5.3 Настройка и проверка GRE и IP-IP туннелей

5. IP Tunneling

5.3 Настройка и проверка GRE и IP-IP туннелей

 Рассмотрим топологию, согласно которой будет производиться настройка GRE на Juniper:

5-2-3

Для начала настроим виртуальные туннельные интерфейсы:5-3-2

Помимо базовой настройки, указанной выше, можно настроить дополнительные опции:

  • copy-tos-to-outer-ip-header: в сравнении с IP-IP туннелями, при инкапсуляции в GRE по-умолчанию не копируется бит type of service (ToS) из внутреннего заголовка IP во внешний заголовок IP (а в Cisco копируется :-))
  • allow-fragmentation: по-умолчанию, GRE-инкапсулированный пакет дропается, если размер пакета превышает MTU, настроенный на исходящем интерфейсе. Команда позволяет фрагментировать инкапсулированные в GRE пакеты
  • reassemble-packets: включает сборку фрагментированных туннельных пакетов (только на GRE интерфейсах)
  • key: назначает значение для идентификации индивидуального потока трафика в GRE туннеле (RFC 2890). Для каждой пары tunnel source и destination разрешён только одно значение key. При входе в туннель пакеты помечаются этим key, а при выходе из туннеля проверяется значение этого key и пакеты декапсулируются. Пакеты, у которых key не соответствует настроенному значению отбрасываются, поэтому на обоих концах туннеля должны быть одинаковые значения key
  • clear-dont-fragment-bit: по-умолчанию, IPv4 трафик передаётся через GRE туннель нефрагментированным (бит DF не сбрасывается???). Опция сбрасывает бит DF у всех пакетов (!!!). Если размер пакета превышает размер MTU туннельного интерфеса, то пакет фрагментируется перед инкапсуляцией.

Помимо этого можно настроить path mtu discovery (PMTUD) в «секции» конфигурации [edit system internet-options]. Возможные значения:

  • gre-path-mtu-discovery
  • ipip-path-mtu-discovery
  • no-gre-path-mtu-discovery
  • no-ipip-path-mtu-discovery

Path MTU Discovery (PMTUD) — технология определения размера MTU на пути следования из одной точки в другую с целью предотвратить фрагментацию IP пакетов. Суть — в заголовке исходящего пакета ставится бит DF; если на пути следования этого пакета на промежуточном устройстве настроен меньший размер MTU, чем у пакета, то это устройство сбросит пакет и отправит в ответ ICMP сообщение о том, что для пересылки пакетов с таким MTU нужна фрагментация (Fragmentation Needed (type 3, Code 4)). Отправляющее пакет устройство, получив данное ICMP-сообщение начинает уменьшать размер MTU отправляемого пакета до тех пора, пока его размер не достигнет значения, при котором на всём пути следования пакета не потребуется фрагментация для пересылки.

Теперь настроим статическую маршрутизацию в секции [edit routing-options]:

5-3-3

На этом настройка GRE туннеля на маршрутизаторе Juniper закончена.


Проверка.

Командой show interfaces gr-0/0/0 terse проверяем состояние виртуальных туннельных интерфейсов:

5-3-4

Интерфейсы должны быть в состоянии UP на обоих концах туннеля.

Далее необходимо проверить маршрутизацию:

5-3-5

Ну и наконец (хотя проверку рациональнее начинать именно с этого) — проверки связи между конечными сетами туннеля:

5-3-6

Настройка IP-IP туннелей производится аналогично.

К оглавлению

Добавить комментарий