Архив

GRE туннель через NAT

22 Февраль 2012
privilege15

GRE туннель через NAT

Тема сегодняшней статьи достаточно проста и называется она GRE туннель через NAT. По английски это будет GRE over NAT соответственно.

Была поставлена задача, оперативно развернуть сеть на чужом сайте для демонстрационного оборудования. Для успешного выполнения задачи необходимо, чтобы размещаемое оборудование имело связь с удаленными серверами в удаленной лаборатории, которая находится на нашей территории. За оперативность мы конечно же поплатимся безопасностью, но для временного решения данная модель подойдет в самый раз.

Представим схему сети:

GRE туннель через NAT

R1 стоит на чужой территории, когда R2 стоит на границе лаборатории. В качестве базовой меры безопасности на маршрутизаторе R2 должны быть как минимум настроены списки доступа Cisco ACL. Для предварительной отработки решения я принес R1 к себе домой, чтобы сымитировать удаленное подключение к сети лаборатории через домашний маршрутизатор с NAT.

Настройки R1:

interface tunnel 1
ip address 10.10.11.1 255.255.255.252
tunnel source vlan 1
tunnel destination 77.77.77.77

ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route (сеть лаборатории) (маска) 10.10.11.2

Настройки R2:

interface tunnel 1
ip address 10.10.11.2 255.255.255.252
tunnel source 77.77.77.77
tunnel destination 99.99.99.99

ip route 0.0.0.0 0.0.0.0 Fa4
ip route 192.168.1.0 255.255.255.0 10.10.11.1

В результате тестирования, чтобы функционал GRE через NAT заработал необходимо инициировать трафик со стороны R1. Это требуется для того, чтобы открылся порт в маршрутизаторе с NAT. После чего можно проверить соединение пропустив через него несколько ICMP пакетов (пинг).

Всего комментариев: 0. Оставить комментарий ниже »

Оставить комментарий. *Обязательное поле