer

Perfect Forward Secrecy (PFS): Använder Diffie-Hellman nyckelutbyte för att
säkerställa att varje session har unika, icke-återvinningsbara nycklar, vilket
skyddar tidigare sessioner även om den aktuella nyckeln komprometteras.

Dynamic Routing: IPsec stöder dynamiska routingprotokoll som OSPF eller BGP
över VPN-tunnlar, vilket möjliggör anpassning och skalbarhet i stora nätverk.

QoS (Quality of Service)
o QoS kan konfigureras för att garantera bandbredd för kritiska
applikationer som körs över VPN.

Säkerhet och Compliance

När du implementerar IPsec VPNs är det viktigt att följa gällande regulatoriska krav
som HIPAA för hälsovårdsdata eller PCI DSS för betalkortsdata. Korrekt konfiguration
och underhåll av VPN-enheter är avgörande för att säkerställa att data är skyddad mot
obehörig åtkomst och läckage.
Sammanfattningsvis är IPsec-VPN en kritisk teknologi för moderna organisationer som
kräver säker och pålitlig kommunikation över potentiellt osäkra nätverk som Internet.
Dess förmåga att stödja stark kryptering, komplex autentisering och avancerad
trafikhantering gör den till en idealisk lösning för både företag och organisationer som är
angelägna om dataintegritet och konfidentialitet.

Skillnader mellan IKEv1 och IKEv2:

IKEv1 och IKEv2 är två versioner av Internet Key Exchange-protokollet som används för
att förhandla fram säkerhetsassociationer (SAs) och nyckelutbyte i IPsec-baserade VPN-
lösningar. Nedan utforskar jag de viktigaste skillnaderna mellan dessa två
protokollversioner, vilka förbättringar IKEv2 erbjuder jämfört med IKEv1, och hur dessa
påverkar prestanda och säkerhet i nätverkskommunikationen.

IKEv1

IKEv1 är den ursprungliga versionen av IKE-protokollet och består av två faser för att
etablera säkerhetsassociationer:

1. Fas 1 (ISAKMP SA Negotiation)

o Syftar till att etablera en säker, autentiserad och krypterad kanal mellan
två peers.

o Använder Main Mode eller Aggressive Mode för förhandling:

 Main Mode: Sex meddelanden utbyts och skyddar identiteter
genom att kryptera hela förhandlingen.

 Aggressive Mode: Tre meddelanden utbyts snabbare men offrar
säkerheten för identiteter som inte skyddas.

2. Fas 2 (Quick Mode)
 o Använder den säkra kanalen etablerad i Fas 1 för att förhandla fram IPsec
SAs.

o Snabbare men kräver en existerande ISAKMP SA för att fungera.

IKEv1 stöder Perfect Forward Secrecy (PFS), vilket är ett tillägg till Fas 2 som ger
ytterligare säkerhet genom att säkerställa att nycklar är oberoende av tidigare nycklar.

IKEv2

IKEv2 är en förbättring och förenkling av IKEv1 och är designad för att vara mer effektiv
och tillförlitlig. Den största förbättringen är minskningen av antalet meddelanden som
krävs för att upprätta en säker förbindelse.

1. IKE_SA_INIT

o Det första utbytet som förhandlar fram kryptografiska algoritmer, utbyter
nonces, och utför en Diffie-Hellman-utbyte.

o Ersätter Fas 1 i IKEv1 genom att kombinera flera steg i ett enda
begäran/svar-par.

2. IKE_AUTH

o Autentiserar tidigare meddelanden och utbyter identiteter och certifikat
för att etablera både en IKE SA och en barn-SA (IPsec SA).

o Ersätter Fas 2 i IKEv1 och utför det som krävs i flera steg i IKEv1 med
endast ett begäran/svar-par.

3. CREATE_CHILD_SA

o Används för att etablera ytterligare IPsec SAs utan att behöva återupprepa
hela autentiseringsprocessen.

o Effektivare än motsvarande steg i IKEv1.

Cisco IPsec VPN Solutions
Cisco erbjuder ett brett utbud av IPsec-baserade VPN-lösningar anpassade för olika
nätverksbehov, från enkla site-to-site konfigurationer till mer avancerade och skalbara
företagslösningar. Här är en detaljerad genomgång av varje Cisco IPsec VPN-lösning:

1. Site-to-Site IPsec VPN

Beskrivning: Denna lösning används för att säkert ansluta två eller flera
geografiskt åtskilda nätverk över ett osäkert nätverk, som Internet.

Egenskaper:

o Multivendor interoperabilitet tillåter dessa VPNs att fungera med
enheter från olika tillverkare.

o Skalbarhet anses vara låg jämfört med andra Cisco-lösningar, vilket gör
den lämplig för mindre företag eller enklare topologier.

o Transportnätverk: Kan transportera trafik över vilket nätverk som helst.

o Konfiguration: Använder vanligtvis GRE (Generic Routing Encapsulation)
tillsammans med IPsec för att förbättra funktionaliteten och stödja olika
nätverksprotokoll.

