Chinaunix

标题: GRE路由器配置求助 [打印本页]

作者: sopato 时间: 2008-03-19 17:29
标题: GRE路由器配置求助
很少用CISCO GRE路由器，想实现一个功能，不知怎么配置，向各位求助：

客户端属于网段10.*.*.*，网关10.0.0.1，内部服务器属于网段192.*.*.*，我想实现的效果是只有10.0.0.1和192.*.*.*能访问10.*.*.*这些客户端，但是客户端之间不能相互访问，如何配置的？

谢谢各位。

[ 本帖最后由 sopato 于 2008-3-19 17:43 编辑 ]

作者: cnadl 时间: 2008-03-19 17:42
gre路由器是什么路由器？

作者: sopato 时间: 2008-03-19 17:44

原帖由 cnadl 于 2008-3-19 17:42 发表
gre路由器是什么路由器？

cisco的，用access-list实现？

作者: ssffzz1 时间: 2008-03-19 18:02
你是说192网段和10网段的各个PC间无法互访，对吗？

作者: sopato 时间: 2008-03-19 18:13

原帖由 ssffzz1 于 2008-3-19 18:02 发表
你是说192网段和10网段的各个PC间无法互访，对吗？

不是的，是实现10网段之间的每个PC不能互访，例如10.1.1.1和10.1.1.2不能相互访问，除此以外其他网段都可以。

再次谢谢。

作者: ssffzz1 时间: 2008-03-19 18:25
哦，这个用路由器是做不到的。因为同网段的通讯不经过路由处理。

你需要在交换机上划分PVLAN来解决。

作者: sopato 时间: 2008-03-19 18:41

原帖由 ssffzz1 于 2008-3-19 18:25 发表
哦，这个用路由器是做不到的。因为同网段的通讯不经过路由处理。

你需要在交换机上划分PVLAN来解决。

我的应用情况确实都是到了GRE再做路由中转的，嘻嘻。

作者: meilinxiaoxue 时间: 2008-03-19 19:15
不明白什么意思,是说要用到gre tun还是啥？
客户那边那么多的机器,不可能都直接挂在路由器上吧？假如你挂在交换机上,不划分vlan的话本地直接就通信了...

作者: sopato 时间: 2008-03-19 19:39

原帖由 meilinxiaoxue 于 2008-3-19 19:15 发表
不明白什么意思,是说要用到gre tun还是啥？
客户那边那么多的机器,不可能都直接挂在路由器上吧？假如你挂在交换机上,不划分vlan的话本地直接就通信了...

客户端都是通过无线连接接入的……例如广州、上海、北京各有自己的无线接入，然后都通过GRE路由器连接到中心的GRE路由器，但中心GRE路由器不希望广州、上海、北京的客户端可以直接相互访问。

[ 本帖最后由 sopato 于 2008-3-19 19:48 编辑 ]

作者: seven007 时间: 2008-03-19 19:49
如果没猜错的话估计他的客户端是客户那边的路由器。
客户路由器通过tunnel连到网关。
这样的话确实应该在路由器上做access-list，具体怎么实施得仔细想一想

作者: meilinxiaoxue 时间: 2008-03-19 20:13
晕...原来如此....
这个貌似比较头疼,你的思路是不是想通过隧道把每个客户连接进去？
假如你用gre,那么客户机器本身还是要先分配一个ip,他们在同一个网段,直接就访问了.
是否可以考虑在路由器上做一个pppoe服务器,每个客户机的无线网卡不设ip地址,而通过pppoe拨到路由器分配地址,得到的是掩码为255.255.255.255的地址而不会直接和其他机器通信,这样你就可以在路由器上设置路由来控制访问.

只是一个想法,没实际验证过是否可行,另外,客户的电脑在他们手里...如果他们可以任意修改ip地址什么的而不在你的控制只下...那就白做工了...

作者: meilinxiaoxue 时间: 2008-03-19 20:14

原帖由 seven007 于 2008-3-19 19:49 发表
如果没猜错的话估计他的客户端是客户那边的路由器。
客户路由器通过tunnel连到网关。
这样的话确实应该在路由器上做access-list，具体怎么实施得仔细想一想

但是他想让同一个网段的机器不能互相访问,同个网段的机器都不需要路由器就直接开始访问了啊...而且还是无线...

作者: sopato 时间: 2008-03-19 20:38

原帖由 meilinxiaoxue 于 2008-3-19 20:13 发表
晕...原来如此....
这个貌似比较头疼,你的思路是不是想通过隧道把每个客户连接进去？
假如你用gre,那么客户机器本身还是要先分配一个ip,他们在同一个网段,直接就访问了.
是否可以考虑在路由器上做一个pppoe服 ...

