LABORATORIO TÚNELES - JNCIS

TOPOLOGÍA

1. Crear túnel GRE para el tráfico entre PCs

----------------------------------------------------------------------------------------------

CONFIGURACIÓN BÁSICA

root@JNCIS-GRE1> show configuration | display set

set system host-name JNCIS-GRE1

set interfaces em0 unit 0 family inet address 89.50.50.2/30

set interfaces em1 unit 0 family inet address 10.10.10.1/24

set interfaces lo0 unit 0 family inet address 192.168.10.1/32

root@JNCIS-GRE2> show configuration | display set

set system host-name JNCIS-GRE2

set interfaces em0 unit 0 family inet address 73.40.60.2/30

set interfaces em1 unit 0 family inet address 10.20.20.1/24

set interfaces lo0 unit 0 family inet address 192.168.20.1/32

root@ISP-GRE> show configuration | display set

set system host-name ISP-GRE

set interfaces em0 unit 0 family inet address 89.50.50.1/30

set interfaces em1 unit 0 family inet address 73.40.60.1/30

----------------------------------------------------------------------------------------------------

1. Configuramos la interfaces gre.

root@JNCIS-GRE1> show configuration interfaces | display set

set interfaces gre unit 0 tunnel source 192.168.10.1

set interfaces gre unit 0 tunnel destination 192.168.20.1

set interfaces gre unit 0 family inet

root@JNCIS-GRE2> show configuration interfaces | display set

set interfaces gre unit 0 tunnel source 192.168.20.1

set interfaces gre unit 0 tunnel destination 192.168.10.1

set interfaces gre unit 0 family inet

En Junos Olive, que es la imagen que usamos para emular Juniper, la interface para el túnel GRE es la "gre" y no la "gr"

Si miramos las interfaces la vemos creada:

Loopback como origen y destino

A la hora de crear la interface "tunnel" tenemos varias opciones más:

• copy-tos-to-outer-ip-header: los túneles IP-IP copian la configuración TOS (Type of Service) al túnel. Los túneles GRE no lo hacen. Configuramos esta opción para conseguirlo
• allow-fragmentation: por defecto, los túneles GRE descartan los paquetes que tengan una MTU mayor que la del GRE. Con esta opción hacemos que fragmente sin importar el tamaño de la MTU.
• reassemble-packets: habilitamos que ensamble los paquetes.
• key: le podemos asignar una contraseña. Cada paquete irá con esta clave. Si la clave no coincide, los paquetes se descartan. Hay que configurarlo en los dos extremos, obviamente. El número puede ser desde 0 a 4.294.967.295.
• clear-dont-fragment-bit: habilitamos la fragmentación. Esta opción limpia el "DF bit" en todos los paquetes, incluso aquellos que no superen la MTU. Aquellos que superen la MTU, serán fragmentados, aquellos que no, no los fragmenta.
• path-mtu-discovery: PDMTU es una técnica para determinar el tamaño de la MTU a lo largo del camino entre dos puntos y así, no se da la fragmentación. Configura el DF bit en los paquetes de salida. Cuando un equipo intermedio tenga una MTU menor, notificará con un mensaje ICMP "fragmentation needed" que además contiene su MTU. El equipo del túnel GRE reduce su MTU. Este proceso se repite hasta que el quipo descubre una MTU lo suficientemente pequeña para pasar los paquetes a lo largo de todo el camino.

Ahora tenemos que crear las rutas estáticas para decirle al tráfico que se vaya por el túnel.

root@JNCIS-GRE1> show configuration routing-options | display set

set routing-options static route 192.168.20.1/32 next-hop 89.50.50.1

set routing-options static route 10.20.20.0/24 next-hop gre.0

root@JNCIS-GRE2> show configuration routing-options | display set

set routing-options static route 192.168.10.1/32 next-hop 73.40.60.1

set routing-options static route 10.10.10.0/24 next-hop gre.0

Comprobamos que las rutas estáticas muestran el camino que tomará el tráfico.

Si hacemos un ping hacia las loopbacks no llegamos. tenemos que decirle a ISP-GRE como llegar a las loopback. Si no saben llegar al destino, el túnel no funcionará.

root@ISP-GRE> show configuration routing-options | display set

set routing-options static route 192.168.10.1/32 next-hop 89.50.50.2

set routing-options static route 192.168.20.1/32 next-hop 73.40.60.2

Vamos a resetear los contadores de las interfaces gre de los routers.

 clear interfaces statistics gre.0

Ahora deberíamos llegar de PC a PC por el túnel.

Vemos que no refleja el salto por ISP-GRE

Vemos las estadísticas del tráfico

Puede ser que los primeros paquetes enviados no lleguen, pero esto es debido a que con esos primero paquetes se monta el túnel.