2. Cisco Dynamic Multipoint VPN (DMVPN)

Beskrivning: DMVPN tillåter skapandet av dynamiska, skalbara VPN-nätverk som
automatiskt kan anpassa sig för att inkludera nya platser utan att kräva manuell
konfiguration för varje anslutning.

Egenskaper:

o Skalbarhet: Mycket hög, stödjer tusentals för hub-and-spoke
konfigurationer.

o Teknik: Använder mGRE, NHRP (Next Hop Resolution Protocol) för att
dynamiskt upptäcka andra slutpunkter, och IPsec för säkerhet.

o Användningsfall: Idealisk för organisationer med många filialkontor som
behöver flexibel och automatisk uppkoppling.

3. Cisco Group Encrypted Transport VPN (GET VPN)
 Beskrivning: En lösning för organisationer som behöver säkra datatrafik över ett
MPLS-nätverk utan att behöva skapa punkt-till-punkt tunnlar för varje par av
nätverk.

Egenskaper:

o Skalbarhet: Lämplig för stora företag som kräver any-to-any-
kommunikationer inom MPLS-miljöer.

o Unik Funktion: Tillhandahåller tunnel-lös kryptering vilket innebär att den
ursprungliga IP-headern bevaras, vilket underlättar routing och QoS-
behandling.

o Regelverk: Hjälper till att uppfylla krav enligt HIPAA och PCI DSS.

4. Cisco FlexVPN

Beskrivning: En mycket flexibel VPN-lösning baserad på IKEv2 som stöder en rad
olika VPN topologier inklusive site-to-site, hub-and-spoke, och spoke-to-spoke.

Egenskaper:

o Skalbarhet: Designad för att enkelt skalas och anpassas till växande
företagsbehov.

o Modularitet: Tillåter integrering av olika autentiseringsmetoder och
stödjer äldre konfigurationer.

o Toppmodern säkerhet: Använder de senaste säkerhetsprotokollen och -
algoritmerna.

5. Remote-Access VPN

Beskrivning: Lösningar som FlexVPN och ASA (Adaptive Security Appliance)
används för att ge fjärranvändare säker åtkomst till företagsnätverket.

Egenskaper:

o Användarvänligt: Ger säker och pålitlig åtkomst för användare som
behöver ansluta till företagsresurser från externa platser.
 o Säkerhet: Stöder de senaste krypterings- och
autentiseringsstandarderna, inklusive TLS/DTLS och IKEv2.

Varje lösning är designad med specifika användningsfall och tekniska behov i åtanke,
från småföretag till globala företag med komplexa nätverksinfrastrukturer.

3.Beskriv och förklara: VTI-VPN

Virtual Tunnel Interface (VTI) är en teknik som används för att skapa IPsec-baserade
VPN-tunnlar på ett mer dynamiskt och lättadministrerat sätt jämfört med traditionella
metoder som använder GRE eller kryptokartor (crypto maps). VTI förenklar
konfigurationen av VPN och routingprotokoll genom att tillåta direkt konfiguration av
IPsec-tunneln som ett nätverksinterface, vilket skapar en mer direkt och enkel koppling
mellan IPsec och nätverkslagret.

Konfigurationsöversikt för VTI-VPN

VTI-VPN-konfiguration involverar skapandet av ett virtuellt tunnelinterface som bär
IPsec-trafik och tillåter direkt tillämpning av säkerhetspolicyer och routingprotokoll. Här
är de steg som typiskt ingår i konfigurationen av VTI:

1. Skapa IPsec Transform Set:

Transform Set specificerar de krypterings- och autentiseringsalgoritmer som
används för att skydda VPN-trafiken.

crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac

2.Definiera en IPsec Profil:

IPsec-profilen kopplar transform-setet till ett specifikt VTI

crypto ipsec profile MYPROFILE

set transform-set MYSET
3.Konfigurera VTI:

VTI-gränssnittet konfigureras med nätverksparametrar och kopplas till den
definierade IPsec-profilen.

4.Tillämpa Routing:

Routingprotokoll: Dynamiska routingprotokoll som OSPF eller BGP kan
konfigureras på VTI-gränssnittet för att möjliggöra automatisk ruttuppdatering
baserad på tunnlens status.

router ospf 1

network 192.168.1.0 0.0.0.255 area 0

Hur VTI-VPN Fungerar i Praktiken

Trafikflöde: När nätverkstrafik är riktad till en destination som ligger bortom VPN-
tunneln, dirigeras trafiken till VTI-gränssnittet. IPsec-kryptering appliceras på
trafiken när den går in i tunneln och dekrypteras när den når den andra sidan.

Säkerhetsmekanismer: IPsec säkerställer integritet, autenticitet och
konfidentialitet för all data som passerar genom VTI. ESP (Encapsulating Security
Payload) används för att kryptera datalasten och tillhandahåller en integritetskoll
för att skydda mot manipulering och avlyssning.

Routingdynamik: Med VTI kan routingprotokoll som OSPF eller BGP köra över
VPN-tunneln, vilket tillåter dynamiska ruttuppdateringar baserade på nätverkets
tillstånd. Detta är en fördel jämfört med traditionella kryptokartbaserade IPsec-
 konfigurationer som kräver statiska rutter eller manuell intervention för
ruttändringar.

