HCIE-Security Day21:GRE协议:实验(二)配置基于OSPF的GRE隧道
目录
需求和拓扑
操作步骤
1、配置接口地址和安全区域
2、配置路由保证公网路由可达
3、配置安全区域
4、配置gre
4.1 配置隧道接口
4.2 将隧道接口加入dmz区域
4.3 配置ospf
验证和分析
1、检查ospf邻居建立情况
2、抓包看一下ospf报文的封装情况
进阶:TCP-MSS自动调整
需求和拓扑
FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。
操作步骤
1、配置接口地址和安全区域
注意在OSPF动态路由的GRE隧道应用场景中,隧道两端的Tunnel接口就必须在同一个网段,这是因为不在同一网段时,会导致Tunnel接口建立邻接关系失败,影响到路由学习。
2、配置路由保证公网路由可达
这里我们保持公网静态路由方式,因为只有三台设备。
3、配置安全区域
security-policyrule name 1source-zone dmzsource-zone trustdestination-zone dmzdestination-zone trustaction permitrule name 2source-zone localsource-zone untrustdestination-zone localdestination-zone untrustservice greaction permit
4、配置gre
4.1 配置隧道接口
4.2 将隧道接口加入dmz区域
4.3 配置ospf
//f1
ospf 1area 0.0.0.0network 10.1.1.0 0.0.0.255network 172.16.2.1 0.0.0.0
//f2
ospf 1area 0.0.0.0network 10.1.2.0 0.0.0.255network 172.16.2.2 0.0.0.0
其实相比上一个配置静态的实现方式,除了删除了隧道静态,增加了ospf配置外,其他都没有变化,可以在原有拓扑环境中配置。
验证和分析
1、检查ospf邻居建立情况
[f2]dis ospf peer
2022-03-03 13:39:24.280 OSPF Process 1 with Router ID 172.16.2.2Neighbors Area 0.0.0.0 interface 172.16.2.2(Tunnel1)'s neighborsRouter ID: 172.16.2.1 Address: 172.16.2.1 State: Full Mode:Nbr is Slave Priority: 1DR: None BDR: None MTU: 0 Dead timer due in 28 sec Retrans timer interval: 5 Neighbor is up for 00:11:54 Authentication Sequence: [ 0 ]
2、抓包看一下ospf报文的封装情况
可见ospf报文被封装在gre后,且私网源地址是172.16.2.2,这是隧道地址。其他内容无需多讲,是普通的ospf hello报文。
这也可以从另一方面理解pn的实质是封装这个道理。我们在r1上没有配置任何ospf内容,公网的路由是通过手工配置静态实现的,ospf的报文就是在公网隧道上传递,并通过它们建立ospf邻居关系,这两个邻居没有直连。
进阶:TCP-MSS自动调整
设备支持对TCP建链阶段的SYN或SYN-ACK报文的最大报文长度MSS(Maximum Segment Size)进行动态调整。
TCP建链阶段,SYN或SYN-ACK报文的Option选项中可能会携带MSS字段,用来告知对端设备本端能够接收的最大报文段长度。设备交换过MSS值后会进行比较,选择较小MSS的值用于转发报文,保证网络中不存在分片报文。在不存在报文分片的情况下,MSS值越大允许每个报文段传送的数据就越大,网络利用率就越高。适当调整MSS值可以使得TCP报文端到端传输过程中尽量不分片,同时尽量传输大字节的数据报文,提高端到端TCP传输效率。
实现机制
当SYN或SYN-ACK报文中没有带MSS字段时,设备会自动插入合适的MSS值:
MSS=MTU-40–APPENDLEN
其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。
- 当SYN或SYN-ACK报文中带有MSS字段时,设备会比较MSS-APPENDLEN与MTU-40-APPENDLEN的大小,并把过大的MSS值改小:
- 若MTU-40-APPENDLEN>MSS-APPENDLEN,则保留并使用原有的MSS值。
- 若MTU-40-APPENDLEN<MSS-APPENDLEN,则使用MTU-40-APPENDLEN作为新的MSS值。
其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。
使用限制
- 设备上VPN通过的接口的MTU值必须完全一致。
- 只有当接口的MTU值在256~9600时才进行TCP-MSS自动调整。
- 仅单纯的IPSec、GRE、L2TP业务支持此功能,L2TP over IPSec、GRE over IPSec等业务不支持此功能。
HCIE-Security Day21:GRE协议:实验(二)配置基于OSPF的GRE隧道相关推荐
- FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用
写在前面 SPI协议系列文章: FPGA实现的SPI协议(一)----SPI驱动 FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用 在上篇文章,简要介绍了SPI协 ...
