Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 1379 / 124 | Длительность: 23:26:00
ISBN: 978-5-9556-0163-2
Лабораторная работа 1:

Соединение сетей GRE-туннелем

< Лекция 5 || Лабораторная работа 1 || Лекция 6 >

Цель

Соединить две локальные сети, каждая из которых расположена за своим межсетевым экраном, туннелем с использованием GRE-протокола.

  1. Обе локальные сети знают IP-адреса друг друга.
  2. Одна из локальных сетей находится за NAT.

Все лабораторные работы выполняются с использованием межсетевых экранов D-Link DFL-860E.

Топология сети


Между интерфейсами wan2 на МЭ 1и МЭ 2 требуется поднять GRE-туннель.

Описание практической работы

Создать статическую маршрутизацию и политики доступа, которые разрешают доступ между удаленными локальными сетями. При этом трафик между МЭ 1 и МЭ 2 проходит по GRE-туннелю.

Обе локальные сети знают IP-адреса друг друга

Межсетевой Экран 1


Объекты Адресной Книги

Создать объект, описывающий IP-адрес локальной стороны GRE-туннеля.

Веб-интерфейс:

Object → Address Book → Add → Address Folder
	Name: gre
Object → Address Book → gre → Add

Командная строка:

add Address AddressFolder gre
cc Address AddressFolder gre
add IP4Address gre_ip Address=192.168.35.10

GRE-Интерфейс

Веб-интерфейс:

Interfaces → GRE → Add → GRE Tunnel

На вкладке General указать IP-адрес локальной точки туннеля, удаленную сеть и IP-адрес удаленной точки.


Если на вкладке Advanced оставить флаг Automatically add a route for this interface …, то в таблицу маршрутизации main добавится маршрут к данной сети с указанной метрикой.


Возможность редактировать параметры автоматически созданного маршрута отсутствует. Если необходимо отредактировать какие-либо параметры маршрута, то на вкладке Advanced интерфейса следует снять флаг автоматического добавления маршрута и добавить маршрут вручную с необходимыми параметрами.

Командная строка:

add Interface GRETunnel gre Network=remote/rem_lan IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw

Статическая маршрутизация

В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.


Правила фильтрования

Веб-интерфейс:

Rules → IP Rules → Add → IP Rule Folder
	Name: gre
Rules → IP Rules → gre → Add

Командная строка:

add IPRuleFolder Name=gre
cc IPRuleFolder <N folder>
add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=gre DestinationNetwork=remote/rem_lan Service= all_services Name=gre_out
add IPRule Action=Allow SourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=lan DestinationNetwork=lan/lan_net Service=all_services Name=gre_in
add IPRule Action=Allow SourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=core DestinationNetwork=lan/lan_net Service=all_services Name=gre_in_core

Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.

Межсетевой экран 2


Объекты Адресной Книги

Веб-интерфейс:

Object → Address Book → Add → Address Folder
	Name: gre
Object → Address Book → gre → Add

Командная строка:

add Address AddressFolder gre
cc Address AddressFolder gre
add IP4Address gre_ip Address=192.168.35.20

GRE-Интерфейс

Веб-интерфейс:

Interfaces → GRE → Add → GRE Tunnel

На вкладке General указать IP-адрес локальной точки туннеля, удаленную сеть и IP-адрес удаленной точки.


Командная строка:

add Interface GRETunnel gre1 Network=remote/rem_lan IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw

Статическая маршрутизация

В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.


Правила фильтрования

Веб-интерфейс:

Rules → IP Rules → Add → IP Rule Folder
	Name: gre
Rules → IP Rules → gre ? Add

Команднаястрока:

Add IPRuleFolder Name=gre
cc IPRuleFolder <N folder>
add IPRule Action=Allow SourceInterface=lan 
SourceNetwork=lan/lan_net 
DestinationInterface=gre 
DestinationNetwork=remote/rem_lann 
Service=all_services 
Name=gre_out
add IPRule Action=Allow S
ourceInterface=gre 
SourceNetwork=remote/rem_lan 
DestinationInterface=gre 
DestinationNetwork=lan/lan_net 
Service=all_services Name=gre_in
add IPRule Action=Allow 
SourceInterface=gre 
SourceNetwork=remote/rem_lan 
DestinationInterface=core 
DestinationNetwork=lan/lan_net 
Service=all_services 
Name=gre_in_core

Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.

Проверка конфигурации


Смотрим трафик на интерфейсах wan2, gre и lan Межсетевого Экрана 2.

На интерфейсе wan2 внешними IP-адресами является IP-адреса интерфейсов wan2 межсетевых экранов.


На интерфейсе gre видим только ICMP-трафик с адресами из локальных сетей.


На интерфейсе lan видим также только ICMP-трафик с адресами из локальных сетей.


В данной топологии IP-адреса gre-интерфейсов используются исключительно для конфигурирования, в трафике они отсутствуют.

Одна из локальных сетей находится за NAT

Межсетевой Экран 1


Правила фильтрования

Веб-интерфейс:

Rules → IP Rules → Add → IP Rule Folder
	Name: gre_nat
Rules → IP Rules → gre_nat → Add

Командная строка:

add IPRuleFolder Name=gre_nat
cc IPRuleFolder < N folder>
add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=gre
DestinationNetwork=remote/rem_lann Service=all_services Name=gre_out

Межсетевой Экран 2


Объекты Адресной Книги

Веб-интерфейс:

Object → Address Book → Add → Address Folder
	Name: gre
Object → Address Book → gre → Add

Командная строка:

add Address AddressFolder gre
cc Address AddressFolder gre
add IP4Address gre_ip Address=192.168.35.20
add IP4Address gre_ip_rem Address=192.168.35.10

GRE-Интерфейс

Веб-интерфейс:

Interfaces → GRE → Add → GRE Tunnel

На вкладке General указать IP-адрес локальной точки туннеля, IP-адрес удаленной точки gre-туннеля, на котором выполняется преобразование NAT, и IP-адрес удаленного интерфейса.

Командная строка:

add Interface GRETunnel gre1 Network=gre/gre_ip_rem IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw

Статическая маршрутизация

В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.


Правила фильтрования

Веб-интерфейс:

Rules → IP Rules → Add → IP Rule Folder
	Name: gre_nat
Rules → IP Rules → gre_nat → Add

Командная строка:

Add IPRuleFolder Name=gre_nat
cc IPRuleFolder <N folder>
add IPRule Action=Allow SourceInterface=gre SourceNetwork=gre/gre_ip_rem DestinationInterface=gre DestinationNetwork=lan/lan_net Service=all_services Name=gre_in
add IPRule Action=Allow SourceInterface=gre SourceNetwork=gre/gre_ip_rem DestinationInterface=core DestinationNetwork=lan/lan_net Service=all_services Name=gre_in_core

Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.

< Лекция 5 || Лабораторная работа 1 || Лекция 6 >