Fördelar med VTI-VPN

Skalbarhet och Flexibilitet: VTI gör det enklare att skala VPN-lösningar eftersom
nya tunnlar kan läggas till som standardnätverksgränssnitt utan komplexa
kryptokartkonfigurationer.

Förenklad Hantering: Konfigurera säkerhet och routing direkt på VTI-förbättrar
nätverksadministratörens förmåga att snabbt anpassa sig till förändrade
nätverksförhållanden och säkerhetskrav.

Integrering med Existerande Tekniker: Stöd för avancerade nätverks- och
säkerhetstekniker inklusive stateful brandväggar, QoS och avancerad
trafikinspektion.

Säkerhetsöverväganden

VTI-VPN erbjuder samma höga säkerhetsnivå som traditionella IPsec-implementationer
genom att använda starka krypterings- och autentiseringsprotokoll. Dessutom ger det en
förbättrad möjlighet att tillämpa konsekventa säkerhetspolicyer över hela nätverket
genom centralt hanterade IPsec-profiler.

4.Beskriv och förklara DMVPN

Dynamic Multipoint VPN (DMVPN) är en avancerad nätverksteknologi utvecklad av
Cisco, som syftar till att förenkla och effektivisera uppsättningen av stora skala VPN-
nätverk. DMVPN använder en kombination av existerande tekniker inklusive GRE
(Generic Routing Encapsulation), NHRP (Next Hop Resolution Protocol) och IPsec
för att skapa en mer dynamisk, skalbar och effektiv VPN-lösning.

Grundläggande Komponenter och Funktioner i DMVPN
 1. GRE Tunnelering:

o GRE används för att kapsla in och transportera multi-protokolltrafik över
en IP-infrastruktur. I DMVPN tillåter detta dynamisk konfiguration av
slutpunkterna utan att behöva förkonfigurera varje punkt-punkt länk.

2. NHRP:

o NHRP används för att automatiskt upptäcka de fysiska IP-adresserna till
GRE-tunneländpunkterna. Det möjliggör även dynamisk uppsättning av
direkta tunnelförbindelser mellan noder i ett VPN, vilket minskar behovet
av att all trafik måste passera genom en central hub.

3. IPsec:

o IPsec används för att säkerställa datasekretess, integritet och autenticitet
mellan aktiva noder i DMVPN-nätverket.

Hur DMVPN Fungerar

DMVPN använder en hub-and-spoke-topologi där en eller flera enheter agerar som hubs
medan andra enheter (spokes) skapar dynamiska tunnelförbindelser till dessa hubs. När
två spoke-enheter behöver kommunicera med varandra, kan DMVPN konfigurera en
direkt förbindelse mellan dem, vilket eliminerar behovet av att all trafik går genom
hubben. Detta förbättrar bandbreddsanvändningen och minskar fördröjningen.

Fördelar med DMVPN

Skalbarhet och Flexibilitet: Tillåter tusentals slutpunkter att dynamiskt
konfigurera VPN-förbindelser utan manuell intervention.

Kostnadseffektivitet: Minskar mängden nödvändig bandbredd och förbättrar
nätverkets prestanda genom att eliminera onödiga hoppar genom centrala
hubbar.

Säkerhet: IPsec säkerställer att all kommunikation över det offentliga nätet är
säker.
 Praktisk Implementering av DMVPN
5.Beskriv och förklara GETVPN

Cisco Group Encrypted Transport VPN (GET VPN) är en avancerad VPN-teknologi som är
speciellt framtagen för företag och organisationer som kräver hög säkerhet för
dataöverföring över publika eller privata WAN-infrastrukturer, såsom MPLS-nätverk. GET
VPN tillhandahåller en säker och skalbar lösning för att möjliggöra krypterad
kommunikation mellan alla noder i ett nätverk utan att använda traditionella punkt-till-
punkt-tunnlar. Detta gör GET VPN unikt eftersom det bevarar den ursprungliga IP-
headern, vilket underlättar QoS (Quality of Service) och multicast-tjänster.

Hur GET VPN Fungerar

GET VPN använder en gruppbaserad approach till säkerhet genom att använda en delad
krypteringspolicy och en gemensam nyckelhantering. Här är de huvudsakliga
komponenterna och funktionerna i en GET VPN-konfiguration:

1. Key Server (KS):

o KS agerar som den centrala myndigheten i GET VPN-nätverket. Den
distribuerar krypteringsnycklar och policyer till alla registrerade
medlemmar i VPN-gruppen. KS är ansvarig för att skapa, underhålla och
distribuera den gemensamma säkerhetspolicyn och de krypteringsnycklar
som behövs för att säkra trafiken mellan medlemmarna.
 2. Group Members (GMs):

GMs är de enheter som konsumerar nycklar och policyer från KS för att kryptera
och dekryptera trafiken. De är konfigurerade att registrera sig hos KS och
använder de distribuerade nycklarna för att kryptera all utgående trafik och
dekryptera inkommande trafik.

