HCIE-Security Day21:GRE协议:实验(二)配置基于OSPF的GRE隧道
目录
需求和拓扑
操作步骤
1、配置接口地址和安全区域
2、配置路由保证公网路由可达
3、配置安全区域
4、配置gre
4.1 配置隧道接口
4.2 将隧道接口加入dmz区域
4.3 配置ospf
验证和分析
1、检查ospf邻居建立情况
2、抓包看一下ospf报文的封装情况
进阶:TCP-MSS自动调整
需求和拓扑
FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。
操作步骤
1、配置接口地址和安全区域
注意在OSPF动态路由的GRE隧道应用场景中,隧道两端的Tunnel接口就必须在同一个网段,这是因为不在同一网段时,会导致Tunnel接口建立邻接关系失败,影响到路由学习。
2、配置路由保证公网路由可达
这里我们保持公网静态路由方式,因为只有三台设备。
3、配置安全区域
security-policyrule name 1source-zone dmzsource-zone trustdestination-zone dmzdestination-zone trustaction permitrule name 2source-zone localsource-zone untrustdestination-zone localdestination-zone untrustservice greaction permit
4、配置gre
4.1 配置隧道接口
4.2 将隧道接口加入dmz区域
4.3 配置ospf
//f1
ospf 1area 0.0.0.0network 10.1.1.0 0.0.0.255network 172.16.2.1 0.0.0.0
//f2
ospf 1area 0.0.0.0network 10.1.2.0 0.0.0.255network 172.16.2.2 0.0.0.0
其实相比上一个配置静态的实现方式,除了删除了隧道静态,增加了ospf配置外,其他都没有变化,可以在原有拓扑环境中配置。
验证和分析
1、检查ospf邻居建立情况
[f2]dis ospf peer
2022-03-03 13:39:24.280 OSPF Process 1 with Router ID 172.16.2.2Neighbors Area 0.0.0.0 interface 172.16.2.2(Tunnel1)'s neighborsRouter ID: 172.16.2.1 Address: 172.16.2.1 State: Full Mode:Nbr is Slave Priority: 1DR: None BDR: None MTU: 0 Dead timer due in 28 sec Retrans timer interval: 5 Neighbor is up for 00:11:54 Authentication Sequence: [ 0 ]
2、抓包看一下ospf报文的封装情况
可见ospf报文被封装在gre后,且私网源地址是172.16.2.2,这是隧道地址。其他内容无需多讲,是普通的ospf hello报文。
这也可以从另一方面理解pn的实质是封装这个道理。我们在r1上没有配置任何ospf内容,公网的路由是通过手工配置静态实现的,ospf的报文就是在公网隧道上传递,并通过它们建立ospf邻居关系,这两个邻居没有直连。
进阶:TCP-MSS自动调整
设备支持对TCP建链阶段的SYN或SYN-ACK报文的最大报文长度MSS(Maximum Segment Size)进行动态调整。
TCP建链阶段,SYN或SYN-ACK报文的Option选项中可能会携带MSS字段,用来告知对端设备本端能够接收的最大报文段长度。设备交换过MSS值后会进行比较,选择较小MSS的值用于转发报文,保证网络中不存在分片报文。在不存在报文分片的情况下,MSS值越大允许每个报文段传送的数据就越大,网络利用率就越高。适当调整MSS值可以使得TCP报文端到端传输过程中尽量不分片,同时尽量传输大字节的数据报文,提高端到端TCP传输效率。
实现机制
当SYN或SYN-ACK报文中没有带MSS字段时,设备会自动插入合适的MSS值:
MSS=MTU-40–APPENDLEN
其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。
- 当SYN或SYN-ACK报文中带有MSS字段时,设备会比较MSS-APPENDLEN与MTU-40-APPENDLEN的大小,并把过大的MSS值改小:
- 若MTU-40-APPENDLEN>MSS-APPENDLEN,则保留并使用原有的MSS值。
- 若MTU-40-APPENDLEN<MSS-APPENDLEN,则使用MTU-40-APPENDLEN作为新的MSS值。
其中,MSS表示自动插入的MSS值,MTU表示接口的最大传输单元,APPENDLEN表示进行VPN加密封装时增加的报文长度。
使用限制
- 设备上VPN通过的接口的MTU值必须完全一致。
- 只有当接口的MTU值在256~9600时才进行TCP-MSS自动调整。
- 仅单纯的IPSec、GRE、L2TP业务支持此功能,L2TP over IPSec、GRE over IPSec等业务不支持此功能。
HCIE-Security Day21:GRE协议:实验(二)配置基于OSPF的GRE隧道相关推荐
- FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用
写在前面 SPI协议系列文章: FPGA实现的SPI协议(一)----SPI驱动 FPGA实现的SPI协议(二)----基于SPI接口的FLASH芯片M25P16的使用 在上篇文章,简要介绍了SPI协 ...
