22 Февраль 2012
privilege15
Тема сегодняшней статьи достаточно проста и называется она GRE туннель через NAT. По английски это будет GRE over NAT соответственно.
Была поставлена задача, оперативно развернуть сеть на чужом сайте для демонстрационного оборудования. Для успешного выполнения задачи необходимо, чтобы размещаемое оборудование имело связь с удаленными серверами в удаленной лаборатории, которая находится на нашей территории. За оперативность мы конечно же поплатимся безопасностью, но для временного решения данная модель подойдет в самый раз.
Представим схему сети:
R1 стоит на чужой территории, когда R2 стоит на границе лаборатории. В качестве базовой меры безопасности на маршрутизаторе R2 должны быть как минимум настроены списки доступа Cisco ACL. Для предварительной отработки решения я принес R1 к себе домой, чтобы сымитировать удаленное подключение к сети лаборатории через домашний маршрутизатор с NAT.
Настройки R1:
interface tunnel 1 ip address 10.10.11.1 255.255.255.252 tunnel source vlan 1 tunnel destination 77.77.77.77 ip route 0.0.0.0 0.0.0.0 192.168.1.254 ip route (сеть лаборатории) (маска) 10.10.11.2
Настройки R2:
interface tunnel 1 ip address 10.10.11.2 255.255.255.252 tunnel source 77.77.77.77 tunnel destination 99.99.99.99 ip route 0.0.0.0 0.0.0.0 Fa4 ip route 192.168.1.0 255.255.255.0 10.10.11.1
В результате тестирования, чтобы функционал GRE через NAT заработал необходимо инициировать трафик со стороны R1. Это требуется для того, чтобы открылся порт в маршрутизаторе с NAT. После чего можно проверить соединение пропустив через него несколько ICMP пакетов (пинг).
