Como configurar un tunel GRE

Como configurar un Túnel GRE

En la configuración del túnel voy a tratar de ser lo más especifico posible para que todos puedan entender lo que estoy tratando de explicar. El siguiente diagrama muestra el proceso de encapsulación de un paquete GRE  cuando cruza el router y entra dentro de la tunnel interface:

¿Qué es un túnel GRE?

Es un protocolo de túnel desarrollado por Cisco Systems que puede encapsular una amplia variedad de protocolos de capa de red dentro de enlaces punto a punto. Es decir,  GRE crea una conexión punto a punto privadas como la de una red privada virtual (VPN).

¿Qué es GRE?

Genereric Routing Encapsulation (GRE) es un protocolo originalmente desarrollado por Cisco Systems que se ha convertido en un estándar de la industria definico en las RFC 1701, 1702 y 2784. Es un protocolo de túnel, es decir, que permite transportar paquetes de una red a través de otra red diferente. Por ejemplo, permite establecer un enlace de la red 10.0.0.0 a través de la red 172.16.0.0.

¿Cuándo utilizar GRE?

• Cuando, por ejemplo, es necesario trabajar con un protocolo que no es enrutamble como NetBIOS o con protocolos enrutables diferentes de IP a través de una red IP. Se puede constituir un túnel GRE para trabajar con IPX o AppleTalk sobre una red IP.
• Cuando debemos conectar dos puntos remotos de una misma red (antes mencioné el ejemplo de la red 10.0.0.0) y para ello necesitamos utilizar enlaces que pertenecen a una red diferente (en el ejemplo, la 172.16.0.0).

Configuración de un túnel GRE entre routers Cisco utilizando GNS3

Para este ejemplo utilizaremos iOS de Routers Cisco 3640 en un ambiente virtualizado. Configurar un túnel GRE incluye configurar un tunnel interface, que es una interfaz lógica. Después hay que configurar los extremos para el tunnel interface.

Para configurar el tunnel source y el tunnel destination, hay que configurar los comandos tunnel source {ip-address | interface-type} y tunnel destination {host-name | ip-address} dentro del modo de configuración de la interfaz del túnel.

El siguiente ejemplo explica cómo crear un túnel GRE simple entre dos puntos y los pasos necesarios para verificar la conexión entre dos redes. Las subredes del R1 y del R2 (192.168.1.0/24 y 192.168.2.0/24 respectivamente) se comunican entre ellas a utilizando un túnel GRE a través de Internet. Las dos interfaces del túnel son parte de la red 172.16.1.0/24.

El primer paso es crear la interfaz del túnel en ambos routers:

Router1

R1(config)# interface Tunnel1
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)# ip mtu 1400
R1(config-if)# ip tcp adjust-mss 1360
R1(config-if)# tunnel source 1.1.1.1
R1(config-if)# tunnel destination 2.2.2.2

R1#conf t
R1(config)#interface fastEthernet 0
R1(config-if)#ip address 1.1.1.1 255.255.255.252
R1(config-if)#
R1(config-if)#no shut
R1(config-if)# 

Router2

R2(config)# interface Tunnel1
R2(config-if)# ip address 172.16.1.2 255.255.255.0
R2(config-if)# ip mtu 1400
R2(config-if)# ip tcp adjust-mss 1360
R2(config-if)# tunnel source 2.2.2.2
R2(config-if)# tunnel destination 1.1.1.1

R2#conf t
R2(config)#interface fastEthernet 0
R2(config-if)#ip address 2.2.2.2 255.255.255.252
R2(config-if)#no shut 

Debido a que GRE es un protocolo de encapsulación, ajustamos el MTU  a 1400 bytes y el MSS a 1360 bytes. Debido a que la mayoría de los MTU de transporte son de 1500 y GRE agrega bytes debido a que encapsula, hemos agregado un margen reduciendo el MTU. Establecer el MTU en 1400 es una práctica común y asegura que la fragmentación de paquetes se mantenga al mínimo.

Después de configurar el túnel, podemos comprobar que ambos extremos pueden verse enviando un ping.

R1# ping 172.16.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Los hosts en de cualquiera de las dos redes privadas no podran alcanzarse unos a otros al menos que algun protocol de ruteo o rutas estaticas sean configurados en los routers:

R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.1.2

R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.1.1

Ahora ambas redes privadas (192.168.1.0/24 y 192.168.2.0/24) pueden comunicarse entre ellas a través del túnel GRE. Algo muy importante que deben recordar es que GRE no provee encriptación de la información. No constituye propiamente una VPN segura.