Настройка GRE-туннеля в аппаратных шлюзах серии ZyWALL USG

Возможно ли настроить GRE-туннель в аппаратных шлюзах серии ZyWALL USG? Если да, то как его настроить?


В микропрограммах версии 3.00 и старше появилась возможность настроить GRE-туннель в аппаратных шлюзах серии ZyWALL.
Обращаем ваше внимание, что GRE-туннель это незашифрованный туннель, который в режиме "точка-точка" может быть использован для объединения локальных сетей.

Ниже приведен типовой сценарий использования и пример настроек GRE-туннеля на аппаратных шлюзах серии ZyWALL USG.

Предположим, существует главный офис, где в качестве шлюза безопасности используется ZyWALL USG 300, и удаленный офис, в котором роль шлюза выполняет ZyWALL USG 50. Оба устройства подключены к Интернету и имеют глобальный статический IP-адрес на WAN-интерфейсе.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9
В данном примере используются следующие настройки сети:

ZyWALL USG 300 ZyWALL USG 50
ge2: 10.0.0.2 (внешний интерфейс)
ge1: 192.168.1.1/24 (внутренний интерфейс локальной сети)
wan1: 10.0.1.2 (внешний интерфейс)
lan1: 192.168.10.1/24 (внутренний интерфейс локальной сети)


Задача
: Построить GRE-туннель через внешние интерфейсы аппаратных шлюзов ZyWALL USG 300 и ZyWALL USG 50, настроить маршрутизацию (Policy Route) и выполнить разбор работы GRE-туннеля по дампам сетевых пакетов, захваченных с внутренних и внешних интерфейсов.

Настройка GRE-туннеля 

Для настройки GRE-туннеля зайдите в меню Configuration > Network > Interface > Tunnel встроенного веб-конфигуратора устройства. Нажмите кнопку Add для создания туннеля.

В разделе Interface Properties в поле Tunnel Mode нужно выбрать тип туннеля GRE, а в поле Zone зону TUNNEL (все пакеты в или из GRE-туннеля будут настраиваться в Firewall по отношению к указанной зоне).

В разделе IP Address Assignment в поле IP Address укажите IP-адрес виртуального GRE-интерфейса на устройстве. Используйте IP-адрес или подсеть, непересекающиеся с IP-адресами локальных подсетей (в нашем примере на ZyWALL USG 300 указан IP-адрес 172.16.1.1/24, а на ZyWALL USG 50 - 172.168.1.2/24).

В разделе Gateway Settings в поле Interface укажите интерфейс аппаратного шлюза ZyWALL USG, с которого будет устанавливаться туннель. В поле Remote Gateway Address укажите IP-адрес удаленного шлюза (в нашем примере на ZyWALL USG 300 указан IP-адрес 10.0.0.2, а на ZyWALL USG 50 - 10.0.1.2).

В разделе Connectivity Сheck можно настроить параметры проверки туннеля icmp/tcp-пакетами. Дополнительная информация о настройке функции Connectivity Check в аппаратных шлюзах серии ZyWALL USG представлена в статье: «Настройка Connectivity Check в аппаратных шлюзах серии ZyWALL USG»

Настройка в ZyWALL USG 300:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Настройка в ZyWALL USG 50:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Настройка маршрутизации Policy Route

Чтобы трафик из локальной сети одного офиса направлялся через GRE-туннель до другого офиса, необходимо с обеих сторон настроить правила маршрутизации Policy Route.

Для настройки правил Policy Route зайдите в меню Configuration > Network > Routing > Policy Route встроенного веб-конфигуратора устройства. Нажмите кнопку Add для создания нового правила.

Дополнительную информацию о настройке политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG можно найти в статье: «Настройка политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG и NXC5200»

Ниже приведены настройки Policy Route для нашего примера:

Настройка в ZyWALL USG 300:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В разделе Criteria в поле Source Address (Адрес источника) укажите локальную подсеть за ZyWALL USG 300 (192.168.1.0/24), а в поле Destination Address (Адрес назначения) укажите локальную подсеть за удаленным ZyWALL USG 50 (192.168.10.0/24). Трафик, попадающий под эти критерии, передается на Next Hop.

В разделе Next-Hop в поле Type укажите значение Interface (интерфейс) и затем в поле Interface выберите созданный ранее GRE-туннель (в нашем примере это tunnel1).

Трансляция сетевых адресов должна быть выключена. Убедитесь, что в разделе Address Translation в поле Source Network Address Translation установлено значение none.

Настройка в ZyWALL USG 50: 

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В разделе Criteria в поле Source Address (Адрес источника) укажите локальную подсеть за ZyWALL USG 50 (192.168.10.0/24), а в поле Destination Address (Адрес назначения) укажите локальную подсеть за удаленным ZyWALL USG 300 (192.168.1.0/24). Трафик, попадающий под эти критерии, передается на Next Hop.

В разделе Next-Hop в поле Type укажите значение Interface (интерфейс) и затем в поле Interface выберите созданный ранее GRE-туннель (в нашем примере это tunnel1).

Трансляция сетевых адресов должна быть выключена. Убедитесь, что в разделе Address Translation в поле Source Network Address Translation установлено значение none.


Разбор работы
GRE-туннеля по дампу сетевых пакетов

Теперь для наглядности проследим за сетевыми пакетами, которые передаются по такому GRE-туннелю.

Информация о том, как выполнить захват сетевых пакетов на устройствах серии ZyWALL USG, представлена в статье: «Захват сетевых пакетов на устройствах серии ZyWALL USG»

1. Захват сетевых пакетов выполнен на интерфейсе ge1 ZyWALL USG 300. Хост 192.168.1.33 (принадлежит локальной сети за ZyWALL USG 300) отправляет Echo request (ping) на хост 192.168.10.33 (принадлежит локальной сети за ZyWALL USG 50) и получает ответ Echo reply.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

2. Захват сетевых пакетов выполнен на внешнем интерфейсе ge2 ZyWALL USG 300. Мы видим эти же пакеты, инкапсулированные GRE-заголовками.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. Захват сетевых пакетов выполнен на интерфейсе lan1 ZyWALL USG 50. Те же самые пакеты на стороне ZyWALL USG 50, но уже без инкапсуляции GRE.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Примечание

Аппаратные шлюзы ZyWALL USG не поддерживают работу GRE-туннеля через IPSec-туннель, если оба туннеля устанавливаются с одного и того же устройства ZyWALL USG.
GRE-туннель будет работать через IPSec-туннель, если он устанавливается с устройства, которое находится за ZyWALL USG (с ZyWALL USG устанавливается IPSec-туннель).

 

KB-2695

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев