目录

​​

需求和拓扑

操作步骤

1、配置接口地址和安全区域

2、配置路由保证公网路由可达

3、配置安全区域

4、配置gre

4.1 配置隧道接口

4.2 将隧道接口加入dmz区域

4.3 配置ospf

验证和分析

1、检查ospf邻居建立情况

2、抓包看一下ospf报文的封装情况

进阶:TCP-MSS自动调整

需求和拓扑

FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。

操作步骤

1、配置接口地址和安全区域

注意在OSPF动态路由的GRE隧道应用场景中,隧道两端的Tunnel接口就必须在同一个网段,这是因为不在同一网段时,会导致Tunnel接口建立邻接关系失败,影响到路由学习。

2、配置路由保证公网路由可达

这里我们保持公网静态路由方式,因为只有三台设备。

3、配置安全区域

security-policyrule name 1source-zone dmzsource-zone trustdestination-zone dmzdestination-zone trustaction permitrule name 2source-zone localsource-zone untrustdestination-zone localdestination-zone untrustservice greaction permit

4、配置gre

4.1 配置隧道接口

4.2 将隧道接口加入dmz区域

4.3 配置ospf

//f1
ospf 1area 0.0.0.0network 10.1.1.0 0.0.0.255network 172.16.2.1 0.0.0.0
//f2
ospf 1area 0.0.0.0network 10.1.2.0 0.0.0.255network 172.16.2.2 0.0.0.0

其实相比上一个配置静态的实现方式,除了删除了隧道静态,增加了ospf配置外,其他都没有变化,可以在原有拓扑环境中配置。

验证和分析

1、检查ospf邻居建立情况

[f2]dis ospf peer
2022-03-03 13:39:24.280 OSPF Process 1 with Router ID 172.16.2.2Neighbors Area 0.0.0.0 interface 172.16.2.2(Tunnel1)'s neighborsRouter ID: 172.16.2.1       Address: 172.16.2.1      State: Full  Mode:Nbr is  Slave  Priority: 1DR: None   BDR: None   MTU: 0    Dead timer due in 28  sec Retrans timer interval: 5 Neighbor is up for 00:11:54     Authentication Sequence: [ 0 ]

2、抓包看一下ospf报文的封装情况

可见ospf报文被封装在gre后,且私网源地址是172.16.2.2,这是隧道地址。其他内容无需多讲,是普通的ospf hello报文。

这也可以从另一方面理解pn的实质是封装这个道理。我们在r1上没有配置任何ospf内容,公网的路由是通过手工配置静态实现的,ospf的报文就是在公网隧道上传递,并通过它们建立ospf邻居关系,这两个邻居没有直连。

进阶:TCP-MSS自动调整

设备支持对TCP建链阶段的SYN或SYN-ACK报文的最大报文长度MSS(Maximum Segment Size)进行动态调整。

TCP建链阶段,SYN或SYN-ACK报文的Option选项中可能会携带MSS字段,用来告知对端设备本端能够接收的最大报文段长度。设备交换过MSS值后会进行比较,选择较小MSS的值用于转发报文,保证网络中不存在分片报文。在不存在报文分片的情况下,MSS值越大允许每个报文段传送的数据就越大,网络利用率就越高。适当调整MSS值可以使得TCP报文端到端传输过程中尽量不分片,同时尽量传输大字节的数据报文,提高端到端TCP传输效率。

实现机制

  • 当SYN或SYN-ACK报文中没有带MSS字段时,设备会自动插入合适的MSS值:

    MSS=MTU-40–APPENDLEN

    其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。

  • 当SYN或SYN-ACK报文中带有MSS字段时,设备会比较MSS-APPENDLENMTU-40-APPENDLEN的大小,并把过大的MSS值改小:
    • MTU-40-APPENDLEN>MSS-APPENDLEN,则保留并使用原有的MSS值。
    • MTU-40-APPENDLEN<MSS-APPENDLEN,则使用MTU-40-APPENDLEN作为新的MSS值。

    其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。

使用限制

  • 设备上VPN通过的接口的MTU值必须完全一致。
  • 只有当接口的MTU值在256~9600时才进行TCP-MSS自动调整。
  • 仅单纯的IPSec、GRE、L2TP业务支持此功能,L2TP over IPSec、GRE over IPSec等业务不支持此功能。

HCIE-Security Day21:GRE协议:实验(二)配置基于OSPF的GRE隧道相关推荐

  1. FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用

    写在前面 SPI协议系列文章: FPGA实现的SPI协议(一)----SPI驱动 FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用 在上篇文章,简要介绍了SPI协 ...