3. Data Security and Compliance:

o GET VPN uppfyller flera viktiga regelverk som HIPAA, Sarbanes-Oxley, PCI
DSS och GLBA, vilket gör det idealiskt för organisationer som måste följa
strikta dataskyddsförordningar.

o Genom att använda stark kryptering (t.ex. AES 256-bitars) över hela
nätverket garanterar GET VPN att all data är skyddad från avlyssning och
manipulering över osäkra nätverk.

Praktiska fördelar med GET VPN

Skalbarhet och Effektivitet: Genom att eliminera behovet av punkt-till-punkt-
tunnlar och behålla den ursprungliga IP-headern, optimerar GET VPN
nätverksbandbredden och minskar den administrativa bördan.

Genomskinlig för Existerande Tjänster: GET VPN stör inte QoS eller multicast,
vilket är avgörande för applikationer som strömmande video och VoIP inom
företagsnätverk.
 Enhanced Security: Gruppnyckelhanteringen säkerställer att endast
auktoriserade enheter kan dekryptera trafiken, vilket ger en hög nivå av säkerhet
och integritet.

6.Beskriv och förklara FlexVPN

Cisco FlexVPN är en omfattande och mångsidig VPN-lösning som implementerar IKEv2-
standarden för att erbjuda en enhetlig VPN-miljö som stöder olika topologier och
användningsfall. Det är utformad för att vara både flexibelt och skalbart, vilket möjliggör
konfiguration av site-to-site, remote access, samt hub-and-spoke och partiella mesh-
nätverk. Denna lösning är speciellt användbar för företag som behöver en
anpassningsbar och säker VPN-struktur som också kan integrera äldre VPN-
konfigurationer.

Grundläggande Funktioner och Arbete med FlexVPN

FlexVPN använder IKEv2 som kärna för att säkerställa robusta säkerhets- och
autentiseringsmekanismer. IKEv2 förbättrar både säkerhet och prestanda jämfört med
IKEv1 genom effektivare hantering av SA (Security Association) och genom att stödja
EAP (Extensible Authentication Protocol), vilket är avgörande för modern
autentiseringsteknik.

Flexibilitet och Topologier

FlexVPN erbjuder en rad olika nätverkskonfigurationer som tillgodoser specifika behov:

1. Site-to-Site: Ansluter fasta platser med permanenta, säkra VPN-tunnlar.

2. Remote Access: Fjärr-VPN-åtkomst möjliggör för fjärranvändare att ansluta
säkert till ett företagsnätverk via VPN. Det stöds på IOS XE med FlexVPN (endast
IKEv2) samt på ASA 5500-X och Cisco Secure Firewalls.

3. Hub-and-Spoke: Centraliserar kommunikation genom en huvudnod (hub) som
hanterar datatrafik till och från perifera noder (spokes).

4. Partial Mesh (Spoke-to-Spoke): Direkt kommunikation mellan spokes utan att
passera genom hubben, vilket kan aktiveras dynamiskt efter behov.
Virtual Access Interfaces

FlexVPN använder virtual access interfaces som dynamiskt skapas för att hantera
individuella tunnlar. Dessa gränssnitt underlättar flexibiliteten att tilldela specifika
policyer och konfigurationer för varje tunnel baserat på behovet, vilket är idealiskt för
miljöer med varierande säkerhetskrav eller nätverkspolicyer.

Kompatibilitet med Äldre System

En av de stora fördelarna med FlexVPN är dess förmåga att integrera med äldre VPN-
implementeringar som använder crypto maps. Detta gör det möjligt för organisationer
att gradvis uppgradera till nyare teknik utan att behöva byta ut hela den befintliga VPN-
infrastrukturen på en gång.

Säkerhet och Autentisering

Säkerheten i FlexVPN är av hög standard tack vare IKEv2, som inte bara effektiviserar
krypteringsprocessen utan också erbjuder bättre stöd för moderna
autentiseringsprotokoll. FlexVPN stödjer en rad krypteringsalgoritmer och
autentiseringsmetoder, inklusive:

AES (Advanced Encryption Standard): Erbjuder robust kryptering.

SHA-2 (Secure Hash Algorithm 2): Förbättrad integritetskontroll.

RSA och ECDSA (Elliptic Curve Digital Signature Algorithm): För stark
autentisering av VPN-peers.

Dynamisk Routing och Management

FlexVPN fungerar väl med dynamiska routingprotokoll som OSPF, EIGRP och BGP, vilket
möjliggör automatiska uppdateringar av routinginformation i takt med att
nätverkskonfigurationer förändras. Detta dynamiska routingstöd är kritiskt för att hantera
stora nätverksinfrastrukturer där nätverkstopologi kan förändras ofta.
7.Beskriv och förklara LISP

Cisco Locator/ID Separation Protocol (LISP) är en avancerad routing-arkitektur och ett
nätverksprotokoll som utvecklats för att adressera flera skalbarhetsproblem i internet-
routingen. LISP skiljer på enheternas "identifierare" (EIDs) och deras "lokalisatorer"
(RLOCs), vilket direkt angriper och löser problem relaterade till aggregation,
trafikingenjörskap, multihoming och routing-instabilitet.

