Должен ли маршрутизатор явно поддерживать GRE для прохождения этих соединений?

Я заменил беспорядок в маршрутизаторах Cisco на один Dell PowerConnect 6224. Эти маршрутизаторы служат (и обслуживают) публичные IP-адреса для клиентов и просто действуют как маршрутизаторы для вышестоящего поставщика.

До замены у клиента было устройство VPN, которое использовало GRE и IPsec для соединения с головным офисом.

До изменения сеть выглядела так:

Customer -> cisco -> cisco -> internet

Теперь похоже

Customer -> 6224 -> internet

(IP-пространство, которое использует клиент, также изменилось.)

6224 был выбран для маршрутизации, так как новое соединение имеет скорость передачи данных 150 Мбит / с, и оператор сети не хотел ограничивать себя 100 Мбит / с, которые будут предоставлять ciscos. Обновление возможностей ciscos (точнее, замена их ciscos с необходимой скоростью передачи данных) считалось слишком дорогим; 6224 был выбран вместо.

Клиент использует 6224 в качестве следующего перехода в Интернет. Он действует как маршрутизатор - там нет списков ACL, правил межсетевого экрана или чего-то подобного.

После того, как клиент перенастроил свое VPN-устройство, он больше не может подключаться к нему через Интернет.

Другие клиенты, использующие, как я полагаю, стандартные IPsec VPN, работают по той же ссылке без инцидентов.

Мы подтвердили параметры IP, заменив устройство VPN на ноутбук с операционной системой XP. С такими же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.

Мой вопрос: должен ли 6224 (или любой другой маршрутизатор выполнять эту работу) понимать GRE, чтобы соединение через него работало? Была ли какая-то магия по умолчанию в Ciscos, которая занималась этим для меня?

Если это не так, есть ли что-то еще очевидное, на что я должен обратить внимание, чтобы понять, почему их VPN-устройство не работает?

3 ответа

Решение

Если "маршрутизатор" не пытается выполнить какой-либо NAT или фильтрацию пакетов с сохранением состояния, ему не нужно знать что-либо выше уровня IP. Это означает, что маршрутизатор не должен знать или заботиться о GRE и должен нормально передавать IP-трафик.

Чтобы помочь вам диагностировать это, вы можете запустить wireshark на одной стороне соединения, а затем запустить packETH ( windows) в другом месте. Создайте трафик GRE и нацельтесь на коробку с wireshark

Мы подтвердили параметры IP, заменив устройство VPN на ноутбук с операционной системой XP. С такими же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.

То есть, вы говорите, что ноутбук XP настроен как конечная точка VPN с теми же параметрами, что и устройство VPN, и что ноутбук работает и VPN-подключения извне могут быть установлены к ноутбуку? Если так, то я бы сказал, что должен сказать вам, что 6224 не проблема. Вы проверили все настройки на устройстве VPN, чтобы убедиться, что они верны? Как насчет настройки устройства VPN с нуля и повторной попытки?

Как коммутатор, используя его из коробки конфигурации, 6224 не знает и не должен заботиться о трафике, который проходит через него. Как маршрутизатор, хотя я не уверен. Честно говоря, у меня возникли небольшие проблемы с представлением, как выглядит сеть без надлежащего маршрутизатора между клиентом и вышестоящим поставщиком. Какое устройство обеспечивает входящую \ исходящую безопасность, NAT и т. Д.?

Если конечным устройствам требуется GRE, то промежуточные устройства также должны будут поддерживать также и GRE.

Другие вопросы по тегам