  2. 基于matlab的升压斩波实验,实验二、基于Simulink的直流斩波电路的仿真实验报告...

    仲恺农业工程学院实验报告纸 自动化(院.系)自动化专业 112 班组电力电子技术课实验二.基于Simuilink的直流斩波电路仿真实验 一.实验目的 (1)加深理解直流斩波电路的工作原理. (2)学会 ...

  3. PPP协议实验及配置

    PPP协议实验 拓扑图 PPP认证配置 PAP认证 CHAP认证 接口地址不在一个网段? 地址自动协商 通过IPCP方式获取到默认路由 拓扑图 首先在设备上增添两个Serial接口: PPP认证配置 ...

  4. 计算机网络与协议实验VLAN配置,计算机网络实验三虚拟局域网vlan划分与配置

    计算机网络实验三虚拟局域网vlan划分与配置 (5页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 19.90 积分 计算机网络原理计算机网络原理 实验报告 ...

  5. 【GRE协议】CentOS配置GRE隧道

    GRE(Generic Routing Encapsulation),通用路由封装协议,是思科开发的隧道协议. 1.加载GRE内核模块 需要加载ip_gre内核模块,并设置开机自动加载 modprob ...

  6. GRE协议简介及配置

    GRE,通用路由协议,是对某些网络层协议如IP和IPX的数据报文进行封装,使这些被封装的数据报文能够在Tunnel(隧道)中传输. Tunnel是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文 ...

  7. 实验二 配置Trunk和链路汇聚

    目录 一.实验内容 二.实验环境 三.实验步骤 一.实验内容 按照拓扑图规划好网络.

  8. IS-IS协议原理和配置 与OSPF

    真正的成功没有捷径可走. 文章目录 一.拓扑 二.基础配置 三.观察与分析 四.原理 五.IS-IS与OSPF LSP 用于描述携带LSA信息:LSP(link state PDU) L1 LSP 描 ...

  9. 路由选择协议(二)主讲OSPF,使用洪泛法的层次区域路由信息交换

    1.内部网关协议OSPF 1.1 OSPF的特点 它称为open shortest path open,开放最短路径优先协议.它使用了Dijkstra提出的最短路径算法SPF. 它最重要的特征是使用了 ...

  10. 14.3 GRE协议基础配置

    原理概述 GRE(Generic Routing Encapsulation,通用路由封装协议)提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络(如IPv4网络)中传输,而异种 ...

最新文章

  1. mybatis的资源过滤错误及xml文件编码错误
  2. 读Zepto源码之操作DOM
  3. 通过网络安装VMware ESX Server 5
  4. 服务器虚拟化集成项目投标方案,服务器虚拟化投标技术方案(纯方案,16页).doc...
  5. Web Bundler CheatSheet, 选择合适的构建打包工具
  6. 在JFinal的Controller中接收json数据
  7. BAC--Downtime 凌晨时段设定
  8. Linq标准查询运算及用法
  9. 【转】ubuntu 开机sudo启动应用程序
  10. 今天的你将感谢_您今天感谢系统管理员了吗?
  11. 【介绍】GNES ——Pythonic的直观方式快速构建神经搜索框架
  12. ca蜘蛛特效nvas-nest.js | Bootstrap中文网开源项目免费 CDN 服务
  13. 海湾火灾自动报警系统中文编码查询表
  14. docker 两行命令启动 qq音乐api服务器 和 网易云音乐api服务器
  15. 关于laravel中如何在where中使用in这回事
  16. android pppd流程,一种基于PPPD实现PPP‑Server功能的通信模块及其实现方法与流程...
  17. 2023考研数学冲刺模拟卷资源———以及模拟卷难度评估
  18. 二叉查找树(重复元素情况)
  19. 用Keras构建神经网络的3种方法
  20. 小旋风360推送工具

热门文章

  1. 哪个员工上班健身,定性考勤造假;哪个员工反映问题,考虑把他清退!华为HR实名内曝...
  2. 【论文笔记】基于强化学习的句子摘要排序
  3. 干货 | 大公司机器学习算法的面试经验
  4. PyTorch(总)---PyTorch遇到令人迷人的BUG与记录
  5. leetcode—11.队列题型python解答
  6. python中运行linux命令
  7. 游戏情境设计案例精选
  8. 征服RIA:函数式编程的原理
  9. python os模块详细_python中os模块函数方法详解最全最新
  10. rapidminer员工离职分析_员工一言不合就离职怎么破?我有Python员工流失预警模型...