Problem som LISP adresserar på Internet

Aggregationsproblem: Internetroutingtabellen har vuxit på grund av icke-
aggregerbara provider-oberoende rutter, vilket gör tabellen större och mer
komplex att hantera.

Trafikingenjörskap: För att styra inkommande trafik, injiceras ofta mer specifika
rutter i internet, vilket förvärrar aggregations- och skalbarhetsproblemen i
internetroutingtabellen.

Multihoming: Effektiv multihoming kräver tillgång till hela
internetroutingtabellen, vilket kan kräva kraftfull hårdvara som kan vara kostsam
för små platser.

Routing Instabilitet: Instabilitet i internetrutter (känd som route churn) leder till
hög CPU- och minnesanvändning på routrar.

Komponenter i LISP Arkitekturen

Endpoint Identifier (EID): IP-adressen för en slutpunkt inom en LISP-site, vilket
representerar enhetens identitet.

Routing Locator (RLOC): IP-adressen för en Egress Tunnel Router (ETR), som
används för att geografiskt lokalisera var paket ska routas i nätverket.

Ingress Tunnel Router (ITR): LISP-router som kapslar in IP-paket från EIDs när de
ska sändas ut från LISP-siten.
 Egress Tunnel Router (ETR): LISP-router som avkapslar inkommande LISP-
kapslade IP-paket till EIDs inom LISP-siten.

Tunnel Router (xTR): Utför både ITR- och ETR-funktioner.

Proxy ITR (PITR) och Proxy ETR (PETR): Hanterar trafik mellan LISP och icke-
LISP-siter.

Map Server (MS): Lär sig och lagrar EID-till-RLOC kartläggningar från ETR.

Map Resolver (MR): Behandlar kartförfrågningar från ITR och konsulterar MS för
att hitta lämplig ETR.

Typer av LISP Arkitektur och Protokoll

1) LISP Routing Architecture
LISP löser problemet med kopplingen mellan en enhets identitet och dess
geografiska plats genom att separera dessa i två adresstyper:
Endpoint Identifiers (EIDs): Representerar enhetens identitet och ändras
inte när enheten flyttar mellan olika nätverk.
 Routing Locators (RLOCs): Representerar enhetens plats och används
för att dirigera trafiken i nätverket.
Detta möjliggör att enheter kan flytta mellan olika platser utan att behöva
ändra sina identifierande adresser, vilket skapar ett flexibelt och skalbart
routingarkitektur.

2) LISP Control Plane Protocol
LISP kontrollplan fungerar likt DNS, men för nätverksrouting. Den används för att
översätta EIDs till RLOCs via en "pull"-modell:
Ingress Tunnel Router (ITR): Skickar kartförfrågningar för att hitta rätt
RLOC för ett EID.
Map Resolver (MR): Mottar förfrågningar och hittar lämplig Egress Tunnel
Router (ETR) via en Map Server (MS), som innehåller en EID-till-RLOC-
kartläggningsdatabas.
Detta gör LISP mycket skalbart och effektivt, då endast nödvändig
routinginformation begärs vid behov, till skillnad från traditionella
routingprotokoll som BGP och OSPF.

3) LISP Data Plane Protocol
LISP hanterar dataplanet genom att utföra IP-in-IP/UDP-kapsling:
Ingress Tunnel Router (ITR): Kapslar in IP-paket med en yttre IP-UDP-
header där RLOCs används som käll- och destinationsadresser.
Egress Tunnel Router (ETR): Tar emot och avkapslar trafiken, skickar
paket till rätt EID.
En LISP shim header inkluderas mellan den yttre och inre headern för att
stödja funktioner som nätverksvirtualisering. Denna metod bevarar den
ursprungliga IP-headern och datan, vilket gör protokollet flexibelt för
nätverksförändringar.
LISP-paketformat

1. Outer LISP IP Header

o Lagt till av ITR för att kapsla in EID-adresser med RLOC-adresser för
routing mellan LISP-sajter.

2. Outer LISP UDP Header

o Använder UDP-destinationsport 4341 och taktiskt valda källportar för att
förbättra lastbalansering och undvika trafikpolarisation.

3. Instance ID

o Ett 24-bitars fält som möjliggör VRF, VPN-virtualisering och förhindrar
IP-adresskonflikter inom LISP-sajter.

4. Original IP Header

o Den ursprungliga IP-headern bevaras för korrekt leverans efter avkapsling.

LISP Kapslingskombinationer

LISP-dataflygplanet stöder fyra viktiga enkapsuleringskombinationer eftersom EIDs
(Endpoint Identifiers) och RLOCs (Routing Locators) kan vara antingen IPv4 eller IPv6:

1. IPv4 RLOCs kapslar in IPv4 EIDs

2. IPv4 RLOCs kapslar in IPv6 EIDs

3. IPv6 RLOCs kapslar in IPv4 EIDs

4. IPv6 RLOCs kapslar in IPv6 EIDs

Viktigheten av dessa kombinationer

Flexibilitet: Stöd för blandade miljöer med både IPv4 och IPv6.

