Alagutak - kik ők, és milyen területen, twistedminds
A cikkek egyre burjánzó kézírás :) Ezúttal úgy döntöttem, hogy osztja a GRE tunnel konfiguráció téma, valamint hogy megvédje őket az IPSec két minden alkalommal - elméleti és gyakorlati. Ha jön ide a keresőprogramok, és azonnal fog dobni a medencében a fejét, akkor közvetlenül beállítani GRE over IPSec IPSec profilok és crypto térkép.
Értelmezése a Cisco alagút - egy logikai interfészt, amelynek a szerepe az, hogy körülveszi a csomagokat egy protokollt (utas protokoll), a második (hordozó protokoll), és azt továbbítják a harmadik (Transport Protocol). A szerepe a protokoll, amely foglalkozik a tokozás működhet protokollok, mint a GRE, IPIP. GRE (Generic Routing Encapsulation) - a protokoll, amely ellentétben IPIP, lehetővé teszi a beágyazását egy másik protokoll, például az AppleTalk, IP, IPX és mások. Ha csak ethertype helyes volt.
Csomag fogott egy alagútban a GRE tokozás, a következők lesznek:
A külső IP fejléc, a GRE fejléc, a belső IP fejléc, a hasznos teher
GRE fejléc változhat 4-16 byte függően opciók szerepelnek.
- C. K és S a címben is van lehetőség, mondván várjuk a területen, hogy az ellenőrző (checksum), a kulcs (kulcs) és egy sorszámot (sorszám)
- ver - verziószámát GRE (0)
- Jegyzőkönyv - ethertype tokozás protokoll
- Ellenőrző összeg - Az ellenőrző összeg (opcionális)
- Kulcs - alagút biztonsági kulcs (nem kötelező)
- Sequence száma - a sorszámmal (opcionális)
Alapértelmezésben minden opció le van tiltva, és a fejléc 4 byte. A fennmaradó opciók lehet bekapcsolva konfigurálása során az alagút interfész:
Pack fogott IPIP alagútban fog kinézni pontosan ugyanaz, csak nem a GRE fejlécet. Nyilvánvaló okokból az utas protokoll IPIP alagút működhet csak IP.
Mi olyan jó az alagút?
- Rekurzív routing - routing protokoll indításakor azt hinni, hogy használja az alagút a távoli gépre jobban megéri, mint egy igazi utat. Mi ezt a problémát sem statikus útvonalat vagy forgalomirányítási folyamat, ami eltér a WAN porton.
- IP széttagoltsága
MTU és IP széttagoltsága
MTU (Maximum Transfer Unit) azt a maximális méretét byte információt lehet továbbítani. Az Ethernet 1500 bájt, ha nem veszi figyelembe a Jumbo Frame. Vagy MSS Maximális szegmens méret - a maximális méret a továbbított TCP szegmens, és általában 1460 bájt (1500 - TCP 20 header bájt - 20 bájt IP fejléc).
De aztán bekerülni a jogszabály alagutakban. Mint már mondtam, GRE hozzáadja a fejléc (4 bájt) és egy új IP fejléc (20 byte), illetve MTU az alagút felületen kell csökkenteni 1476 bájt esetén GRE és 1480 esetében IPIP. Ezt megteheti manuálisan vagy PMTUD - útvonal MTU felfedezés.
Csak ne felejtsük el a rezsiköltségek IPSec, ha úgy döntünk, hogy titkosítja az adatokat alá az alagútba. A legrosszabb esetben overhead IPSec, amellett, hogy a 24 byte GRE, a következő lesz:
A felső bájt