路由器是否必須明確支持 GRE 才能通過這些連接?
我已經用單個 Dell PowerConnect 6224 替換了一堆 Cisco 路由器。這些路由器為客戶端提供(和提供)公共 IP,並且只是充當上游提供商的路由器。
在更換之前,客戶擁有使用 GRE 和 IPsec 連接回其總部的 VPN 設備。
在更改之前,網路看起來像:
Customer -> cisco -> cisco -> internet
現在看起來像
Customer -> 6224 -> internet
(客戶使用的IP空間也發生了變化。)
選擇 6224 用於路由任務是因為新連接的數據速率為 150Mb/s,並且網路運營商不想將自己限制在 ciscos 將提供的 100Mb/s。升級 ciscos 的能力(或者更確切地說,用具有所需數據速率的 ciscos 替換它們)被認為過於昂貴;而是選擇了 6224。
客戶使用 6224 作為他們上網的下一跳。它充當路由器——沒有 ACL 或防火牆規則或類似的東西。
客戶重新配置他們的 VPN 設備後,他們無法再通過 Internet 連接到它。
其他客戶,使用我認為是標準 IPsec VPN 的東西,在同一鏈路上執行,沒有發生任何事故。
我們已經通過用 XP 筆記型電腦替換 VPN 設備來確認 IP 參數。使用相同的參數,筆記型電腦可以使用網際網路,並且可以從網際網路訪問,正如預期的那樣。
我的問題:6224(或任何正在執行此工作的路由器)是否必須了解 GRE 才能通過它進行連接?Ciscos中是否有一些預設魔法為我處理這個問題?
如果做不到這一點,我還應該看看其他明顯的東西來弄清楚他們的 VPN 設備為什麼不起作用?
如果**“路由器”**不嘗試進行任何類型的 NAT 或有狀態的數據包過濾,那麼它不需要知道 IP 層之上的任何內容。這意味著路由器不應該知道或關心 GRE,並且應該很好地傳遞 IP 流量。
為了幫助您診斷此問題,您可能需要在連接的一側啟動wireshark,然後在其他位置執行packETH(windows )。生成 GRE 流量並以執行 wireshark 的盒子為目標。
我們已經通過用 XP 筆記型電腦替換 VPN 設備來確認 IP 參數。使用相同的參數,筆記型電腦可以使用網際網路,並且可以從網際網路訪問,正如預期的那樣。
所以您是說 XP 筆記型電腦被配置為 VPN 端點,其參數與 VPN 設備相同,並且筆記型電腦工作正常並且能夠與筆記型電腦建立來自外部的 VPN 連接?如果是這樣,那麼我會說這應該告訴您 6224 不是問題。您是否檢查了 VPN 設備上的所有設置以確保它們正確無誤?如何從頭開始設置 VPN 設備並重試?
作為交換機,使用開箱即用的配置,6224 不知道也不應該關心通過它的流量。作為路由器,雖然我不確定。老實說,如果在客戶和上游提供商之間沒有合適的路由器,我很難想像網路會是什麼樣子。什麼設備提供入站/出站安全、NAT 等?