ALU birlikte çalışan GRE tüneli


12

Bir ALU 7750SR ve 3. taraf bir satıcı arasında bir GRE tüneli kurmayı anlamaya çalışıyorum. SDP VC-ID de balking olduğunu düşünüyorum ama birisinin ALU ile çok satıcılı bir ortamda gelip bir GRE tüneli alma deneyimi olduğunu umuyorum.

İstenen sözdizimi şöyledir:

sdp 9999 create
far-end 1.1.1.1 
path-mtu 1500 
keep-alive 
exit

ies 9998 customer 1 create 
 interface "PACKET_DESIGN" create 
 address 10.128.105.6/30 
 spoke-sdp 9999:1 create 
 no shutdown 
 exit 
no shutdown

1
Biraz daha bilgi verebilir misiniz? Ne denediniz, neden üçüncü taraf tedarikçinin VC-ID'nin neden olabileceğini düşünüyorsunuz ...
Gerben

Ağ kurulumu nedir? Bu bir güvenlik duvarından geçiyor mu veya güvenlik duvarında yapılandırılmış mı? Güvenlik duvarı durumunda, GRE ve TCP Bağlantı Noktalarının trafiğine izin verdiniz mi? Lütfen şu şekilde bir ağ şeması sağlayın: LAN1 => Güvenlik
Duvarı1

İçerik vermek için bir yapılandırma örneği gönderebilir misiniz?
jwbensley

@javano Sözdizimini ana gönderiye ekledim.
Çamur

@Bulki İlgili güvenlik duvarı yok. Bu bir Route Explorer / Paket Tasarım sunucusuna bir ISIS L1 bitişik tünel almak için çalışıyorum ama tüm niyet ve amaçlar için bir Cisco yönlendirici için bir tünel yapmaya çalışıyorum hayal edebilirsiniz (bir GRE tünel alabilirsiniz gibi) Cisco tarafında özel bir sözdizimi olmadan Cisco'dan Packet Design'a çalışmak). Ağ şeması göründüğü kadar basit: LAN1 - GRE Tunnel - LAN2. Standart MPLS çekirdeği, SDP GRE olarak ayarlandığından TE gerçekleşmemektedir.
Çamur

Yanıtlar:


3

AFAIK GRE desteği VPN hizmetleriyle veya erişim takma adı olarak sınırlıdır. En azından ALU'ya göre GRE'yi 'ağ' tarafında mantıksal bir tünel olarak kullanmanın bir yolu yoktur. Bunun için bir servis bıçağı gerekir. Ancak, bunu test etmedim ama resmi hikaye gibi görünüyor.


Oynarken kesinlikle GRE tünellerinin ALU'dan ALU'ya ağ tarafında çalışmasını sağlayabildim ve tünelde IŞİD komşuları oluştu. Çalışmadığı başka bir şeye ALU olduğunda. Sorun, ALC olmayan aygıta (ve ALU olmayan ALU'ya bir tane göndermiyor) rastlayan SVC-ID Etiketi olduğunu düşünüyorum ama bunu düzeltmek için bir yol düşünemiyorum. Sadece ALU'da bir RFC standart GRE tünelini farklı bir satıcıya dönüştürmenin kolay bir yolu olmadığı akılda kalıcı görünüyor.
Çamur

Yapılandırmanız varsayılan olarak açık olduğu için tldp sinyalini ima eder. "Sinyal kapalıyken" kapatılabilir. Bu yapılandırmayı test ettim, ancak yine de IES / VPRN bağlamında "spoke-sdp" kullanmanın veri düzleminde kullanılacak hizmet etiketini çağırdığı görülüyor. Gerçi paket yakalamaları ile bu doğrulamak gerekir. "Gerçek" tünel arayüzü afaik MS-ISA blade gerektirir. Sonra GRE hedef olan mantıksal tünel sapları greate olabilir.
aakso

1

Bunu daha önce denedim. Size ne yaptığınızı göstereyim.

Önce SDP'leri GRE olarak oluşturdum.

far-end 10.1.0.6
signaling off
keep-alive
 shutdown
exit
no shutdown

Ardından IES hizmetinizi oluşturun. Şimdi, spoke-spd oluştururken ve sinyal kapalıyken (GRE kullandığınız için), o zaman manuel olarak giriş oluşturmanız ve vc etiketlerini çıkarmanız gerekir.

ies 100 customer 1 create
 interface "to_SARA_2" create
  address 192.168.0.1/30
  spoke-sdp 12:100 create
   ingress
    vc-label 2048
   exit
   egress
    vc-label 2048
   exit
  exit
 exit
 no shutdown
exit

Bu son şey hile yapar ve daha sonra MPLS yerine GRE kullanarak trafiği iletebilirsiniz ...


0
  1. GRE başlığının diğer siteye geçmesine izin vermek için MTU'yu bellekten 1440 veya daha azına ayarlamanız gerekir> çok kullanışlı ve anlaşılması kolay (100 sayfalık bir teknik inceleme de değil)

GRE IPSec Tünel Modu Havai Noktadan Noktaya GRE IPSEC Hesaplama

Daha fazla bilgi almak için bu makaleye bakın diyebilirim: Geçen gün 2 ciscos ile bir tane ayarladım - sadece IPSec malzemelerini yapılandırmanızdan kaldırın, ancak dediğim gibi> her iki taraftaki MTU'yu eşleştirin (ve gerçekten IPSEC uygulayın)


1
Uçtan uca arayüz MTU 9212'de standartlaştırılmıştır (bu sayı L2 yükünü içerir). Ben bu işi yapmaya çalışırken "path-mtu" komutunu kullanmak bir "dolu mary" idi. Tekmeler için path-mtu ifadesini 1400, 1300, 1200 ve 1100 olarak değiştirdim ve operasyonel olarak aşağıda kaldı. Bağlantınız ALU ve Cisco arasındaki teslimat farkını ele almıyor ve iki Cisco arasında bir GRE tüneli oluşturmak sorun değil. Ayrıca bu tünel AS'den ayrılmadığından IPSEC'e ihtiyaç yoktur.
Çamur
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.