路由器是否必须明确支持 GRE 才能传递这些连接?

路由器是否必须明确支持 GRE 才能传递这些连接?

我用一台戴尔 PowerConnect 6224 替换了一堆思科路由器。这些路由器为客户端提供(并曾提供过)公共 IP,并且仅充当上游提供商的路由器。

在更换之前,客户有一个使用 GRE 和 IPsec 连接回其总部的 VPN 设备。

在进行更改之前,网络如下所示:

Customer -> cisco -> cisco -> internet

现在看起来

Customer -> 6224 -> internet

(客户使用的IP空间也发生了变化。)

6224 被选为路由任务,因为新连接的数据速率为 150Mb/s,而网络运营商不想将自己限制在思科提供的 100Mb/s 上。升级思科的性能(或者更确切地说,用具有所需数据速率的思科替换它们)被认为过于昂贵;因此选择了 6224。

客户使用 6224 作为其互联网的下一跳。它充当路由器 - 没有 ACL 或防火墙规则或类似的东西。

客户重新配置其 VPN 设备后,他们将无法再通过互联网连接到该设备。

其他客户使用我推测的标准 IPsec VPN,在同一个链路上运行,没有任何事故。

我们已通过将 VPN 设备替换为 XP 笔记本电脑来确认 IP 参数。使用相同的参数,笔记本电脑可以使用互联网,并且可以从互联网访问,正如预期的那样。

我的问题是:6224(或执行此任务的任何路由器)是否必须理解 GRE,才能使通过它的连接正常工作?思科是否有一些默认魔法来帮我处理这个问题?

除此之外,我还应该研究其他明显的因素,以查明为什么他们的 VPN 设备不工作?

答案1

如果'路由器'不尝试执行任何类型的 NAT 或状态数据包过滤,则它不需要知道 IP 层以上的任何内容。这意味着路由器不应该知道或关心 GRE,并且应该可以顺利传递 IP 流量。

为了帮助您诊断这个问题,您可能需要在连接的一侧启动 wireshark,然后运行打包ETH视窗) 在其他位置。生成 GRE 流量并瞄准运行 wireshark 的盒子。

答案2

我们已通过将 VPN 设备替换为 XP 笔记本电脑来确认 IP 参数。使用相同的参数,笔记本电脑可以使用互联网,并且可以从互联网访问,正如预期的那样。

所以您是说 XP 笔记本电脑配置为 VPN 端点,其参数与 VPN 设备相同,并且笔记本电脑可以正常工作,并且可以从外部建立到笔记本电脑的 VPN 连接?如果是这样,那么我认为这应该告诉您 6224 不是问题所在。您是否检查过 VPN 设备上的所有设置以确保它们正确无误?从头开始设置 VPN 设备并重试如何?

作为交换机,使用开箱即用的配置,6224 不知道也不应该关心通过它的流量。但作为路由器,我不确定。老实说,我有点难以想象,如果客户和上游提供商之间没有合适的路由器,网络会是什么样子。什么设备提供入站\出站安全性、NAT 等?

答案3

如果端点设备需要 GRE,那么中间设备也需要支持 GRE。

相关内容