WLC-30 Documentation 1.19.0
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3 уровне модели OSI. В маршрутизаторе ESR и контроллере WLC реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

...

Решение:

Предварительно на маршрутизаторах устройствах должны быть настроены интерфейсы для связи с сетью WAN разрешено получение пакетов протокола GRE из зоны безопасности, в которой работают интерфейсы, подключенные к сети WAN.

...

Блок кода
esr(config-gre)# enable
esr(config-gre)# exit

На маршрутизаторе или контроллере должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:

...

Шаг

Описание

Команда

Ключи

1

Проверить доступность “внешних” IP-адресов, находящихся на физических интерфейсах.

 


2

Подготовить IPsec-туннели для работы совместно с динамическими GRE-туннелями.

 

См. раздел Управление туннелированием#Настройка Настройка Policy-based IPsec VPN.

2Создать GRE-туннель и перейти в режим его конфигурирования.

esr(config)# tunnel gre <INDEX>

<INDEX> – идентификатор туннеля.

3

Перевести GRE-туннель в режим multipoint.

esr(config-gre )# multipoint


4

Установить открытый пароль для NHRP пакетов (не обязательно).

esr(config-gre)# ip nhrp authentication <WORD>

<WORD> – пароль в открытой форме, задается строкой [1..8] символов, может включать символы [0-9a-fA-F].

5

Указать время, в течение которого на NHS будет существовать запись о данном клиенте (не обязательно).

esr(config-gre)# ip nhrp holding-time <TIME>

<TIME> – время в секундах, в течение которого на сервере будет существовать запись о данном клиенте, принимает значения [1..65535].

Значение по умолчанию: 7200.

6

Задать «логический(туннельный)» адрес NHRP-сервера.

esr(config-gre)# ip nhrp nhs <ADDR> [ no-registration ]

<ADDR/LEN> – адрес, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

  • no-registration – не регистрироваться на NHRP сервере.

7

Задать соответствие «внутреннего» туннельного адреса с «внешним» NBMA-адресом.

esr(config-gre)# ip nhrp map <ADDR> <ADDR>

<ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

8

Определить адресата мультикастного трафика.

esr(config-gre)# ip nhrp multicast { dynamic | nhs | <ADDR> }

  • dynamic – отправлять на все пиры, с которыми есть соединение;
  • nhs – отправлять на все статические сконфигурированные сервера;

<ADDR> – отправлять на специфически сконфигурированный адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

9

Включить возможность отправки NHRP Traffic Indication пакетов. Выполняется на NHS (не обязательно).

esr(config-gre)# ip nhrp redirect


10

Включить возможность создания кратчайших маршрутов. Выполняется на NHC (не обязательно).

esr(config-gre)# ip nhrp shortcut


11

Привязать IPsec-VPN к mGRE-туннелю (не обязательно).

esr(config-gre)# ip nhrp ipsec <WORD> { static | dynamic }

<WORD> – имя VPN, задаётся строкой до 31 символа;

  • static – статическое соединение, применятся для связи с NHS;
  • dynamic – динамически устанавливающееся соединение, конфигурируется для связи между NHC.
12Включить передачу группового атрибута (не обязательно).esr(config-gre)# ip nhrp attribute group <WORD>
<WORD> – имя nhrp-группы, задаётся строкой [1..40] символов, не принимает символы [^#].

13

Включить работу протокола NHRP.

esr(config-gre)# ip nhrp enable


14

Организовать IP-связность посредством протокола динамической маршрутизации.



Остальные настройки – аналогичны настройкам статичного GRE-туннеля (см. раздел Управление туннелированием#Настройка Настройка GRE-туннелей)

Пример настройки 1

...

Организовать DMVPN между офисами компании, используя mGRE-туннели, NHRP (Next Hop Resolution Protocol), протокол динамической маршрутизации (BGP), IPsec. В нашем примере у нас будет HUB маршрутизатор -устройство и два филиала. HUB – это DMVPN-cервер (NHS), а филиалы – DMPVN-клиенты (NHC).

...

Организовать DMVPN между офисами компании с соответствующими подсетями LAN1 и LAN2, используя mGRE-туннели, NHRP (Next Hop Resolution Protocol), протокол динамической маршрутизации (OSPF), IPsec. В нашем примере у нас будет HUB-маршрутизатор устройство и два филиала. HUB – это DMVPN-cервер (NHS), а филиалы – DMPVN-клиенты (NHC).

...

L2TPv3 (Layer 2 Tunneling Protocol Version 3) — протокол для туннелирования пакетов 2 уровня модели OSI между двумя IP-узлами. В качестве инкапсулирующего протокола используется IP или UDP. L2TPv3 может использоваться как альтернатива MPLS P2P L2VPN (VLL) для организации VPN уровня L2. В маршрутизаторе ESR устройствах реализованы статические неуправляемые L2TPv3-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

...

<MODE> – режим переподключения, принимает следующие значения:

  • no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
  • never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
  • replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
  • keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено. 

...

Настроить Remote Access IPsec VPN между R1 и R2 с использованием второго фактора аутентификации IPsec - XAUTH. В качестве сервера IPsec VPN настроить маршрутизатор устройство R1, а маршрутизатор устройство R2 в качестве клиента IPsec VPN.

...

LT (англ. Logical Tunnel – логический туннель) – тип туннелей, предназначенный для передачи маршрутной информации и трафика между различными виртуальными маршрутизаторами устройствами (VRF), сконфигурированными на одном аппаратном маршрутизатореустройстве. LT-туннель может использоваться для организации взаимодействия между двумя или более VRF с применением ограничений firewall.

...