Framtidssäkerhet: Möjliggör övergång till fullständig IPv6-implementering.

Kompatibilitet: Tillåter transport av IPv4 över IPv6-infrastruktur och vice versa.
LISP Operation

LISP-operationen består av fem huvudkomponenter:

1. Map Registration och Map Notify:

o ETR registrerar EID-prefix hos MS/MR, som svarar med ett Map Notify för
att bekräfta registreringen.

2. Map Request och Map Reply:

o ITR skickar en Map Request till MS/MR för att få EID-till-RLOC-
mappning. ETR svarar med ett Map Reply, och mappningen lagras i ITR

cache.

3. LISP Data Path:

o ITR kapslar in paket med en yttre RLOC-header och skickar till ETR, som
avkapslar och levererar till rätt EID.

4. Proxy ETR (PETR):

o Hanterar trafik från en LISP-site till en icke-LISP-site genom att avkapsla
och vidarebefordra paket.

5. Proxy ITR (PITR):

o Tar emot trafik från icke-LISP-siter, skickar Map Request, kapslar in och
vidarebefordrar till rätt ETR.

Map Registration och Notification i LISP

Map Registration och Notification är en process där en ETR (Egress Tunnel Router)
registrerar sina EID-prefix hos en MS (Map Server) för att möjliggöra trafikhantering
mellan LISP-siter. Denna process säkerställer att trafik kan skickas till rätt destination i
RLOC (Routing Locator)-utrymmet. Om ett subnet inte konfigureras som ett EID-prefix,
hanteras det med traditionell routing.
Processens Steg

1.ETR skickar Map Register:

Registrerar EID-prefix (t.ex. 10.1.2.0/24) och associerad RLOC (t.ex. 100.64.2.2)
till MS.

P-flagga kan sättas för att låta MS hantera map requests.

2.MS skickar Map Notify:

Bekräftar registreringen till ETR via UDP-port 4342.

Map Request och Reply Process i LISP

När en ITR (Ingress Tunnel Router) behöver skicka trafik till en destination utanför en
LISP-site, utförs en serie steg för att lösa en EID (Endpoint Identifier) till en RLOC
(Routing Locator). Processen beskrivs nedan:

1. DNS-uppslagning:

o Host1 (i LISP Site 1) gör en DNS-förfrågan för Host2 (i LISP Site 2) och får
IP 10.1.2.2 som destination.

2. IP-paket till ITR:

o Host1 skickar IP-paket till sin default gateway (ITR) med destinations-IP
10.1.2.2.

3. ITR skickar Map Request:

o ITR skickar en Map Request till MR för att lösa EID-till-RLOC-
mappningen för 10.1.2.2.

4. MR vidarebefordrar förfrågan:

o MR skickar förfrågan till den ansvariga ETR genom Mapping Database
System.
 5. ETR svarar med Map Reply:

o ETR svarar med en Map Reply, som innehåller mappningen 10.1.2.2 →
100.64.2.2.

6. ITR uppdaterar Map Cache och FIB:

o ITR installerar mappningen i sin Map Cache och FIB och kan nu skicka
LISP-kapslade paket.

LISP Data Path – Enkapslings- och Avkapslingsprocess

Efter att ITR (Ingress Tunnel Router) har fått en EID-till-RLOC-mappning från ETR
(Egress Tunnel Router) eller MS (Map Server), är den redo att vidarebefordra data från
host1 i LISP Site 1 till host2 i LISP Site 2. Processen består av följande steg:

1. Mottagning av paket:
ITR tar emot ett paket från EID host1 (10.1.1.1) som är avsett för host2 (10.1.2.2).

2. Enkapsling:

o ITR kapslar in paketet med en yttre header:

 RLOC-källadress: 100.64.1.1.

 RLOC-destinationsadress: 100.64.2.2.

o En UDP-header läggs till med destinationsport 4341.

3. Avkapsling och leverans:
ETR avkapslar paketet och levererar det till host2 (10.1.2.2) i LISP Site 2.

Proxy ETR (PETR) – Funktion och Process

En Proxy ETR (PETR) är en router som ansluter en LISP-site till en icke-LISP-site, såsom
ett datacenter eller Internet. PETR används när en LISP-site behöver kommunicera med
destinationer som inte stöder LISP. Eftersom PETR hanterar trafik till icke-LISP-siter,
registrerar den inga EID-adresser i Mapping Database System.
Processens Steg för Proxy ETR

1. DNS-uppslagning: Host1 gör en DNS-förfrågan och får IP 100.64.254.254 som
destination.

2. Map Request till MR: ITR skickar en Map Request för destinationen.

3. Negativ Map Reply: Mapping Database System svarar med ett negativt svar och
inkluderar ett icke-LISP-prefix.

4. LISP-kapslad trafik: ITR skickar kapslade paket till PETR för matchande prefix.

5. Avkapsling och leverans: PETR avkapslar och vidarebefordrar trafiken till
www.cisco.com.

Proxy ITR (PITR) – Funktion och Process

En Proxy ITR (PITR) är en router som hanterar trafik från icke-LISP-siter med
destinationer tillhörande LISP EIDs. PITR fungerar som en ITR genom att lösa EID-till-
RLOC-mappningar, kapsla in trafiken och vidarebefordra den till rätt RLOC. Till skillnad
från en vanlig ITR skickar PITR en Map Request till MR (Map Resolver) även om trafiken
inte härstammar från en EID.

