Пример настройки GRE туннеля

Опубликовано 2019-4-25 14:58:08 571 0 2 1

GRE (Generic Routing Encapsulation — общая инкапсуляция маршрутов) – сетевой протокол, для туннелирования соединений, путем инкапсуляции пакетов сетевого уровня в IP пакеты. С помощью протоколаGREсоздается непрерывное соединение между двумя узлами через общедоступную сеть. Протокол GRE может быть использован для создания простой частной сети (VPN). Рассмотрим следующую топологию:

gre_1

Необходимо настроить GRE туннель между маршрутизаторамиAR1 и AR3. Все пакеты от PC1 до PC2, и наоборот, должны передаваться через наш туннель. Перейдем к настройке:

AR1
interface GigabitEthernet 0/0/0
   ip address 10.1.1.1 24

interface GigabitEthernet 0/0/2
   ip address 192.168.1.1 24

ospf 1
   area 0.0.0.0
   network 10.1.1.0 0.0.0.255

AR2
interface GigabitEthernet 0/0/0
   ip address 10.1.1.2 24

interface GigabitEthernet 0/0/1
   ip address 10.1.2.2 24

ospf 1
   area 0.0.0.0
   network 10.1.1.0 0.0.0.255
   network 10.1.2.0 0.0.0.255

AR3
interface GigabitEthernet 0/0/1
   ip address 10.1.2.1 24

interface GigabitEthernet 0/0/2
   ip address 192.168.2.1 24

ospf 1
   area 0.0.0.0
   network 10.1.2.0 0.0.0.255

Начальная настройка окончена. Теперь поднимем туннельный интерфейс с тунельным протоколом GRE на маршрутизаторах AR1 и AR3:

AR1
interface Tunnel 0/0/0
   ip address 10.1.3.1 24 – поднимаем туннель и задаем IP адрес
   tunnel-protocol gre – указываем тип тунельного протокола
   source 10.1.1.1 – задаем IP адрес с которого устанавливается туннель
   destination 10.1.2.1 – задаем IP адрес назначения туннеля

AR3
interface Tunnel 0/0/0
   ip address 10.1.3.2 24
   tunnel-protocol gre
   source 10.1.2.1
   destination 10.1.1.1

Далее прописываем статические маршруты до PC1 и PC2 на маршрутизаторах AR1 и AR3. В качестве исходящего интерфейса укажем наш GRE туннель. Это гарантирует, что трафик от хостов пойдет через туннель:

AR1
ip route-static 192.168.2.0 255.255.255.0 Tunnel 0/0/0

AR3
ip route-static 192.168.1.0 255.255.255.0 Tunnel 0/0/0

Проверим таблицы маршрутизации на AR1 и AR3:

[AR1] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
                  Destinations : 10               Routes : 10

Destination/Mask     Proto     Pre     Cost     Flags     NextHop      Interface

          10.1.1.0/24     Direct     0         0          D         10.1.1.1        GigabitEthernet0/0/0
          10.1.1.1/32     Direct     0         0          D         127.0.0.1      GigabitEthernet0/0/0
          10.1.2.0/24     OSPF    10        2          D         10.1.1.2        GigabitEthernet0/0/0
          10.1.3.0/24     Direct     0         0         D          10.1.3.1        Tunnel0/0/0
          10.1.3.1/32     Direct     0         0         D          127.0.0.1      Tunnel0/0/0
          127.0.0.0/8     Direct     0         0         D          127.0.0.1      InLoopBack0
        127.0.0.1/32     Direct     0         0         D          127.0.0.1      InLoopBack0
    192.168.1.0/24     Direct     0         0         D          192.168.1.1  GigabitEthernet0/0/2
    192.168.1.1/32     Direct     0         0         D          127.0.0.1      GigabitEthernet0/0/2
    192.168.2.0/24     Static     60        0         D          10.1.3.1        Tunnel0/0/0

[AR3] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
                  Destinations : 10               Routes : 10

Destination/Mask     Proto     Pre    Cost    Flags    NextHop       Interface

           10.1.1.0/24     OSPF    10        2        D       10.1.2.2         GigabitEthernet0/0/1
           10.1.2.0/24     Direct     0        0         D      10.1.2.1         GigabitEthernet0/0/1
           10.1.2.1/32     Direct     0        0         D      127.0.0.1       GigabitEthernet0/0/1
           10.1.3.0/24     Direct     0        0         D      10.1.3.2         Tunnel0/0/0
           10.1.3.2/32     Direct     0        0         D      127.0.0.1       Tunnel0/0/0
           127.0.0.0/8     Direct     0        0         D      127.0.0.1       InLoopBack0
         127.0.0.1/32     Direct     0        0         D      127.0.0.1       InLoopBack0
     192.168.1.0/24     Static     60       0         D      10.1.3.2         Tunnel0/0/0
     192.168.2.0/24     Direct     0        0         D      192.168.2.1   GigabitEthernet0/0/2
     192.168.2.1/32     Direct     0        0         D      127.0.0.1       GigabitEthernet0/0/2

Запустим пинг с PC1 до PC2 и посмотрим как идет трафик:

