| Россия, Санкт-Петербург, Северо-Западный заочный технический университет, 2007 |
Инспектор
Вы можете этот курс.
Опубликован: 28.11.2014 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лабораторная работа 1:
Соединение сетей GRE-туннелем
< Лекция 5 || Лабораторная работа 1 || Лекция 6 >
Цель
Соединить две локальные сети, каждая из которых расположена за своим межсетевым экраном, туннелем с использованием GRE-протокола.
- Обе локальные сети знают IP-адреса друг друга.
- Одна из локальных сетей находится за NAT.
Все лабораторные работы выполняются с использованием межсетевых экранов D-Link DFL-860E.
Топология сети
Между интерфейсами wan2 на МЭ 1и МЭ 2 требуется поднять GRE-туннель.
Описание практической работы
Создать статическую маршрутизацию и политики доступа, которые разрешают доступ между удаленными локальными сетями. При этом трафик между МЭ 1 и МЭ 2 проходит по GRE-туннелю.
Обе локальные сети знают IP-адреса друг друга
Межсетевой Экран 1
Объекты Адресной Книги
Создать объект, описывающий IP-адрес локальной стороны GRE-туннеля.
Веб-интерфейс:
Object → Address Book → Add → Address Folder Name: gre Object → Address Book → gre → Add
Командная строка:
add Address AddressFolder gre cc Address AddressFolder gre add IP4Address gre_ip Address=192.168.35.10
GRE-Интерфейс
Веб-интерфейс:
Interfaces → GRE → Add → GRE Tunnel
На вкладке General указать IP-адрес локальной точки туннеля, удаленную сеть и IP-адрес удаленной точки.
Если на вкладке Advanced оставить флаг Automatically add a route for this interface …, то в таблицу маршрутизации main добавится маршрут к данной сети с указанной метрикой.
Возможность редактировать параметры автоматически созданного маршрута отсутствует. Если необходимо отредактировать какие-либо параметры маршрута, то на вкладке Advanced интерфейса следует снять флаг автоматического добавления маршрута и добавить маршрут вручную с необходимыми параметрами.
Командная строка:
add Interface GRETunnel gre Network=remote/rem_lan IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw
Статическая маршрутизация
В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.
Правила фильтрования
Веб-интерфейс:
Rules → IP Rules → Add → IP Rule Folder Name: gre Rules → IP Rules → gre → Add
Командная строка:
add IPRuleFolder Name=gre cc IPRuleFolder <N folder> add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=gre DestinationNetwork=remote/rem_lan Service= all_services Name=gre_out add IPRule Action=Allow SourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=lan DestinationNetwork=lan/lan_net Service=all_services Name=gre_in add IPRule Action=Allow SourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=core DestinationNetwork=lan/lan_net Service=all_services Name=gre_in_core
Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.
Межсетевой экран 2
Объекты Адресной Книги
Веб-интерфейс:
Object → Address Book → Add → Address Folder Name: gre Object → Address Book → gre → Add
Командная строка:
add Address AddressFolder gre cc Address AddressFolder gre add IP4Address gre_ip Address=192.168.35.20
GRE-Интерфейс
Веб-интерфейс:
Interfaces → GRE → Add → GRE Tunnel
На вкладке General указать IP-адрес локальной точки туннеля, удаленную сеть и IP-адрес удаленной точки.
Командная строка:
add Interface GRETunnel gre1 Network=remote/rem_lan IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw
Статическая маршрутизация
В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.
Правила фильтрования
Веб-интерфейс:
Rules → IP Rules → Add → IP Rule Folder Name: gre Rules → IP Rules → gre ? Add
Команднаястрока:
Add IPRuleFolder Name=gre cc IPRuleFolder <N folder> add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=gre DestinationNetwork=remote/rem_lann Service=all_services Name=gre_out add IPRule Action=Allow S ourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=gre DestinationNetwork=lan/lan_net Service=all_services Name=gre_in add IPRule Action=Allow SourceInterface=gre SourceNetwork=remote/rem_lan DestinationInterface=core DestinationNetwork=lan/lan_net Service=all_services Name=gre_in_core
Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.
Проверка конфигурации
Смотрим трафик на интерфейсах wan2, gre и lan Межсетевого Экрана 2.
На интерфейсе wan2 внешними IP-адресами является IP-адреса интерфейсов wan2 межсетевых экранов.
На интерфейсе gre видим только ICMP-трафик с адресами из локальных сетей.
На интерфейсе lan видим также только ICMP-трафик с адресами из локальных сетей.
В данной топологии IP-адреса gre-интерфейсов используются исключительно для конфигурирования, в трафике они отсутствуют.
Одна из локальных сетей находится за NAT
Межсетевой Экран 1
Правила фильтрования
Веб-интерфейс:
Rules → IP Rules → Add → IP Rule Folder Name: gre_nat Rules → IP Rules → gre_nat → Add
Командная строка:
add IPRuleFolder Name=gre_nat cc IPRuleFolder < N folder> add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=gre DestinationNetwork=remote/rem_lann Service=all_services Name=gre_out
Межсетевой Экран 2
Объекты Адресной Книги
Веб-интерфейс:
Object → Address Book → Add → Address Folder Name: gre Object → Address Book → gre → Add
Командная строка:
add Address AddressFolder gre cc Address AddressFolder gre add IP4Address gre_ip Address=192.168.35.20 add IP4Address gre_ip_rem Address=192.168.35.10
GRE-Интерфейс
Веб-интерфейс:
Interfaces → GRE → Add → GRE Tunnel
На вкладке General указать IP-адрес локальной точки туннеля, IP-адрес удаленной точки gre-туннеля, на котором выполняется преобразование NAT, и IP-адрес удаленного интерфейса.
Командная строка:
add Interface GRETunnel gre1 Network=gre/gre_ip_rem IP=gre/gre_ip RemoteEndpoint=wan2/wan2_gw
Статическая маршрутизация
В таблице маршрутизации должны быть маршруты с интерфейсов wan2 и gre к соответствующим сетям.
Правила фильтрования
Веб-интерфейс:
Rules → IP Rules → Add → IP Rule Folder Name: gre_nat Rules → IP Rules → gre_nat → Add
Командная строка:
Add IPRuleFolder Name=gre_nat cc IPRuleFolder <N folder> add IPRule Action=Allow SourceInterface=gre SourceNetwork=gre/gre_ip_rem DestinationInterface=gre DestinationNetwork=lan/lan_net Service=all_services Name=gre_in add IPRule Action=Allow SourceInterface=gre SourceNetwork=gre/gre_ip_rem DestinationInterface=core DestinationNetwork=lan/lan_net Service=all_services Name=gre_in_core
Последнее правило разрешает доступ к lan-интерфейсу самого межсетевого экрана.
< Лекция 5 || Лабораторная работа 1 || Лекция 6 >
Андрей Викторов