- 基于matlab的升压斩波实验,实验二、基于Simulink的直流斩波电路的仿真实验报告...
仲恺农业工程学院实验报告纸 自动化(院.系)自动化专业 112 班组电力电子技术课实验二.基于Simuilink的直流斩波电路仿真实验 一.实验目的 (1)加深理解直流斩波电路的工作原理. (2)学会 ...
- PPP协议实验及配置
PPP协议实验 拓扑图 PPP认证配置 PAP认证 CHAP认证 接口地址不在一个网段? 地址自动协商 通过IPCP方式获取到默认路由 拓扑图 首先在设备上增添两个Serial接口: PPP认证配置 ...
- 计算机网络与协议实验VLAN配置,计算机网络实验三虚拟局域网vlan划分与配置
计算机网络实验三虚拟局域网vlan划分与配置 (5页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 19.90 积分 计算机网络原理计算机网络原理 实验报告 ...
- 【GRE协议】CentOS配置GRE隧道
GRE(Generic Routing Encapsulation),通用路由封装协议,是思科开发的隧道协议. 1.加载GRE内核模块 需要加载ip_gre内核模块,并设置开机自动加载 modprob ...
- GRE协议简介及配置
GRE,通用路由协议,是对某些网络层协议如IP和IPX的数据报文进行封装,使这些被封装的数据报文能够在Tunnel(隧道)中传输. Tunnel是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文 ...
- 实验二 配置Trunk和链路汇聚
目录 一.实验内容 二.实验环境 三.实验步骤 一.实验内容 按照拓扑图规划好网络.
- IS-IS协议原理和配置 与OSPF
真正的成功没有捷径可走. 文章目录 一.拓扑 二.基础配置 三.观察与分析 四.原理 五.IS-IS与OSPF LSP 用于描述携带LSA信息:LSP(link state PDU) L1 LSP 描 ...
- 路由选择协议(二)主讲OSPF,使用洪泛法的层次区域路由信息交换
1.内部网关协议OSPF 1.1 OSPF的特点 它称为open shortest path open,开放最短路径优先协议.它使用了Dijkstra提出的最短路径算法SPF. 它最重要的特征是使用了 ...
- 14.3 GRE协议基础配置
原理概述 GRE(Generic Routing Encapsulation,通用路由封装协议)提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络(如IPv4网络)中传输,而异种 ...
最新文章
- AngularJs--过滤器(filter)
- 百度腾讯齐刷刷强调“产业+AI”,李彦宏看深,马化腾见远
- kafka权威指南_Kafka-分区、片段、偏移量
- findContours函数
- js中(function(){}()),(function(){})(),$(function(){});之间的区别
- python核心编程第二版pdf_Python Book电子书pdf版合集 Python核心高级编程第二版
- HTML基础(part8)--HTML5
- SAP Commerce Accelerator和SAP Spartacus的技术对比
- “像你一样”与海容天天:OPEN国际行为艺术展十周年
- 工作293:新的打印操作
- 异常体系----java
- (一)云计算OpenStack介绍
- Linux基础——怎么样用 TeamViewer 和 VNC 从远程控制电脑
- Q89:全局光照(Global Illumination)——Path Tracing(只用于间接光照)
- java中bin和src文件夹_编译src中的所有文件?
- 如果奇迹有颜色,那么一定是暴力or模拟比较6
- Linux如何产看系统信息
- 《番茄工作法图解》一次只做一件事
- 计算机预览正常打印乱码,打印机打印文件显示乱码该怎么办?
- element-ui表格头在分辨率较低的电脑会错乱