Red Hat Summit9.2. Configuration d'un tunnel GRE à l'aide de nmcli pour encapsuler le trafic de couche 3 dans des paquets IPv4
Un tunnel GRE (Generic Routing Encapsulation) encapsule le trafic de la couche 3 dans des paquets IPv4, comme décrit dans la RFC 2784. Un tunnel GRE peut encapsuler n'importe quel protocole de couche 3 avec un type Ethernet valide.
Les données envoyées par un tunnel GRE ne sont pas cryptées. Pour des raisons de sécurité, n'utilisez le tunnel que pour des données déjà cryptées, par exemple par d'autres protocoles, tels que HTTPS.
Par exemple, vous pouvez créer un tunnel GRE entre deux routeurs RHEL pour connecter deux sous-réseaux internes sur Internet, comme le montre le diagramme suivant :
Le nom de l'appareil gre0 est réservé. Utilisez gre1 ou un autre nom pour le dispositif.
Conditions préalables
- Chaque routeur RHEL dispose d'une interface réseau connectée à son sous-réseau local.
- Chaque routeur RHEL dispose d'une interface réseau connectée à Internet.
Procédure
Sur le routeur RHEL du réseau A :
Créer une interface de tunnel GRE nommée
gre1:nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 198.51.100.5 local 203.0.113.10
# nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 198.51.100.5 local 203.0.113.10Copy to Clipboard Copied! Les paramètres
remoteetlocaldéfinissent les adresses IP publiques des routeurs local et distant.Définissez l'adresse IPv4 de l'appareil
gre1:nmcli connection modify gre1 ipv4.addresses '10.0.1.1/30'
# nmcli connection modify gre1 ipv4.addresses '10.0.1.1/30'Copy to Clipboard Copied! Notez qu'un sous-réseau
/30avec deux adresses IP utilisables est suffisant pour le tunnel.Configurer la connexion
gre1pour utiliser une configuration IPv4 manuelle :nmcli connection modify gre1 ipv4.method manual
# nmcli connection modify gre1 ipv4.method manualCopy to Clipboard Copied! Ajoutez une route statique qui achemine le trafic vers le réseau
172.16.0.0/24vers l'IP du tunnel sur le routeur B :nmcli connection modify gre1 ipv4.routes "172.16.0.0/24 10.0.1.2"
# nmcli connection modify gre1 ipv4.routes "172.16.0.0/24 10.0.1.2"Copy to Clipboard Copied! Activer la connexion
gre1.nmcli connection up gre1
# nmcli connection up gre1Copy to Clipboard Copied! Activer le transfert de paquets :
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied!
Sur le routeur RHEL du réseau B :
Créer une interface de tunnel GRE nommée
gre1:nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 203.0.113.10 local 198.51.100.5
# nmcli connection add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 remote 203.0.113.10 local 198.51.100.5Copy to Clipboard Copied! Les paramètres
remoteetlocaldéfinissent les adresses IP publiques des routeurs local et distant.Définissez l'adresse IPv4 de l'appareil
gre1:nmcli connection modify gre1 ipv4.addresses '10.0.1.2/30'
# nmcli connection modify gre1 ipv4.addresses '10.0.1.2/30'Copy to Clipboard Copied! Configurer la connexion
gre1pour utiliser une configuration IPv4 manuelle :nmcli connection modify gre1 ipv4.method manual
# nmcli connection modify gre1 ipv4.method manualCopy to Clipboard Copied! Ajoutez une route statique qui achemine le trafic vers le réseau
192.0.2.0/24vers l'IP du tunnel sur le routeur A :nmcli connection modify gre1 ipv4.routes "192.0.2.0/24 10.0.1.1"
# nmcli connection modify gre1 ipv4.routes "192.0.2.0/24 10.0.1.1"Copy to Clipboard Copied! Activer la connexion
gre1.nmcli connection up gre1
# nmcli connection up gre1Copy to Clipboard Copied! Activer le transfert de paquets :
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.confCopy to Clipboard Copied!
Vérification
À partir de chaque routeur RHEL, envoyez un ping à l'adresse IP de l'interface interne de l'autre routeur :
Sur le routeur A, ping
172.16.0.1:ping 172.16.0.1
# ping 172.16.0.1Copy to Clipboard Copied! Sur le routeur B, ping
192.0.2.1:ping 192.0.2.1
# ping 192.0.2.1Copy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}