PC1> ping 192.168.2.2

Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break
From 192.168.2.2: bytes=32 seq=1 ttl=126 time=140 ms
From 192.168.2.2: bytes=32 seq=2 ttl=126 time=94 ms
From 192.168.2.2: bytes=32 seq=3 ttl=126 time=156 ms
From 192.168.2.2: bytes=32 seq=4 ttl=126 time=109 ms
From 192.168.2.2: bytes=32 seq=5 ttl=126 time=94 ms

--- 192.168.2.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 94/118/156 ms

[AR1] display interface Tunnel 0/0/0
Tunnel0/0/0 current state : UP
Line protocol current state : UP
Last line protocol up time : 2019-04-25 05:25 UTC-08:00
Description:
Route Port,The Maximum Transmit Unit is 1500
Internet Address is 10.1.3.1/24
Encapsulation is TUNNEL, loopback not set
Tunnel source 10.1.1.1 (GigabitEthernet0/0/0), destination 10.1.2.1
Tunnel protocol/transport GRE/IP, key disabled
keepalive disabled
Checksumming of packets disabled
Current system time: 2019-04-25 05:25-08:00
        300 seconds input rate 0 bits/sec, 0 packets/sec
        300 seconds output rate 0 bits/sec, 0 packets/sec
        14 seconds input rate 144 bits/sec, 0 packets/sec
        14 seconds output rate 144 bits/sec, 0 packets/sec

        7 packets input, 588 bytes
        0 input error
        13 packets output, 1092 bytes
        0 output error
        Input:
             Unicast: 0 packets, Multicast: 0 packets
        Output:
             Unicast: 13 packets, Multicast: 0 packets
        Input bandwidth utilization : --
        Output bandwidth utilization : --

Как видим, трафик пошел через туннель. Заглянем внутрь пакета, передаваемого с интерфейса GE0/0/0 маршрутизатора AR1:

gre

GRE позволяет очень легко организовать vpn соединение. Однако, все данные передаются в открытом виде, без использования какого-либо алгоритма шифрования и аутентификации. Поэтому рассмотрим еще один пример – GRE over IPSec. Наши GRE данные будут инкапсулироваться IPSec заголовком. Топология останется прежней, перейдем сразу к настройке ipsec:

AR1
acl 3000
   rule permit gre source 10.1.1.1 0 destination 10.1.2.1 0

ipsec proposal tran1

ike local-name AR1

ike peer AR3 v1
   exchange-mode aggressive
   local-id-type name
   pre-shared-key cipher key123
   remote-name AR3
   remote-address 10.1.2.1

ipsec policy map 1 isakmp
   security acl 3000
   ike-peer AR3
   proposal tran1

interface GigabitEthernet 0/0/0
   ipsec policy map

AR3
acl 3000
   rule permit gre source 10.1.2.1 0 destination 10.1.1.1 0

ipsec proposal tran1

ike local-name AR3

ike peer AR1 v1
   exchange-mode aggressive
   local-id-type name
   pre-shared-key cipher key123
   remote-name AR1
   remote-address 10.1.1.1

ipsec policy map 1 isakmp
   security acl 3000
   ike-peer AR1
   proposal tran1

interface GigabitEthernet 0/0/1
   ipsec policy map

При помощи команд display ike sa и display ipsec sa, проверим работоспособность туннеля:

[AR1] display ike sa
        Conn-ID    Peer               VPN      Flag(s)         Phase
   ---------------------------------------------------------------
           2             10.1.2.1             0        RD|ST            2
           1             10.1.2.1             0        RD|ST            1

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

[AR1] display ipsec sa

===============================
Interface: GigabitEthernet0/0/0
  Path MTU: 0
===============================

  -----------------------------
  IPSec policy name: "map"
  Sequence number : 1
  Acl Group            : 3000
  Acl rule                : 5
  Mode                    : ISAKMP
  -----------------------------
      Connection ID          : 2
      Encapsulation mode : Tunnel
      Tunnel local              : 10.1.1.1
      Tunnel remote           : 10.1.2.1
      Flow source               : 10.1.1.1/255.255.255.255 47/0
      Flow destination        : 10.1.2.1/255.255.255.255 47/0
      Qos pre-classify         : Disable

      [Outbound ESP SAs]
          SPI: 2380441915 (0x8de2a93b)
          Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
          SA remaining key duration (bytes/sec): 1887436800/3546
          Max sent sequence-number: 0
          UDP encapsulation used for NAT traversal: N

      [Inbound ESP SAs]
          SPI: 3111807636 (0xb97a6a94)
          Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
          SA remaining key duration (bytes/sec): 1887436800/3546
          Max received sequence-number: 0
          Anti-replay window size: 32
          UDP encapsulation used for NAT traversal: N

На этом настройка окончена. Ещё мы можем при помощи команды display ipsec statistics esp проверить шифруется ли трафик, проходящий через наш туннельный интерфейс:

[AR1] display ipsec statistics esp
Inpacket count                              : 844
Inpacket auth count                      : 0
Inpacket decap count                   : 0
Outpacket count                           : 852
Outpacket auth count                   : 0
Outpacket encap count                 : 0
Inpacket drop count                      : 0
Outpacket drop count                   : 0
BadAuthLen count                       : 0
AuthFail count                             : 0
InSAAclCheckFail count             : 0
PktDuplicateDrop count              : 0
PktSeqNoTooSmallDrop count   : 0
PktInSAMissDrop count             : 0

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Быстрый ответ Вверх