История страницы

...

Задача: Построить GRE over IPsec туннель при условии, что физический интерфейс находиться находится в VRF, а туннельный интерфейс GRE находится в GRT. Также необходимо настроить Firewall для туннельного трафика на физическом интерфейс.

...

Примечание

При реализации текущей схемы, когда физический интерфейс находится в VRF, а туннельный интерфейс в GRT, необходимо учесть следующие особенности в настройке:
1) Создание VRF с помощью команды ip vrf <VRF_NAME>:
ip vrf ISP_VRF
exit

2) Интерфейс включается в VRF с помощью команды ip vrf forwarding <VRF_NAME>:
interface gigabitethernet 1/0/1
ip vrf forwarding ISP_VRF
exit

3) При конфигурации Firewall - security zone <ZONE_NAME>, которая используется на физическом интерфейсе, необходимо включить в VRF с помощью команды ip vrf forwarding <VRF_NAME>:
security zone ISP_VRF
ip vrf forwarding ISP_VRF
exit

4) Поскольку tunnel GRE находится в GRT (или в другом VRF, отличном от VRF физического интерфейса), то с помощью команды tunnel-source vrf <VRF_NAME> необходимо указать VRF физического интерфейса:
tunnel gre 1
tunnel-source vrf ISP_VRF
exit

5) IPsec будет строиться с IP-адреса физического интерфейса, следовательно необходимо включить security ipsec vpn <VPN_NAME> в VRF с помощью команды ip vrf forwarding <VRF_NAME>:
security ipsec vpn IPsec_VPN
ip vrf forwarding ISP_VRF
exit

6) Статический маршрут, который необходимо настроить для физического интерфейса в VRF, необходимо использовать с ключом VRF:
ip route vrf ISP_VRF 203.0.113.4/30 203.0.113.1

...

Дерево страниц

Сравнение версий

Старая версия 3

Новая версия Текущий

Ключ