Тунель ALU interop GRE

Я намагався розібратися, як встановити тунель GRE між ALU 7750SR та стороннім постачальником. Я думаю, що це балакання на VC-ID в SDP, але я сподіваюся, що хтось має досвід отримати тунель GRE, щоб підійти в середовищі багато постачальників з ALU.

Ось запитуваний синтаксис:

sdp 9999 create
far-end 1.1.1.1 
path-mtu 1500 
keep-alive 
exit

ies 9998 customer 1 create 
 interface "PACKET_DESIGN" create 
 address 10.128.105.6/30 
 spoke-sdp 9999:1 create 
 no shutdown 
 exit 
no shutdown

gre alcatel-lucent-7750

— Бруд
джерело

Не могли б ви надати трохи більше інформації? Що ви пробували, чому ви вважаєте, що причиною може бути саме VC-ID, який постачальник третьої сторони, ...

— Гербен

Що таке налаштування мережі? Чи проходить це брандмауер або він налаштований на брандмауері? У разі брандмауера, чи дозволено вам трафік портів GRE та TCP? Будь ласка, надайте таку мережеву схему: LAN1 => Firewall1 == GRE Tunnel == Firewall2 <= LAN2

— Bulki

Чи можете ви розмістити приклад конфігурації, щоб дати деякий контекст?

— jwbensley

@javano Я додав синтаксис до головної публікації.

— Грязь

@Bulki Брандмауери не задіяні. Я намагаюся домогтися цього, щоб тунель примикання ISIS L1 до сервера Route Explorer / Packet Design, але для всіх намірів і цілей ви можете собі уявити, що я намагаюся зробити тунель до маршрутизатора Cisco (як я можу отримати тунель GRE працювати від Cisco до Packet Design без спеціального синтаксису на стороні Cisco). Схема мережі настільки ж проста, як і звучить: LAN1 - GRE Tunnel - LAN2. Стандартне ядро MPLS, ніяких ТЕ не відбувається, оскільки SDP встановлюється як GRE.

— Грязь

Відповіді:

Підтримка AFAIK GRE обмежена послугами VPN або як псевдопровід доступу. Принаймні, згідно з ALU, немає можливості використовувати GRE як логічний тунель на стороні "мережі". Для цього знадобиться сервісне лезо. Однак я цього не перевіряв, але це здається офіційною історією.

— aakso
джерело

У грі я, безумовно, зміг змусити тунелі GRE працювати на мережевій стороні від АЛУ до АЛУ, і створити суміжні місця ISIS через тунель. Коли це ALU ні до чого іншого, це не працює. Я впевнений, що проблема полягає в тому, що мітка SVC-ID потрапляє на не-ALU-пристрій (а не-ALU-пристрій не надсилає жодного назад до ALU), але я не можу придумати спосіб її виправити. Просто здається, що глузує, що існує непростий спосіб підключити стандартний тунель GRE RFC в ALU до іншого постачальника.

— Грязьова

Ваша конфігурація передбачає сигналізацію tldp, оскільки вона включена за замовчуванням. Його можна вимкнути за допомогою "сигналізації вимкнено". Я перевірив цю конфігурацію - проте все ще здається, що використання "speak-sdp" у контексті IES / VPRN викликає службову мітку, що використовується в площині даних. Мені потрібно перевірити це за допомогою захоплення пакетів. Для «справжнього» інтерфейсу тунеля afaik потрібна лезо MS-ISA. Тоді ви можете змастити логічні тунельні соки, які мають призначення GRE.

— aakso

Я пробував це раніше. Дозвольте показати вам, що ви зробили.

Спочатку я створив СДП як GRE.

far-end 10.1.0.6
signaling off
keep-alive
 shutdown
exit
no shutdown

Потім створіть свою службу IES. Тепер, коли створюється спік-спід і як сигналізація вимкнена (оскільки ви використовуєте GRE), вам потрібно вручну встановити вхід і вихід vc-міток.

ies 100 customer 1 create
 interface "to_SARA_2" create
  address 192.168.0.1/30
  spoke-sdp 12:100 create
   ingress
    vc-label 2048
   exit
   egress
    vc-label 2048
   exit
  exit
 exit
 no shutdown
exit

Це останнє, що робить трюк, і ви можете потім пересилати трафік за допомогою GRE замість MPLS ...

— Лукас
джерело

Часто доводиться встановлювати MTU на 1440 або менше з пам'яті, щоб дозволити заголовку GRE перейти на інший сайт> дуже корисно і легко зрозуміти (не на 100 сторінках)

Обчислення GRE IPSec тунельного режиму на верхній пункт до точки GRE IPSEC

Я б сказав, зверніться до цієї статті, щоб отримати додаткову інформацію: я інший день налаштував 2 цискоси - просто видаліть IPSec з вашого конфігурації, але, як я вже сказав,> опустіть MTU з обох сторін, щоб відповідати (і вам справді слід впровадити IPSEC)

— alex_da_gr8
джерело

Кінцевий інтерфейс MTU стандартизований на рівні 9212 (це число включає накладні витрати L2). Використання команди "path-mtu" було скоріше "градом", коли я намагався зробити цю роботу. Для ударів я змінив оператор path-mtu на 1400, 1300, 1200 і 1100, і він залишався функціонально зниженим. Ваше посилання не вирішує різницю між доставкою між ALU та Cisco, а встановлення тунелю GRE між двома Cisco не є проблемою. Також IPSEC не потрібен, оскільки цей тунель не залишає нашу власну АС.

— Грязь