вторник, 9 августа 2011 г.

GRE tunneling

Пример настройки простого VPN на основе GRE туннеля между двумя офисами поверх публичной сети.
Топология:

Настройка:
R1:
!
interface Tunnel0
ip address 192.168.254.253 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 209.165.200.2
!
interface FastEthernet0/0
ip address 209.165.200.1 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
!
router eigrp 1
passive-interface FastEthernet0/1
network 192.168.2.0
network 192.168.254.252 0.0.0.3
no auto-summary
!
R2:
!
interface Tunnel0
ip address 192.168.254.254 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 209.165.200.1
!
interface FastEthernet0/0
ip address 209.165.200.2 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
!
router eigrp 1
passive-interface FastEthernet0/1
network 192.168.1.0
network 192.168.254.252 0.0.0.3
no auto-summary
Проверяем:
Таблица маршрутизации R1:
Вывод свойств интерфейса туннеля:
Таблица маршрутизации R2:
Заголовки пакета на выходе из R1:
  • GRE туннель не обеспечивает безопасности, поэтому его обычно прячут в шифрованный ipsec туннель(или используют чистый ipsec без gre).
  • на туннельном интерфейсе инкапсуляция GRE по умолчанию включена (tunnel mode gre ip)
  • для обеспечения отказоустойчивости и при наличие нескольких каналов связи, в качестве начальной/конечной точки туннеля может быть использован loopback
  • т.к. GRE может нести в себе кучу протоколов, то достаточно переписать адреса локалок и tun-интерфейсов, чтобы лаба превратилась в лабу по туннелированию IPv6 поверх IPv4
Скачать: pkt-файл

4 комментария:

  1. Здравствуйте!
    Можно задать вопрос о GRE+BVI ?
    Нужно реализовать схему:
    офис1---switch---cisco------cisco---switch---офис2

    Т.е. объединить два офиса. В интере много статей на эту тему.
    Но у меня в обоих офисах одинаковые сети 192.168.0.х.
    При обычном туннелировании (типа GRE) в каждом офисе на каждом ПК надо ставить шлюзы до цисок,
    т.е. такой вариант не пройдет. Можно использовать L2TPv3, но это пока не реально в силу некоторых причин.
    А можно ли использовать GRE+BVI?
    Накидала такую конфигурацию:

    interface Tunnel0
    ip address 10.10.10.1 255.255.255.0 // На другой циске адрес туннеля = 10.10.10.2
    tunnel mode gre
    tunnel source FastEthernet0/1
    tunnel destination 1.1.1.2 // На другой циске указано на 1.1.1.1

    bridge irb
    bridge 1 protocol ieee
    bridge 1 route ip

    bridge-group 1
    bridge-group 1 spanning-disabled

    interface FastEthernet0/1
    ip address 1.1.1.1 255.255.255.0 // На другой циске 1.1.1.2
    duplex auto
    speed auto
    bridge-group 1

    interface FastEthernet0/0
    no ip address
    full-duplex
    no cdp enable
    bridge-group 1

    interface BVI1
    no ip address

    ip route 0.0.0.0 0.0.0.0 10.10.10.2 // На другой циске к 10.10.10.1 (надо ли?)

    ОтветитьУдалить
  2. а в чем проблема собрать ваш вариант в GNS и проверить?
    учтите только, что ip cef работать с bvi не будет.

    ОтветитьУдалить
  3. еще вариант использовать mpls.

    ОтветитьУдалить
  4. Вообще советую подключится к нашей конфе в скайпе http://ccnastepbystep.blogspot.ru/2011/05/skype.html там можно задать все интересующие вопросы и получить развернутые ответы.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.