Настройка GRE туннеля на CISCO

В этой статье рассмотрим настройку GRE туннеля на оборудовании CISCO.

Generic Routing Encapsulation  (GRE) это протокол туннелирования, разработанный компанией Cisco, он относится к разновидности VPN туннелей без шифрования Point-to-Point (точка - точка). Основное достоинство GRE — возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизации. Этот протокол работает с OSPF, RIPv2, EGRP, IPSec.

Тем не менее есть рад моментов связанных с работой GRE

  1. Туннелирование увеличивает нагрузку на систему и сеть (добавляются дополнительные IP-заголовки).
  2. Нужно достаточно чётко понимать какое MTU выставить на канал. Как будет будет с MSS. Обычный MTU равен 1500, но так как мы находимся в туннеле, пакет будет несколько меньше 1476 для базового GRE. Cisco рекомендует устанавливать MTU в 1400 байт вне зависимости от того, работает GRE поверх IPSec в туннельном или в транспортном режиме, а максимальный размер сегмента (MSS - Maximum Segment Size) - до 1360 байт. Задать MTU можно вручную или с помощью PMTUD (path MTU discovery).

Итак настройка, допустим что у нас есть два роутера.

В нашем примере оба туннельных интерфейса являются частью сети 172.16.0.0/24

Исходные данные:

R1 — роутер №1

  1. IP публичный: 10.10.10.10
  2. IP GRE: 172.16.0.1 255.255.255.0

R2 — роутер №2

  1. IP публичный: 10.10.10.20
  2. IP GRE: 172.16.0.2 255.255.255.0

Консоль R1

R1(config)# interface Tunnel0
R1(config-if)# ip address 172.16.0.1 255.255.255.0
R1(config-if)# ip mtu 1400
R1(config-if)# ip tcp adjust-mss 1360
R1(config-if)# tunnel source 10.10.10.10
R1(config-if)# tunnel destination 10.10.10.20
R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.0.2

Первый роутер настроен, переходим ко второму

Консоль R2

R2(config)# interface Tunnel0
R2(config-if)# ip address 172.16.0.2 255.255.255.0
R2(config-if)# ip mtu 1400
R2(config-if)# ip tcp adjust-mss 1360
R2(config-if)# tunnel source 10.10.10.20
R2(config-if)# tunnel destination 10.10.10.10
R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.0.1

Проверим PING

R1# ping 172.16.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Готово

Рейтинг: 5/5 - 1 голосов

Комментарии ()