21T3 Do czego służy tunel GRE L3?

GRE Static Routing Cisco

Więcej miejsc do posłuchania:

Spotify

Link do artykułu.

0:00 Scenariusz

0:15 Topologia

1:38 Konfiguracja R3

2:54 Konfiguracja R1

4:14 Przypisanie Routingu

6:31: Router R3

7:38 Router R1

8:00 Przetestowanie Tunelu

10:30 Podsumowanie odcinka

Transkrypcja:

Witam Cię w dzisiejszym odcinku. Jeżeli chcesz się dowiedzieć jak konfigurować tunel GRE na routerach Cisco, to w tym odcinku właśnie będę to pokazywał.

Zaczynajmy. Mamy topologię, składającą się z trzech routerów, czyli R3, R2 i R1. Lepiej będzie tutaj widać. Czyli R3 po lewej stronie, R2 na środku i R1 po prawej stronie. Chcemy zbudować tunel. Logiczny tunel, który będzie tunelem GRE, zawierającym adresację 30.30.30, po jednej stronie będzie .2, po drugiej stronie będzie .1 Jeżeli chodzi o adresację, to poniżej mamy sieci 192.168 i 2 z lewej strony, 1 z prawej strony. Natomiast powyżej routera R3 i routera R1, mamy sieci 20.20.20 i sieci 10.10.10. Założenie jest takie, że router R2 nie ma informacji o sieciach zdalnych 192.168, zarówno dwójki jak i jedynki nie zna. Czyli jeżeli chcemy pingować host 1 do hosta 2 lub odwrotnie, to musi być spięty tunel i będzie dodatkowo skonfigurowany w tym tunelu statyczny routing z R1 do R3 i z R3 do R1, wskazujący na właściwą sieć po drugiej stronie. Jeżeli ten tunel nie będzie działał, to pakiety pomiędzy hostami nie będą przekazywane.

No dobra, to jedźmy dalej. Konfiguracja. Zakładamy już tutaj podstawową konfigurację, że mamy zrobioną, czyli interfejsy są przypisane. Mamy tu jak widzisz sieci 20. Tu już konfigurację Mateusz bardzo ładnie przygotował i pokazuje nam przypisanie adresu IP do interfejsu. Zauważ, że jesteśmy na routerze R3, czyli to jest ten po lewej stronie. I jesteśmy w kontekście interfejs tunel0. W tym kontekście przypisujemy adres IP tunelu, czyli wewnętrzny adres tego tunelu na R3. Następnie wskazujemy z jakiego interfejsu source, ma ten tunel być budowany. Czyli gdzie ma być, z jakiego interfejsu ma być wysyłany. A zdalny koniec tunelu ma być terminowany na adresacji 10.10.10.1. To jest adresacja, tu przypominam, G0/0/0 od strony R1. Dobrze, następnie jest przypisanie trybu tunelu, czyli mamy GRE IP. To jest konfiguracja, którą potrzebujemy zrobić po stronie R3.

Podobną konfigurację teraz Mateusz wykona na routerze R1. Czyli mamy już zaadresowane interfejsy fizyczne. Dziesiątka jest od góry, czyli od strony routera R2. Mamy przypisanie też od strony hostów, czyli 192.168.1 i tworzymy interfejs tunelowy. Interfejs tunel 0. Następnie adres IP na tym interfejsie, czyli 30.30.30.1.

Tutaj na chwilę przeskoczę, dla przypomnienia, 30.30.30.1 ma być od strony R1 a 30.30.30.2 od strony R3. Dobrze, to kontynuujmy. Mamy adres IP przypisany. Wskazujemy z jakiego interfejsu ma wychodzić ten tunel. Czyli będzie wychodził z routera R1 przez interfejs G0/0/0, czyli będzie kierowany do R2 i zdalnym adresem, do którego będzie terminowany będzie 20.20.20.1, czyli to jest adres IP routera R3 od strony R2. Tryb tunelu GRE – IP. To, co zostało nam teraz zrobić, to przypisać routing. Czyli jest przypisywanie defaultowego, czyli domyślnego, domyślnej trasy. Widać, że tutaj dla wszystkich sieci, na routerze R1 jesteśmy teraz, czyli tym po prawej stronie. Dla wszystkich sieci, nieznanych w innych wpisach routingowych ma wychodzić ruch przez interfejs Gigabit Ethernet 0/0/0. Czyli ten router R1 będzie wysyłał wszystko, co nie jest siecią 192.168.1, będzie wszystko wysyłał interfejsem Gigabit 0/0/0 Czyli do routera R2. Taka jest konfiguracja tego statycznego routingu, jako trasy domyślnej.

Tutaj jedna rzecz, którą warto, żebyś zauważył. Czyli, jeżeli pakiet z hosta H1 trafi na R1, to oczywiście on będzie kierowany na R2, o ile nie ma innego wpisu. Tylko, jeżeli spojrzysz na to, co się na R2 dzieje, to będę pokazywał na sam koniec, tam Mateusz przedstawił nam tablicę routingu R2. Ten R2 nie ma żadnej informacji o sieciach 192.168 To znaczy, że ten pakiet po prostu zostanie tu zdropowany, jeżeli nie będzie innej drogi, dlatego, że R2 nie zna trasy, nie może na żaden interfejs skierować pakietu, który nie jest związany za znaną adresacją a na R2 nie ma żadnego skonfigurowanego routingu i żadnej domyślnej trasy.

