GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — это протокол туннелирования, который используется для передачи IP-пакетов по сети. Разработан Cisco Systems, который может инкапсулировать широкий спектр протоколов сетевого уровня внутри виртуальных двухточечных соединений по IP-сети. Позже GRE tunnel стал отраслевым стандартом (RFC 1701, RFC 2784, RFC 2890).
GRE позволяет маршрутизировать IP-пакеты между частными сетями IPv4/IPv6, которые разделены через общедоступный Интернет. Также GRE поддерживает инкапсуляцию широковещательного и многоадресного трафика IPv4/IPv6.
Чтобы настроить источник туннеля и пункт назначения, введите “tunnel source {ip-address | interface-type}” и “tunnel destination {host-name | ip-address}” в режиме конфигурации интерфейса для туннеля.
Ниже приведен пример сценария для настройки туннеля GRE, применимый для разных видов филиальных сетей.
На рисунке выше изображены две филиальные сети: Site A и Site B. На Site A есть подсеть LAN 1.1.1.0/24 и WAN IP 200.200.200.1, в то время как на Site B есть подсеть LAN 2.2.2.0/24 и WAN IP 100.100. 100.1. Нам нужно настроить туннель GRE на обоих филиальных маршрутизаторах для связи LAN-LAN.
Шаг 1:
Используйте следующие команды для настройки адреса IPv4 и для создания нового интерфейса туннеля. Также настройте источник и пункт назначения для интерфейса туннеля на R1.
Шаг 2:
Используйте следующие команды для настройки адреса IPv4 и для создания нового интерфейса туннеля. Также настройте источник и пункт назначения для интерфейса туннеля на R2.
Шаг 3:
Используйте следующие команды настройки OSPF для межфилиальной маршрутизации на R1.
Шаг 4:
Используйте следующие команды настройки OSPF для межфилиальной маршрутизации на R2.
Теперь, когда конфигурация выполняется как на первом (R1), так и на втором маршрутизаторе (R2) (на Site A и B соответственно) и настроен GRE tunnel — пользователи обеих сторон локальной сети смогут общаться друг с другом.
Ниже показана структура инкапсуляции GRE :
Спасибо за уделенное время на прочтение статьи!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
1 комментарий. Оставить новый
int gi1/gi2
ip nat outside/inside
access-list 1 permit 192/172 0.0.0.255
ip nat inside source list 1 interface Gi1 overload
interface Tunnel 1
ip address 172.16.1.1/2 255…
tunnel mode gre ip
tunnel source 4.4.4.100
tunnel destination 5.5.5.100
router eigrp 6500
network 192/172 0.0.0.255
network 172.16.1.0 0.0.0.255
crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
crypto isakmp key cisco address 5.100/4.100
crypto isakmp nat keepalive 5
crypto ipsec transform-set имя esp-aes 256 esp-sha256-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set имя
interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
—
ip access-list extended Lnew
permit tcp any any established
permit udp host 4.4.4.100 eq 53 any
permit udp host 5.5.5.1 eq 123 any
permit tcp any host 4.4.4.100 eq 80
permit tcp any host 4.4.4.100 eq 443
permit tcp any host 4.4.4.100 eq 2222
permit udp host 5.5.5.100 host 4.4.4.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Lnew in
——
ip access-list extended Rnew
permit tcp any any established
permit tcp any host 5.5.5.100 eq 80
permit tcp any host 5.5.5.100 eq 443
permit tcp any host 5.5.5.100 eq 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Rnew in
(L) ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222
ip nat inside source static tcp/udp 192.168.100.200 53 4.4.4.100 53
(R) ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244
/etc/chrony/chrony.conf
(ISP) local stratum 4
allow 4.4.4.0/24
allow 3.3.3.0/24
(webL-R) pool ntp.int.demo.wsr iburst
allow 192.168.100.0/24
ip domain name int.demo.wsr
ip name-server 192.168.100.200
ntp server ntp.int.demo.wsr (ip)
raid
/root/.smbclient
username/password
/etc/fstab
//srv.int.demo.wsr/диск /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0
mkdir /opt/share
mount -a
apt install -y docker-ce
systemctl start docker
systemctl enable docker
mkdir /mnt/app
mount /dev/sr1 /mnt/app
docker load < /mnt/app/app.tar
docker images
docker run —name app -p 8080:80 -d app
docker ps
no ip http secure-server
reload
(L) ip nat inside source static tcp 192.168.100.100 80 4.4.4.100 80
ip nat inside source static tcp 192.168.100.100 443 4.4.4.100 443
(R) ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80
ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443
nginx
cd /opt/share
openssl pkcs12 -nodes -nocerts -in http://www.pfx -out http://www.key
openssl pkcs12 -nodes -nokeys -in http://www.pfx -out http://www.cer
—
cp /opt/share/www.key /etc/nginx/www.key
cp /opt/share/www.cer /etc/nginx/www.cer
nano /etc/nginx/snippets/snakeoil.conf
ssl_certificate /etc/nginx/www.cer;
ssl_certificate_key /etc/nginx/www.key;
/etc/nginx/sites-available/default
upstream backend {
server 192.168.100.100:8080 fail_timeout=25;
server 172.16.100.100:8080 fail_timeout=25;
}
server {
listen 443 ssl default_server;
include snippers/snakeoil.conf;
server_name http://www.demo.wsr;
location / {
proxy_pass http://backend ;
}
}
server {
listen 80 default_server;
server_name _;
return 301 https://www.demo.wsr;
}
(CLI) scp -P 2244 '[email protected]:/opt/share/ca.cer' C:\Users\user\Desktop\
Install-WindowsFeature -Name AD-Certificate, ADCS-Web-Enrollment -IncludeManagementTools
Install-AdcsCertificationAuthority -CAType StandaloneRootCa -CACommonName "Demo.wsr" -force
Install-AdcsWebEnrollment -Confirm -force
New-SelfSignedCertificate -subject "localhost"
Get-ChildItem cert:\LocalMachine\My
Move-item Cert:\LocalMachine\My\rключ -destination Cert:\LocalMachine\Webhosting\
New-IISSiteBinding -Name 'Default Web Site' -BindingInformation "*:443:" -Protocol https -CertificateThumbPrint ключ
Start-WebSite -Name "Default Web Site"
Get-CACrlDistributionPoint | Remove-CACrlDistributionPoint -force
Get-CAAuthorityInformationAccess |Remove-CAAuthorityInformationAccess -force
Get-CAAuthorityInformationAccess
|Remove-CAAuthorityInformationAccess -force
Restart-Service CertSrc