Articolele sunt din ce în ce mai mult și asupra lui scrierii de mână :) De data aceasta, am decis să împartă tema de configurare tunel GRE, precum și pentru a le proteja cu IPSec în două de fiecare dată - teoretică și practică. Dacă ai venit aici de la motoarele de căutare, și imediat de gând să arunce în piscina cu capul, puteți merge direct pentru a configura GRE peste IPSec folosind profile IPSec și harta cripto.
În interpretarea tunel Cisco - o interfață logică, al cărei rol este de a încapsulează pachetele de un protocol (protocol de pasageri), cu al doilea (protocol de transport) și să o transmită pe un al treilea (protocol de transport). În rolul protocolului, care se ocupă cu încapsulare poate acționa protocoale, cum ar fi GRE, IPIP. GRE (Generic Routing încapsularea) - un protocol care, spre deosebire de IPIP, permite încapsularea o alte protocoale, cum ar fi AppleTalk, IP, IPX și altele. Dacă numai ethertype a fost corectă.
Pachetul prins într-un tunel cu încapsulare GRE, va fi după cum urmează:
Antetul exterior IP, antetul GRE, antetul IP interior, sarcină utilă de
antet GRE poate varia de la 4 la 16 octeți în funcție de care sunt incluse opțiuni.
- C. K și S în titlu este o opțiune, spunând ne așteptăm ca câmpul să fie suma de control (control), conexiunea (tasta) cheie și un număr de secvență (numărul de ordine)
- ver - numărul versiunii de GRE (0)
- protocol de încapsulare ethertype - Protocol
- Checksum - Suma de control (opțional)
- Cheie - cheie de securitate tunel (este opțional)
- Numărul de ordine - numărul secvențial (este opțional)
În mod implicit, toate opțiunile sunt dezactivate, iar antetul este de 4 octeți. Opțiunile rămase pot fi activată în timpul configurării interfeței tunelului:
Ambalaj prins în tunel IPIP va arata exact la fel, numai fără antetul GRE. Din motive evidente, ca protocolul de pasageri în tunel IPIP poate acționa numai pentru IP.
Ce este atât de bun tuneluri?
- rutare recursive - protocolul de rutare, atunci când încep să creadă că folosesc tunelul la gazdă la distanță este mai profitabil decât un mod real. Noi rezolva această problemă, fie rute statice sau un proces de rutare, diferit de cel utilizat pe interfața WAN.
- Fragmentarea IP
MTU și IP Fragmentarea
MTU (Unitate de Transfer maxim) indică dimensiunea maximă în octeți de informații care pot fi transmise. Pentru Ethernet este de 1500 bytes, în cazul în care nu ia în considerare cadrele Jumbo. Sau MSS maxim Segment Size - este dimensiunea maximă a segmentului TCP transmis, și este de obicei 1460 bytes (1500 - TCP 20 bytes header - 20 bytes header-ul IP).
Dar apoi încep să intre în tuneluri. Așa cum am spus, GRE adaugă un antet (4 octeți) și un nou antet IP (20 bytes), respectiv MTU pe interfața tunelului trebuie redusă la 1476 octeți în cazul GRE și 1480 în cazul IPIP. Puteți face acest lucru manual sau prin utilizarea PMTUD - calea MTU descoperire.
Doar nu uitați despre costurile aeriene IPSec, dacă decidem criptarea datelor care se încadrează în tunel. În cel mai rău caz, deasupra capului pentru IPSec, în plus față de cele 24 de bytes GRE, va fi după cum urmează:
Octeții deasupra capului