Dobra, to wracajmy do konfiguracji. Jesteśmy na routerze R1. Przypominam. Teraz konfigurujemy, że statyczny routing dla sieci 192.168.2 będzie prowadził na interfejs tunelu GRE, czyli 30.30.30.2 Wróćmy tutaj. Czyli dla sieci 192.168.2.10 czy 2.coś, tam jest 24-bitowa maska, router R1 ma kierować pakiety na adres 30.30.30.2, czyli na adres IP, który jest powiązany z drugą stroną tunelu GRE. I tylko taki wpis dla sieci 192.168.2 będzie miał router R1.

Teraz przechodzimy na router R3. I na routerze R3 podobnie trzeba wpisać kierowanie ruchem, czyli domyślna trasa routingowa kierująca na R2. I to jest konieczne, żeby tunel GRE się zestawił, dlatego, że tunel GRE się zestawia pomiędzy R3 a R1, czyli adresacjami 20.20.20 a konkretnie idzie z adresu z końcówką 1 i dociera do interfejsu 10.10.10.1 i tylko wtedy, jeżeli pakiety z R3 do R1 tymi linkami przez R2 dotrą i w drugą stronę, tylko wtedy tunel GRE się zestawi i dopiero wtedy będziemy mogli łączyć hosty. Więc ten wpis domyślnej trasy na R3 i na R1, kierujący na R2 jest konieczny do działania tej całej koncepcji. Czyli mamy domyślną trasę teraz na R3 już wpisaną w kierunku R2 i wpisujemy trasę routingu bardziej specyficzną dla sieci 192.168.1 z maską 24 bity na adres IP, który będzie związany z routerem R1.

Tutaj widać, że jest błąd we wpisie, tu możesz zwrócić uwagę, maska jest, o jeden oktet więcej jest wpisane, za chwilę tutaj Mateusz to poprawi i wpis będzie zaakceptowany. No dobrze, teraz to już nie pozostało nam już nic innego, jak przetestować działanie tunelu. Czyli otwiera tutaj Mateusz PC 0, PC 1, czyli pecety. Mają one adresację zgodnie z tym, co na schemacie było pokazane, czyli jesteśmy na PC 0, to szybko tutaj wejdę, PC 0, czyli tu H2 na tym rysunku i chcemy pingować 192.168.1.10. I tu widać, że ping nie przechodzi. To znaczy, że tunel GRE się nie zestawił jeszcze. Trzeba chwilę poczekać.

Druga próba. Tunel już jest widać GRE zestawiony i ping przechodzi i odpowiada. Żeby potwierdzić, którą drogą idziemy to można puścić tracerouta, tak tu jest pokazane. Czyli hopem, który jest po drodze, jest 30.30.30.1. 30.30.30.1 jak widzisz jest adresem interfejsu 1. To jest logiczny interfejs tego tunelu GRE. A pingujemy z H2 obecnie, czyli ten ping przez router R3 idzie do tunelu, tu się odbija traceroute i idzie do H1. Z drugiej strony, jeżeli zapingujemy peceta z peceta pierwszego będziemy mieli podobną odpowiedź. Tu jeszcze dodatkowa informacja, że gatewayem dla PC 0 jest z końcówką 2.10. No i przechodzimy na PC 1, czyli na pierwszy w tej topologii, a na tym rysunku to będzie H1 peceta i widać, że ping odpowiada. Czyli adres 192.168.2.10 prawidłowo nam funkcjonuje. Traceroute podobnie powinien nam tutaj wskazać router w tym przypadku 30.30.30.2, czyli widzimy, że wszystko nam działa zgodnie z oczekiwaniem.

Na koniec jeszcze sprawdźmy tablicę routingu. Jesteśmy na routerze R2, czyli na tym górnym tutaj. I tablica routingu nam pokazuje sieci 10.0.0.0 i sieci 10.0.0.8, czyli nie ma tutaj wpisu do żadnej sieci, która jest związana z hostami, czyli 192.168. To znaczy, że jeżeli do tego routera, tak jak wspominałem, przyjdzie pakiet, który idzie do hosta, ten router taki pakiet odrzuci.

Na dzisiaj to tyle, dziękuję Ci za uwagę. Jeżeli jesteś zainteresowany pogłębieniem wiedzy, dlaczego się stosuje tunele GRE, jakie są tryby, jakie są zalety i wady, to zachęcam Cię do zaglądnięcia na mojego bloga. W podcaście będę wyjaśniał bardziej szczegółowo część teoretyczną, dotyczącą konfiguracji, którą dzisiaj miałeś okazję zobaczyć.

Jeżeli masz jakieś pytania do tego, to oczywiście też Cię zachęcam. Jeżeli jesteś ciekaw komend, chcesz je sobie skopiować, to możesz je również znaleźć na stronie mojego bloga. Link będzie pod wideo.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.