Tunnel GRE di interoperabilità ALU

12

Ho cercato di capire come impostare un tunnel GRE tra un ALU 7750SR e un fornitore di terze parti. Penso che si stia verificando il VC-ID nell'SDP, ma spero che qualcuno abbia esperienza nel realizzare un tunnel GRE in un ambiente multi-vendor con ALU.

Ecco la sintassi richiesta:

sdp 9999 create
far-end 1.1.1.1 
path-mtu 1500 
keep-alive 
exit

ies 9998 customer 1 create 
 interface "PACKET_DESIGN" create 
 address 10.128.105.6/30 
 spoke-sdp 9999:1 create 
 no shutdown 
 exit 
no shutdown
gre  alcatel-lucent-7750 
Fango
fonte
1
Potresti fornire qualche informazione in più? Che cosa hai provato, perché pensi che l'ID VC potrebbe essere la causa, quale fornitore di terze parti, ...
Gerben,
Cos'è la configurazione di rete? Questo passa un firewall o è configurato sul firewall? In caso di firewall, hai autorizzato il traffico di porte GRE e TCP? Fornisci uno schema di rete come questo: LAN1 => Firewall1 == GRE Tunnel == Firewall2 <= LAN2
Bulki
Puoi pubblicare un esempio di configurazione per dare un contesto?
jwbensley,
@javano Ho aggiunto la sintassi al post principale.
Fango
@Bulki Non ci sono firewall coinvolti. Sto cercando di ottenere questo per tunnelare un adiacenza ISIS L1 su un server Route Explorer / Packet Design ma a tutti gli effetti puoi immaginare che sto provando a fare un tunnel su un router Cisco (come posso ottenere un tunnel GRE lavorare da Cisco a Packet Design senza una sintassi speciale sul lato Cisco). Lo schema di rete è semplice come sembra: LAN1 - GRE Tunnel - LAN2. Nucleo MPLS standard, nessun TE sta avvenendo poiché l'SDP è impostato come GRE.
Fango

Risposte:

3

Il supporto AFAIK GRE è limitato ai servizi VPN o come accesso-pseudowire. Almeno secondo ALU non c'è modo di usare GRE come tunnel logico sul lato della "rete". Ciò richiederebbe un blade di servizio. Tuttavia, non l'ho provato ma sembra essere la storia ufficiale.

aakso
fonte
Durante il gioco sono stato sicuramente in grado di far funzionare i tunnel GRE sul lato rete da ALU a ALU, e avere forma di adiacenze ISIS attraverso il tunnel. È quando è ALU a qualsiasi altra cosa che non funziona. Sono sicuro che il problema è che l'etichetta SVC-ID arriva sul dispositivo non ALU (e il dispositivo non ALU non ne restituisce uno a ALU) ma non riesco a pensare a un modo per risolverlo. Sembra sbalorditivo che non ci sia un modo semplice per aprire un tunnel GRE standard RFC in ALU a un altro fornitore.
Fango
La configurazione implica la segnalazione tldp poiché è attivata per impostazione predefinita. Può essere spento con "segnalazione disattivata". Ho testato questa configurazione - tuttavia sembra ancora che l'uso di "speak-sdp" nel contesto IES / VPRN invochi l'etichetta del servizio da utilizzare nel piano dati. Tuttavia, devo verificarlo con le acquisizioni di pacchetti. La "vera" interfaccia tunnel afaik richiede un blade MS-ISA. Quindi puoi creare logici tunnel-sap che hanno una destinazione GRE.
aakso,
1

L'ho provato prima. Lascia che ti mostri cosa hai fatto.

Innanzitutto ho creato gli SDP come GRE.

far-end 10.1.0.6
signaling off
keep-alive
 shutdown
exit
no shutdown

Quindi crea il tuo servizio IES. Ora, durante la creazione di speak-spd e poiché la segnalazione è disattivata (poiché si utilizza GRE), è necessario stabilire manualmente le etichette vc di ingresso e uscita.

ies 100 customer 1 create
 interface "to_SARA_2" create
  address 192.168.0.1/30
  spoke-sdp 12:100 create
   ingress
    vc-label 2048
   exit
   egress
    vc-label 2048
   exit
  exit
 exit
 no shutdown
exit

Quest'ultima cosa fa il trucco e puoi quindi inoltrare il traffico usando GRE invece di MPLS ...

lucas
fonte
0
  1. Spesso devi impostare l'MTU a 1440 o meno dalla memoria per consentire all'intestazione GRE di passare all'altro sito> molto utile e facile da capire (neanche un white paper di 100 pagine)

Calcolo della modalità tunnel IPSec GRE Punto al punto ambientale verso punto IPSEC GRE

Direi di fare riferimento a questo articolo per ottenere maggiori informazioni: ne ho creato uno l'altro giorno con 2 cisco: basta rimuovere le cose IPSec dalla tua configurazione, ma come ho detto> abbassa l'MTU su entrambi i lati per abbinare (e dovresti davvero implementare IPSEC)

alex_da_gr8
fonte
1
L'interfaccia MTU end-to-end è standardizzata a 9212 (quel numero include l'overhead L2). L'uso del comando "path-mtu" è stato più che altro un "grandine mary" mentre cercavo di farlo funzionare. Per i calci ho modificato l'istruzione path-mtu a 1400, 1300, 1200 e 1100 ed è rimasta operativamente in ribasso. Il tuo link non affronta la differenza nella consegna tra ALU e Cisco, e la creazione di un tunnel GRE tra due Cisco non è il problema. Inoltre IPSEC non è necessario in quanto questo tunnel non lascia il nostro AS.
Fango
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.