Схема:
Задача: Построить GRE over IPsec туннель при условии, что физический интерфейс находиться в VRF, а туннельный интерфейс GRE находиться в GRT. Также необходимо настроить Firewall для туннельного трафика на физическом интерфейс.
Пример конфигурации GRE over IPSec более подробно описан в примере https://docs.eltex-co.ru/display/EKB/GRE+over+IPSec. В текущем примере конфигурации сделаем акцент на настройку VRF.
При реализации текущей схемы, когда физический интерфейс находится в VRF, а туннельный интерфейс в GRT, необходимо учесть следующие особенности:
1) Создание VRF с помощью команды ip vrf <VRF_NAME>:ip vrf ISP_VRFexit
2) Интерфейс включается в VRF с помощью команды ip vrf forwarding <VRF_NAME>:interface gigabitethernet 1/0/1 ip vrf forwarding ISP_VRFexit
3) При конфигурации Firewall - security zone <ZONE_NAME>, которая используется на физическом интерфейсе, необходимо включить в VRF с помощью команды ip vrf forwarding <VRF_NAME>:security zone ISP_VRF ip vrf forwarding ISP_VRFexit
4) Поскольку tunnel GRE находится в GRT (или в другом VRF, отличном от VRF физического интерфейса), то с помощью команды tunnel-source vrf <VRF_NAME> необходимо указать VRF физического интерфейса:tunnel gre 1 tunnel-source vrf ISP_VRFexit
5) IPsec будет строиться с IP-адреса физического интерфейса, следовательно необходимо включить security ipsec vpn <VPN_NAME> в VRF с помощью команды ip vrf forwarding <VRF_NAME>:security ipsec vpn IPsec_VPN ip vrf forwarding ISP_VRFexit
6) Статический маршрут, который необходимо настроить для физического интерфейса в VRF, необходимо использовать с ключом VRF:ip route vrf ISP_VRF 203.0.113.4/30 203.0.113.1
Пример конфигурации маршрутизатора:
object-group service ISAKMP port-range 500 port-range 4500exit
ip vrf ISP_VRFexit
security zone ISP_VRF ip vrf forwarding ISP_VRFexit
interface gigabitethernet 1/0/1 ip vrf forwarding ISP_VRF ip firewall disable ip address 203.0.113.2/30exittunnel gre 1 ttl 255 mtu 1400 ip firewall disable tunnel-source vrf ISP_VRF local address 203.0.113.2 remote address 203.0.113.6 ip address 192.0.2.1/30 ip tcp adjust-mss 1360 enableexit
security zone-pair ISP_VRF self rule 1 action permit match protocol udp match destination-port ISAKMP enable exit rule 2 action permit match protocol esp enable exit rule 3 action permit match protocol gre enable exitexit
security ike proposal IKE_proposal encryption algorithm aes128 dh-group 2exit
security ike policy IKE_policy pre-shared-key ascii-text encrypted 8CB5107EA7005AFF proposal IKE_proposalexit
security ike gateway IKE_gateway ike-policy IKE_policy local address 203.0.113.2 local network 203.0.113.2/32 protocol gre remote address 203.0.113.6 remote network 203.0.113.6/32 protocol gre mode policy-basedexit
security ipsec proposal IPsec_proposal encryption algorithm aes128exit
security ipsec policy IPsec_policy proposal IPsec_proposalexit
security ipsec vpn IPsec_VPN mode ike ip vrf forwarding ISP_VRF ike establish-tunnel route ike gateway IKE_gateway ike ipsec-policy IPsec_policy enableexit
ip route vrf ISP_VRF 203.0.113.4/30 203.0.113.1
Вывод оперативной информации для IPsec будет с ключом vrf:
esr# show security ipsec vpn status vrf ISP_VRF Name Local host Remote host Initiator spi Responder spi State ------------------------------- --------------- --------------- ------------------ ------------------ ----------- IPsec_VPN 203.0.113.2 203.0.113.6 0x22332d907c00193a 0x5474b7ed7fa5c987 Established esr# show security ipsec vpn status vrf ISP_VRF IPsec_VPN Currently active IKE SA: Name: IPsec_VPN State: Established Version: v1-only Unique ID: 1 Local host: 203.0.113.2 Remote host: 203.0.113.6 Role: Responder Initiator spi: 0x22332d907c00193a Responder spi: 0x5474b7ed7fa5c987 Encryption algorithm: aes128 Authentication algorithm: sha1 Diffie-Hellman group: 2 Established: 13 minutes and 56 seconds ago Rekey time: 13 minutes and 56 seconds Reauthentication time: 2 hours, 29 minutes and 13 seconds Child IPsec SAs: Name: IPsec_VPN-2 State: Installed Protocol: esp Mode: Tunnel Encryption algorithm: aes128 Authentication algorithm: sha1 Rekey time: 29 minutes and 9 seconds Life time: 46 minutes and 4 seconds Established: 13 minutes and 56 seconds ago Traffic statistics: Input bytes: 216 Output bytes: 216 Input packets: 2 Output packets: 2 -------------------------------------------------------------