Две корпоративные площадки небходимо объединить туннелем через сеть общего пользования, с динамической маршрутизацией между ними. Обе площадки имеют статические публичные IP адреса в сетях поставщиков услуг. Для наглядности с одной стороны используется устройство NSG–700 с программным обеспечением NSG Linux 2.0, на другой — такое же, но с NSG Linux 1.0. Для упрощения настройки и по требованиям безопасности, для подключения к Интернет в оба устройства установлен дополнительный физический порт Ethernet — модуль UM–ET100; все три порта встроенного коммутатора используются для построения LAN офиса.
Конфигурация устройства с Linux 2.0: ip : route : : 1 : : : gateway = "20.0.0.1" : dynamic-routing : : enable = true : : kernel : : : 1 : : : : export = "all" : : ospf : : : 1 : : : : area : : : : : 0.0.0.1 : : : : : : interface : : : : : : : "\"gre1\"" : : : : : : networks : : : : : : : 172.16.0.0/30 : : : : : : stubnet : : : : : : : 192.168.1.0/24 : : : : export = "all" : : : : router-id = "20.0.0.2" port : eth0 : : ifAddress : : : prefix = "192.168.1.1/24" : s1 : : type = "eth" : : ifAddress : : : prefix = "20.0.0.2/30" tunnel : gre : : gre1 : : : ifAddress : : : : prefix = "172.16.0.1/30" : : : source = "20.0.0.2" : : : destination = "30.0.0.2" : : : keepalive = "yes" |
Конфигурация устройства с NSG Linux 1.0: hostname nsg ! nsg card s1 um-et100 tunnel ip 1 destination-ip 20.0.0.2 source-ip 30.0.0.2 keepalive 5 retry 3 ttl 64 ip address 172.16.0.2/32 peer 172.16.0.1 exit ethernet-switch mode vlan exit port eth0 ip address 10.0.23.45/8 exit port s1 ip address 30.0.0.2/30 exit ! interface tuni1 ip ospf network point-to-point ! router ospf ospf router-id 30.0.0.2 network 10.0.0.0/8 area 0.0.0.1 network 172.16.0.1/32 area 0.0.0.1 ! ip route 0.0.0.0/0 30.0.0.1 ! |
Дополнительные замечания:
Для работы механизма GRE keepalive автоматически создаются служебные правила в цепочках .ip.mangle.GRE_KA и ip.mangle.input. После включения/выключения keepalive необходимо отдельно применить изменения в этом узле или выше. Настройка данных правил пользователем не предусмотрена, поэтому в общей конфигурации они не выводятся.
Начиная с версии NSG Linux 2.0 build 4, для OSPF допустимо также указание адреса удалённой стороны соединения "точка-точка" в качестве сети с маской /32:
ip : : ospf : : : 1 : : : : area : : : : : 0.0.0.1 : : : : : : networks : : : : : : : 172.16.0.2/32 tunnel : gre : : gre1 : : : ifAddress : : : : prefix = "172.16.0.1/32" : : : : peer = "172.16.0.2"
Обязательно задание пароля для доступа к устройству.
В целях безопасности настоятельно рекомендуется также: