Схема:
Задача: Построить GRE over IPsec туннель при условии, что физический интерфейс находится в VRF, а туннельный интерфейс GRE находится в GRT. Также необходимо настроить Firewall для туннельного трафика на физическом интерфейс.
Пример конфигурации GRE over IPSec более подробно описан в примере https://docs.eltex-co.ru/display/EKB/GRE+over+IPSec. В текущем примере конфигурации сделаем акцент на настройку VRF.
При реализации текущей схемы, когда физический интерфейс находится в VRF, а туннельный интерфейс в GRT, необходимо учесть следующие особенности в настройке:
1) Создание VRF с помощью команды ip vrf <VRF_NAME>:ip vrf ISP_VRF
exit
2) Интерфейс включается в VRF с помощью команды ip vrf forwarding <VRF_NAME>:interface gigabitethernet 1/0/1
ip vrf forwarding ISP_VRF
exit
3) При конфигурации Firewall - security zone <ZONE_NAME>, которая используется на физическом интерфейсе, необходимо включить в VRF с помощью команды ip vrf forwarding <VRF_NAME>:security zone ISP_VRF
ip vrf forwarding ISP_VRF
exit
4) Поскольку tunnel GRE находится в GRT (или в другом VRF, отличном от VRF физического интерфейса), то с помощью команды tunnel-source vrf <VRF_NAME> необходимо указать VRF физического интерфейса:tunnel gre 1
tunnel-source vrf ISP_VRF
exit
5) IPsec будет строиться с IP-адреса физического интерфейса, следовательно необходимо включить security ipsec vpn
<VPN_NAME> в VRF с помощью команды ip vrf forwarding <VRF_NAME>:security ipsec vpn IPsec_VPN
ip vrf forwarding ISP_VRF
exit
6) Статический маршрут, который необходимо настроить для физического интерфейса в VRF, необходимо использовать с ключом VRF:ip route vrf ISP_VRF 203.0.113.4/30 203.0.113.1
Пример конфигурации маршрутизатора:
object-group service ISAKMP
port-range 500
port-range 4500
exit
ip vrf ISP_VRF
exit
security zone ISP_VRF
ip vrf forwarding ISP_VRF
exit
interface gigabitethernet 1/0/1
ip vrf forwarding ISP_VRF
ip firewall disable
ip address 203.0.113.2/30
exit
tunnel gre 1
ttl 255
mtu 1400
ip firewall disable
tunnel-source vrf ISP_VRF
local address 203.0.113.2
remote address 203.0.113.6
ip address 192.0.2.1/30
ip tcp adjust-mss 1360
enable
exit
security zone-pair ISP_VRF self
rule 1
action permit
match protocol udp
match destination-port ISAKMP
enable
exit
rule 2
action permit
match protocol esp
enable
exit
rule 3
action permit
match protocol gre
enable
exit
exit
security ike proposal IKE_proposal
encryption algorithm aes128
dh-group 2
exit
security ike policy IKE_policy
pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
proposal IKE_proposal
exit
security ike gateway IKE_gateway
ike-policy IKE_policy
local address 203.0.113.2
local network 203.0.113.2/32 protocol gre
remote address 203.0.113.6
remote network 203.0.113.6/32 protocol gre
mode policy-based
exit
security ipsec proposal IPsec_proposal
encryption algorithm aes128
exit
security ipsec policy IPsec_policy
proposal IPsec_proposal
exit
security ipsec vpn IPsec_VPN
mode ike
ip vrf forwarding ISP_VRF
ike establish-tunnel route
ike gateway IKE_gateway
ike ipsec-policy IPsec_policy
enable
exit
ip route vrf ISP_VRF 203.0.113.4/30 203.0.113.1
Вывод оперативной информации для IPsec будет с ключом vrf:
esr# show security ipsec vpn status vrf ISP_VRF
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
IPsec_VPN 203.0.113.2 203.0.113.6 0x22332d907c00193a 0x5474b7ed7fa5c987 Established
esr# show security ipsec vpn status vrf ISP_VRF IPsec_VPN
Currently active IKE SA:
Name: IPsec_VPN
State: Established
Version: v1-only
Unique ID: 1
Local host: 203.0.113.2
Remote host: 203.0.113.6
Role: Responder
Initiator spi: 0x22332d907c00193a
Responder spi: 0x5474b7ed7fa5c987
Encryption algorithm: aes128
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 13 minutes and 56 seconds ago
Rekey time: 13 minutes and 56 seconds
Reauthentication time: 2 hours, 29 minutes and 13 seconds
Child IPsec SAs:
Name: IPsec_VPN-2
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 29 minutes and 9 seconds
Life time: 46 minutes and 4 seconds
Established: 13 minutes and 56 seconds ago
Traffic statistics:
Input bytes: 216
Output bytes: 216
Input packets: 2
Output packets: 2
-------------------------------------------------------------