Steget för Proxy ITR (PITR)

1. Mottagning av trafik: PITR tar emot trafik från en icke-LISP-site med destination
till en LISP EID.

2. Map Request till MR: PITR skickar en Map Request för destinationens EID.

3. Map Request vidarebefordras: MR/MS skickar förfrågan till den ansvariga ETR.

4. Map Reply från ETR: ETR svarar med EID-till-RLOC-mappningen.

5. LISP-enkapsling: PITR kapslar in paketen och vidarebefordrar dem till ETR.

6. Avkapsling och leverans: ETR avkapslar och levererar paketen till
slutdestinationen EID.
 7. Skillnad

PETR hanterar trafik från LISP till icke-LISP-siter.

PITR hanterar trafik från icke-LISP-siter till LISP-siter.

8.Beskriv och förklara VXLAN Förklara i stora drag om hur dessa
fungerar, men beakta NHRP, mGRE, GDOI, Key Servers och andra
typiska tekniker och protokoll som är viktiga för teknikerna i punkt 1–8.

Virtual Extensible Local Area Network (VXLAN) är en teknik utvecklad för att adressera
begränsningarna i traditionella Layer 2-nätverk, vilket inkluderar brist på VLANs, stora
MAC-adresstabeller, och begränsningar från Spanning Tree Protocol (STP). VXLAN
möjliggör en ökad skalbarhet genom att introducera en överliggande nätverksarkitektur
som använder MAC-in-IP/UDP-tunnelering och tillåter segmentering av både Layer 2-
och Layer 3-trafik över ett Layer 3-underlag.

VXLAN Network Identifier (VNI), som är en 24-bitars identifierare, erbjuder möjligheten
att skapa upp till 16 miljoner segment, vilket är en betydande ökning jämfört med de
4096 VLANs som tillåts av den traditionella 12-bitars VLAN ID. Detta stöder särskilt väl
stora datacenter och molnmiljöer.

Varje VXLAN segment hanteras av Virtual Tunnel Endpoints (VTEPs), som både initierar
och avslutar VXLAN-tunnlar, och bidrar till nätverksflexibilitet och effektivitet genom att
mappa trafik till korrekt VNI. Dessa VTEPs hanterar trafiken genom lokala LAN-gränssnitt
och kärnnätverksgränssnitt som används för trafikkapsling och avkapsling.

VXLAN stödjer inte en inbyggd kontrollplan, vilket ger flexibilitet att integrera med olika
kontrollplanslösningar såsom Multicast, statiska unicast-tunnlar, MP-BGP EVPN, och
LISP för att möta behoven i olika nätverksmiljöer, från datacenter till campusnätverk.
Cisco Software-Defined Access (SD-Access) är ett exempel på hur VXLAN kan
integreras med LISP för att erbjuda avancerade nätverkslösningar.
Detaljer om VXLAN:

Virtual Extensible Local Area Network (VXLAN) är en teknik utformad för att lösa flera
begränsningar associerade med traditionella Layer 2-nätverk, särskilt i miljöer med hög
densitet av virtuella maskiner (VMs) och containrar. Dessa problem inkluderar
begränsningar i antalet VLANs, omfattande MAC-adresstabeller, ineffektiv
länkanvändning på grund av Spanning Tree Protocol (STP), brist på stöd för Equal-Cost
Multi-Path (ECMP), och utmaningar kring värdmobilitet.

Problem med traditionella Layer 2-nätverk:

Begränsat antal VLANs: Standard VLAN-ID är 12-bitars, vilket ger upp till 4096
möjliga VLANs. Detta antal är otillräckligt i stora virtualiserade servermiljöer.

Stora MAC-adresstabeller: Nätverksenheter måste hantera omfattande MAC-
adresstabeller på grund av det stora antalet VMs och containrar, vilket kan
belasta nätverksenheters prestanda.

STP-begränsningar: För att undvika loopar inaktiverar STP vissa länkar, vilket
resulterar i att potentiellt användbara bandbredder går till spillo.

Saknad av ECMP-stöd: Traditionella Layer 2-nätverk stöder inte ECMP, vilket
begränsar möjligheterna till lastbalansering och redundans.

Komplex värdmobilitet: Flytt av värdar mellan nätverkssegment är komplicerat
på grund av Layer 2 begränsningar och behovet av att bibehålla samma MAC-
adress.

