引き続きの投稿です・・(^^;)
GREoverIPSECをSRXで実施しようと思いまずは以下の構成でGREトンネルを構成しました
【設定時にハマったところです(今更ですが。。)】
① GREインタフェースを設定するバーチャルルータの対象インタフェースに所属させる
admin@SRX100H2> show configuration routing-instances VR1
instance-type virtual-router;
interface fe-0/0/0.0;
interface gr-0/0/0.0; ⇒ ここ!!
interface lt-0/0/0.0; ## 'lt-0/0/0.0' is not defined
interface fe-0/0/1.0;
interface fe-0/0/2.0;
interface fe-0/0/3.0;
routing-options {
static {
route 130.230.0.0/24 next-hop gr-0/0/0.0;
route 0.0.0.0/0 next-hop 172.16.8.254;
}
}
admin@SRX100H2>
② GREインタフェース設定にもひと手間あります
(所属するバーチャルルーターを設定)
admin@SRX100H2> show configuration interfaces gr-0/0/0
unit 0 {
tunnel {
source 172.16.8.1;
destination 172.16.7.1;
routing-instance {
destination VR1; ⇒ ここ!!
}
}
family inet;
}
admin@SRX100H2>
② そうするとルーティングテーブルに載ってきました(^^;)
admin@SRX100H2> show route 130.230.0.0/24
〇 VR1:GRE終端ルーター
VR1.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
130.230.0.0/24 *[Static/5] 00:36:27
> via gr-0/0/0.0 ⇒ ここ!!
〇 VR2:GREトンエル間にある中間のルーター
VR2.inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
130.230.0.0/24 *[Static/5] 02:36:48
> to 172.16.7.1 via fe-0/0/7.0
admin@SRX100H2>
【確認要領】
①Ubuntoからping及びTracerouteを実施しました!!
② SRXでGREトンネルを使用してパケットをやり取りしているのを確認しました!
(1) GREトンネルが送受信ともカウントアップしている
admin@SRX100H2> show interfaces gr-0/0/0.0
Logical interface gr-0/0/0.0 (Index 82) (SNMP ifIndex 519)
Flags: Point-To-Point SNMP-Traps 0x0
IP-Header 172.16.7.1:172.16.8.1:47:df:64:0000000000000004
Encapsulation: GRE-NULL
Gre keepalives configured: Off, Gre keepalives adjacency state: down
Input packets : 20
Output packets: 20
Security: Zone: WAN
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp
ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp
ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin
rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping
ntp sip r2cp
Protocol inet, MTU: 1476
Flags: Sendbcast-pkt-to-re
admin@SRX100H2> show interfaces gr-0/0/0.0
Logical interface gr-0/0/0.0 (Index 82) (SNMP ifIndex 519)
Flags: Point-To-Point SNMP-Traps 0x0
IP-Header 172.16.7.1:172.16.8.1:47:df:64:0000000000000004
Encapsulation: GRE-NULL
Gre keepalives configured: Off, Gre keepalives adjacency state: down
Input packets : 22
Output packets: 22
Security: Zone: WAN
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp
ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp
ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin
rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping
ntp sip r2cp
Protocol inet, MTU: 1476
Flags: Sendbcast-pkt-to-re
(2) Flow確認によりGREトンエル経由の通信フローが確認できました!
admin@SRX100H2> show security flow session | match icmp
In: 130.230.0.1/7 --> 172.16.10.1/5339;icmp, If: gr-0/0/0.0, Pkts: 1, Bytes: 8
Out: 172.16.10.1/5339 --> 130.230.0.1/7;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes:
In: 130.230.0.1/8 --> 172.16.10.1/5339;icmp, If: gr-0/0/0.0, Pkts: 1, Bytes: 8
Out: 172.16.10.1/5339 --> 130.230.0.1/8;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes:
In: 130.230.0.1/9 --> 172.16.10.1/5339;icmp, If: gr-0/0/0.0, Pkts: 1, Bytes: 8
Out: 172.16.10.1/5339 --> 130.230.0.1/9;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes:
【結論】
バーチャルルータめんどくさい。。
ですが台数がないのでしばらくはバーチャルルータのお世話になります。。
今後は思い切ってSRX2401台を購入しようと思います~(^^;)