- 基于matlab的升压斩波实验,实验二、基于Simulink的直流斩波电路的仿真实验报告...
仲恺农业工程学院实验报告纸 自动化(院.系)自动化专业 112 班组电力电子技术课实验二.基于Simuilink的直流斩波电路仿真实验 一.实验目的 (1)加深理解直流斩波电路的工作原理. (2)学会 ...
- PPP协议实验及配置
PPP协议实验 拓扑图 PPP认证配置 PAP认证 CHAP认证 接口地址不在一个网段? 地址自动协商 通过IPCP方式获取到默认路由 拓扑图 首先在设备上增添两个Serial接口: PPP认证配置 ...
- 计算机网络与协议实验VLAN配置,计算机网络实验三虚拟局域网vlan划分与配置
计算机网络实验三虚拟局域网vlan划分与配置 (5页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 19.90 积分 计算机网络原理计算机网络原理 实验报告 ...
- 【GRE协议】CentOS配置GRE隧道
GRE(Generic Routing Encapsulation),通用路由封装协议,是思科开发的隧道协议. 1.加载GRE内核模块 需要加载ip_gre内核模块,并设置开机自动加载 modprob ...
- GRE协议简介及配置
GRE,通用路由协议,是对某些网络层协议如IP和IPX的数据报文进行封装,使这些被封装的数据报文能够在Tunnel(隧道)中传输. Tunnel是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文 ...
- 实验二 配置Trunk和链路汇聚
目录 一.实验内容 二.实验环境 三.实验步骤 一.实验内容 按照拓扑图规划好网络.
- IS-IS协议原理和配置 与OSPF
真正的成功没有捷径可走. 文章目录 一.拓扑 二.基础配置 三.观察与分析 四.原理 五.IS-IS与OSPF LSP 用于描述携带LSA信息:LSP(link state PDU) L1 LSP 描 ...
- 路由选择协议(二)主讲OSPF,使用洪泛法的层次区域路由信息交换
1.内部网关协议OSPF 1.1 OSPF的特点 它称为open shortest path open,开放最短路径优先协议.它使用了Dijkstra提出的最短路径算法SPF. 它最重要的特征是使用了 ...
- 14.3 GRE协议基础配置
原理概述 GRE(Generic Routing Encapsulation,通用路由封装协议)提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络(如IPv4网络)中传输,而异种 ...
最新文章
- mybatis的资源过滤错误及xml文件编码错误
- 读Zepto源码之操作DOM
- 通过网络安装VMware ESX Server 5
- 服务器虚拟化集成项目投标方案,服务器虚拟化投标技术方案(纯方案,16页).doc...
- Web Bundler CheatSheet, 选择合适的构建打包工具
- 在JFinal的Controller中接收json数据
- BAC--Downtime 凌晨时段设定
- Linq标准查询运算及用法
- 【转】ubuntu 开机sudo启动应用程序
- 今天的你将感谢_您今天感谢系统管理员了吗?
- 【介绍】GNES ——Pythonic的直观方式快速构建神经搜索框架
- ca蜘蛛特效nvas-nest.js | Bootstrap中文网开源项目免费 CDN 服务
- 海湾火灾自动报警系统中文编码查询表
- docker 两行命令启动 qq音乐api服务器 和 网易云音乐api服务器
- 关于laravel中如何在where中使用in这回事
- android pppd流程,一种基于PPPD实现PPP‑Server功能的通信模块及其实现方法与流程...
- 2023考研数学冲刺模拟卷资源———以及模拟卷难度评估
- 二叉查找树(重复元素情况)
- 用Keras构建神经网络的3种方法
- 小旋风360推送工具
热门文章
- 哪个员工上班健身,定性考勤造假;哪个员工反映问题,考虑把他清退!华为HR实名内曝...
- 【论文笔记】基于强化学习的句子摘要排序
- 干货 | 大公司机器学习算法的面试经验
- PyTorch(总)---PyTorch遇到令人迷人的BUG与记录
- leetcode—11.队列题型python解答
- python中运行linux命令
- 游戏情境设计案例精选
- 征服RIA:函数式编程的原理
- python os模块详细_python中os模块函数方法详解最全最新
- rapidminer员工离职分析_员工一言不合就离职怎么破?我有Python员工流失预警模型...