VXLANs lösning:

VXLAN tacklar dessa utmaningar genom att skapa en överliggande nätverksarkitektur
som tillåter Layer 2-segment att sträcka sig över ett Layer 3-underlag, vilket möjliggör
bättre skalbarhet och flexibilitet. Detta uppnås genom att kapsla in MAC-baserad trafik i
IP/UDP-paket för att skapa logiska nätverk över fysiska nätverk. Varje logiskt nätverk eller
segment identifieras genom en VXLAN Network Identifier (VNI), som är 24-bitars och
därmed erbjuder en mycket större adressrymd än traditionella VLANs.

VXLAN-paketformat:
VXLAN använder UDP-port 4789 enligt IANA:s tilldelning. Det finns äldre eller för-
standardimplementationer som använder port 8472, vilket var vanligt före IANAs
officiella tilldelning och fortfarande kan användas i vissa distributioner för att bibehålla
bakåtkompatibilitet med äldre system.

Denna överlagringslösning gör det möjligt att bygga omfattande, skalbara och
segmenterade nätverk som kan hantera moderna datacenters behov, utan de
begränsningar och den komplexitet som är förknippad med traditionell nätverksdesign.

Till skillnad från VLAN ID, som endast är 12-bitars och tillåter upp till 4000 VLANs, har
VXLAN en 24-bitars VXLAN Network Identifier (VNI) som möjliggör upp till 16 miljoner
VXLAN-segment, oftast kallade för overlay-nätverk, att samexistera inom samma
infrastruktur. VNI finns i VXLANs shim-huvudet som kapslar in den ursprungliga interna
MAC-ramen som genereras av en slutpunkt. VNI används för att ge segmentering för
både Layer 2- och Layer 3-trafik.

För att underlätta upptäckt av VNIs över det underliggande Layer 3-nätverket används
virtuella tunneländpunkter (VTEPs). VTEPs är enheter som initierar eller avslutar VXLAN-
tunnlar. De mappar Layer 2- och Layer 3-paket till det VNI som ska användas i overlay-
nätverket. Varje VTEP har två gränssnitt:

Lokala LAN-gränssnitt: Dessa gränssnitt på det lokala LAN-segmentet
tillhandahåller bryggning mellan lokala värdar.

IP-gränssnitt: Detta är ett kärnnätverksgränssnitt för VXLAN. IP-adressen för IP-
gränssnittet hjälper till att identifiera VTEP i nätverket och används även för
kapsling och avkapsling av VXLAN-trafik.

Enheter som inte kan stödja VXLAN och behöver använda traditionell VLAN-
segmentering kan anslutas till VXLAN-segment genom att använda en VXLAN-gateway.
En VXLAN-gateway är en VTEP-enhet (Virtual Tunnel Endpoint) som kombinerar ett
VXLAN-segment och ett klassiskt VLAN-segment i ett gemensamt Layer 2-domän.
VXLAN standarden definierar VXLAN som ett dataplanprotokoll, men specificerar inte en
kontrollplan för VXLAN; detta lämnades öppet för att kunna användas med valfri
kontrollplan. För närvarande stöder Cisco-enheter fyra olika VXLAN-kontroll- och
dataplaner:

VXLAN med Multicast-underlag: Använder multicast för att hantera upptäckt
och distribution av VTEP-information.

VXLAN med statiska unicast VXLAN-tunnlar: Innebär manuell konfiguration av
VXLAN-tunnlar utan dynamisk upptäckt.

VXLAN med MP-BGP EVPN kontrollplan: Använder Multi-Protocol Border
Gateway Protocol (MP-BGP) Enhanced VPN (EVPN) för dynamisk spridning av
värd- och nätverksinformation över VXLAN-tunnlar.

VXLAN med LISP-kontrollplan: Använder Locator/ID Separation Protocol (LISP)
för att hantera routing och segmenteringsinformation.

MP-BGP EVPN och Multicast är de mest populära kontrollplanen som används för
datacenter och privata molnmiljöer. För campusmiljöer är VXLAN med LISP-kontrollplan
det föredragna valet.

Cisco Software-Defined Access (SD-Access) är ett exempel på implementering av
VXLAN med LISP-kontrollplan. Det intressanta är att VXLAN-specifikationen
ursprungligen kom från en Layer 2 LISP-specifikation (draft-smith-lisp-layer2-00) som
syftade till att införa stöd för Layer 2-segmentering till LISP. VXLAN-specifikationen
introducerade termen VXLAN i stället för Layer 2 LISP och portade inte över vissa fält
från Layer 2 LISP-specifikationen till VXLAN-specifikationen. De mindre skillnaderna
mellan Layer 2 LISP-specifikationen och VXLAN-specifikationshuvudena illustreras i
Figur 16-15. Fält som inte portades över från Layer 2 LISP till VXLAN reserverades för
framtida användning. Som visas i Figur 16-15, är LISP-inkapsling endast kapabel till IP-in-
IP/UDP-inkapsling, vilket gör att den endast kan stödja Layer 3-överlagringar, medan
VXLAN-inkapsling kan inkapsla den ursprungliga Ethernet-huvudet för att utföra MAC-in-
IP-inkapsling, vilket möjliggör stöd för både Layer 2 och Layer 3-överlagringar.