Настройка на juniper srx220, juniper srx210 GRE туннеля




Полезная ссылка: О нас и наших клиентах

 

 

 

Настройка GRE в SRX220, SRX210 через туннель


Я буду настраивать GRE (Generic Routing Encapsulation) между двумя Juniper SRX брандмауэрами. Я просто покажу, как две сети могут быть подключены друг к другу через туннель. Я также покажу, как политика безопасности SRX должна быть настроена, чтобы пройти через трафик. Вот мой топология;

 

 

1) Настройка интерфейсов GRE на Juniper SRX220 с обеих сторон

 

host jgw27

root@jgw27# show interfaces gr-0/0/0

unit 0 {

    tunnel {

        source 192.168.193.12;

        destination 192.168.200.1;

    }

    family inet {

        address 10.10.10.2/24;

    }

}

host srx100-1

root@srx100-1# show interfaces gr-0/0/0

unit 0 {

    tunnel {

        source 192.168.200.1;

        destination 192.168.193.12;

    }

    family inet {

        address 10.10.10.1/24;

    }

}

Настройка интерфейса довольно проста, если смотреть на мои топологии.

Полезная ссылка: Помощь в настройке оборудования Juniper

 

Адрес источника является реальным адресом интерфейса, по отношению к удаленному устройству.


Адрес назначения является реальным адресом интерфейса, принявшим пакет.


Согласно документации, IP адрес интерфейса, например 10.10.10.1, не является обязательным, но я заметил, что если оставить его неопределенным, маршруты, которые будут направлены к этому интерфейсу, не смогут быть установлены в таблицу маршрутизации.


Примечание: По отзывам читателя блога kroozo, установки "семейный инет" ("family inet") достаточно для установки маршрута.


2) Добавить маршруты для туннеля GRE интерфейсов


host jgw27

root@jgw27# set routing-options static route 192.168.2.0/24 next-hop gr-0/0/0.0

 

host srx100-1

root@srx100-1#set routing-options static route 192.168.192.0/24 next-hop gr-0/0/0.0

 

3) Назначить интерфейс GRE в зону, установить политику и записи адресной книги

 

host jgw27

set security policies from-zone trust to-zone gretunnel policy allow-gre-traf match source-address net_192.168.192.0
set security policies from-zone trust to-zone gretunnel policy allow-gre-traf match destination-address net_192.168.2
set security policies from-zone trust to-zone gretunnel policy allow-gre-traf match application any
set security policies from-zone trust to-zone gretunnel policy allow-gre-traf then permit
set security policies from-zone gretunnel to-zone trust policy allow-gre-traf-in match source-address net_192.168.2
set security policies from-zone gretunnel to-zone trust policy allow-gre-traf-in match destination-address net_192.168.192.0
set security policies from-zone gretunnel to-zone trust policy allow-gre-traf-in match application any
set security policies from-zone gretunnel to-zone trust policy allow-gre-traf-in then permit
set security zones security-zone gretunnel address-book address net_192.168.2 192.168.2.0/24
set security zones security-zone gretunnel interfaces gr-0/0/0.0

 

На этом этапе в jgw27 host, я запускаю трафик от сети 192.168.192.0 в направлении сети 192.168.2.0/24 и направляю его через зону trust в зону gretunnel и обратно.

 

host srx100-1

set security policies from-zone srx100-wan to-zone mytunnel policy gr-run-test match source-address wan_local
set security policies from-zone srx100-wan to-zone mytunnel policy gr-run-test match destination-address net192.168.192
set security policies from-zone srx100-wan to-zone mytunnel policy gr-run-test match application any
set security policies from-zone srx100-wan to-zone mytunnel policy gr-run-test then permit
set security policies from-zone mytunnel to-zone srx100-wan policy allow-gre-traf match source-address any
set security policies from-zone mytunnel to-zone srx100-wan policy allow-gre-traf match destination-address any
set security policies from-zone mytunnel to-zone srx100-wan policy allow-gre-traf match application any
set security policies from-zone mytunnel to-zone srx100-wan policy allow-gre-traf then permit
set security zones security-zone mytunnel address-book address net192.168.192 192.168.192.0/24
set security zones security-zone mytunnel interfaces gr-0/0/0.0


4) Проверка интерфейса GRE  

host jgw27

root@jgw27> show interfaces gr-0/0/0.0  

  Logical interface gr-0/0/0.0 (Index 73) (SNMP ifIndex 518)

    Flags: Point-To-Point SNMP-Traps 0×4000 IP-Header 192.168.200.1:192.168.193.12:47:df:64:0000000000000000 Encapsulation: GRE-NULL

    Gre keepalives configured: Off, Gre keepalives adjacency state: down

    Input packets : 73

    Output packets: 33

    Security: Zone: gretunnel

    Protocol inet, MTU: 1476

      Flags: Sendbcast-pkt-to-re

      Addresses, Flags: Is-Preferred Is-Primary

        Destination: 10.10.10/24, Local: 10.10.10.2, Broadcast: 10.10.10.255

Дело в том, что UP статус туннельного интерфейса GRE многого Вам не покажет. Потому что даже если другая сторона не работает, вы все еще увидите статус UP. Проверьте MTU и это будет 1476. Из-за дополнительных 20 байт заголовка IP туннеля и 4 байта заголовка GRE.


5) Тест ICMP


Сейчас я отправляю эхо (ping) ICMP c pc2

 

ping

root@pc2:~# ping -c 1 192.168.192.10

PING 192.168.192.10 (192.168.192.10) 56(84) bytes of data.

64 bytes from 192.168.192.10: icmp_req=1 ttl=62 time=2.60 ms

— 192.168.192.10 ping statistics —

1 packets transmitted, 1 received, 0% packet loss, time 0ms

rtt min/avg/max/mdev = 2.600/2.600/2.600/0.000 ms

и ввожу как показано ниже;

Вы видите, что первоначальный пакет из 192.168.2.10 теперь отправляется из 192.168.200.1 во внешнем заголовке.

 

6) Тест Traceroute


Теперь демонстрирую трассировку от pc1 до рс2

traceroute

root@pc1:~# traceroute -n 192.168.2.10

traceroute to 192.168.2.10 (192.168.2.10), 30 hops max, 60 byte packets

 1  192.168.192.4  0.172 ms  0.174 ms  0.121 ms

 2  10.10.10.1  1.940 ms  1.878 ms  1.980 ms

 3  192.168.2.10  7.182 ms  7.320 ms  8.684 ms

 

Как видите, трассировка показывает только 3 хоста из-за установки туннеля, хотя путь включает в себя больше.



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником
 

____

______
Яндекс.Метрика