» » Как настроить GRE туннель

Лаборатория Сетей Cisco
 
 
 

Как настроить GRE туннель

Автор: HunSolo от 2-07-2013, 22:12, посмотрело: 14881

2 Туннелирование предоставляет механизм транспортировки пакета одного протокола внутри другого. Протокол, который транспортируется называется протоколом пассажиром. Протокол, который "несет" протокол пассажир называется транспортным протоколом. Generic Routing Encapsulation (GRE) - это один из возможных туннельних механизмов , который использует IP как транспортный протокол и может быть использован для переноса многих других протоколов пассажиров. Туннели являются point-to-point соединениями, определяющимися tunnel source и tunnel destination адресами на обоих концах.

Диаграмма внизу показывает процесс инкапсуляции GRE пакета.
Как настроить GRE туннель


Настройка GRE туннеля


Настройка GRE туннеля включает в себя создание логического туннельного интерфейса. После этого необходимо настроить endpoint'ы на интерфейсе.
Чтобы настроить source и destination адреса для туннеля, используйте команды tunnel source {ip-address | interface-type} и tunnel destination {host-name | ip-address} в режиме конфигурации интерфейса туннеля.

Ниже приведен пример как создать простой GRE туннель между двумя очками и необходимые шаги, чтобы создать и проверить GRE туннель между двумя сетями. Внутренние сети R1 и R2 (192.168.1.0/24 и 192.168.2.0/24) соединяются с помощью GRE туннеля через интернет. Оба туннельных интерфейса принадлежат сети 172.16.1.0/24.
Как настроить GRE туннель


Сначала необходимо создать туннельные интерфейсы на R1 и R2:
R1(config)# interface Tunnel1
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)# ip mtu 1400
R1(config-if)# ip tcp adjust-mss 1360
R1(config-if)# tunnel source 1.1.1.1
R1(config-if)# tunnel destination 2.2.2.2


R2(config)# interface Tunnel1
R2(config-if)# ip address 172.16.1.2 255.255.255.0
R2(config-if)# ip mtu 1400
R2(config-if)# ip tcp adjust-mss 1360
R2(config-if)# tunnel source 2.2.2.2
R2(config-if)# tunnel destination 1.1.1.1


Поскольку GRE это инкапсулируемый протокол, необходимо настроить maximum transfer unit (mtu) на 1400 и maximum segment size (mss) на 1360 байт. Поскольку в большинстве случае используется MTU 1500, а у нас есть еще поле GRE, необходимо уменьшить MTU. Значение 1400 - это самое распространенное решение, при котором фрагментация пакетов сведена к минимуму.

После настройки туннели, маршрутизаторы на обоих концах видят друг друга. Это можно проверить при помощи icmp echo.
Как настроить GRE туннель


Рабочие станции в обеих сетях тем не менее не доступны друг для друга до тех пор пока не будет настроен роутинг на обоих маршрутизаторах.
Как настроить GRE туннель


В данном примере используем статическую маршрутизацию.

R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.1.2
R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.1.1

Как настроить GRE туннель


Теперь обе сети (192.168.1.0/24 и 192.168.2.0/24) могут обмениваться данными посредством GRE туннеля
Как настроить GRE туннель




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
  • 0 комментариев
  • 0 публикаций
  • ICQ:
10 февраля 2015 13:25

Serg

Цитата
  • Группа: Гости
  • Регистрация: --
  • Статус:
 
Ни слова в статье не сказано про LoopBack интерфейсы являющиеся source
интерфейсами для туннеля. Какова их роль и почему именно они являются
source интерфейсами.?

<
  • 0 комментариев
  • 0 публикаций
  • ICQ:
18 июня 2015 09:03

Дмитрий

Цитата
  • Группа: Гости
  • Регистрация: --
  • Статус:
 
Тема MTU и TCP MSS раскрыта поверхностно и не точно.

Во-первых, MTU не надо настраивать на туннельном интерфейсе на 1400 байт, потому что размер заголовка GRE составляет всего 24 байта, и туннельный интерфейс автоматически настроится на MTU=1500-24=1476 байт.

Во-вторых, команда ip tcp adjust-mss действует только на TCP трафик, на UDP и ICMP не действует.
Для MTU=1476 рекомендуемое значение MSS соответственно будет равно 1476(MTU) - 40(TCP) = 1436 байт.

Кроме этого может иметь место так называемая "проблема DF-бита", например, при работе с веб-серверами, которые в IP-пакет добавляют бит DF (do not fragment). Если кратко, для корректной работы с такими серверами через туннель можно использовать policy-map, который обнуляет в IP-пакетах бит DF.


Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Ночью не спит, Мышей сторожит
Ответ:*
Введите два слова, показанных на изображении: *