如果是同一个无线路由接入的客户，他们之间的相互访问我暂时是不考虑了，我现在考虑的是不能让不同物理地点接进来的客户之间相互访问。

例如广州分配的地址是192.168.3.*，北京是192.168.1.*，我所要实现的效果不能让广州的帅哥A可以通过中心GRE与北京的美女B直接相互通讯。另外，广州的GRE_A、北京的GRE_B、上海的GRE_C都是直接用tunnel连接中心GRE的，各地GRE之间没有直接的tunnel连接。

作者: ssffzz1 时间: 2008-03-19 20:40
哦，这样啊。那么你的没一条GRE连接应该是一个单独的网段的，你怎么在同一个网段呢？

作者: sopato 时间: 2008-03-19 20:43

原帖由 ssffzz1 于 2008-3-19 20:40 发表
哦，这样啊。那么你的没一条GRE连接应该是一个单独的网段的，你怎么在同一个网段呢？

我不能假设的太多了，呵呵，大家按正常情况给我一个案例方案就可以了，真是谢谢大家。

作者: ssffzz1 时间: 2008-03-19 20:48
哦，真是误导我了。你说的是这样的拓扑结构。

各地的分支机构和中心机构间用GRE隧道进行连接，然后你想控制各个分支机构间的互访，对吗？

作者: sopato 时间: 2008-03-19 20:53

原帖由 ssffzz1 于 2008-3-19 20:48 发表
哦，真是误导我了。你说的是这样的拓扑结构。

各地的分支机构和中心机构间用GRE隧道进行连接，然后你想控制各个分支机构间的互访，对吗？

对头，谢谢。

作者: meilinxiaoxue 时间: 2008-03-19 20:54

原帖由 ssffzz1 于 2008-3-19 20:40 发表
哦，这样啊。那么你的没一条GRE连接应该是一个单独的网段的，你怎么在同一个网段呢？

恩...很奇怪...

就假设各地的gre是同一个网段的不同子集,一起搞到中心路由器去,隔离肯定是可以的,但是那个服务端要回访各个区域的不同子集不是麻烦得要命...一条条的写主机直接路由....管理起来惨大了....

不知道网络结构是怎么的...

作者: ssffzz1 时间: 2008-03-19 20:56

原帖由 meilinxiaoxue 于 2008-3-19 20:54 发表

恩...很奇怪...

就假设各地的gre是同一个网段的不同子集,一起搞到中心路由器去,隔离肯定是可以的,但是那个服务端要回访各个区域的不同子集不是麻烦得要命...一条条的写主机直接路由....管理起来惨大了.... ...

这样根本就配不上IP。LZ的假设太误导人了。

作者: ssffzz1 时间: 2008-03-19 20:57
标题: 回复 #17 sopato 的帖子
这个就太好办了。

利用扩展访问列表阻止个网段间的访问即可。

作者: meilinxiaoxue 时间: 2008-03-19 20:58

原帖由 ssffzz1 于 2008-3-19 20:56 发表

这样根本就配不上IP。LZ的假设太误导人了。

是啊

直接说要分离gre连接到中心的个分部访问就不会这么痛苦了...

作者: sopato 时间: 2008-03-19 21:02

原帖由 meilinxiaoxue 于 2008-3-19 20:54 发表

恩...很奇怪...

就假设各地的gre是同一个网段的不同子集,一起搞到中心路由器去,隔离肯定是可以的,但是那个服务端要回访各个区域的不同子集不是麻烦得要命...一条条的写主机直接路由....管理起来惨大了.... ...

为了更安全可控性更高，就算麻烦一点也是值得的。
这是一个公司内部应用，所有的公司服务器（邮件、WEB、工时系统等等）都是放在中心GRE一端，任何的客户端需要访问这些服务器或者访问internet肯定都要通过中心GRE，所以中心GRE上有所有各地网段的回程路由。

作者: ssffzz1 时间: 2008-03-19 21:03
对啊。LZ不用这么保密。牵扯到公网IP的地方，把最后几位改掉就行了。
这样的拓扑结构很多的。

但是我搞不清楚中间为什么用GRE隧道，为了安全吗？

作者: ssffzz1 时间: 2008-03-19 21:06
更安全可控性更高

GRE隧道根本不加密数据，这样何谈安全性啊。见过很多的网络设计，有的甚至在专线里再套隧道，结果搞的网络效率极低。

作者: sopato 时间: 2008-03-19 21:06

原帖由 ssffzz1 于 2008-3-19 21:03 发表
对啊。LZ不用这么保密。牵扯到公网IP的地方，把最后几位改掉就行了。
这样的拓扑结构很多的。

但是我搞不清楚中间为什么用GRE隧道，为了安全吗？

别说各地之间一定要用GRE隧道连接，我还要用RSA令牌才能通过身份认证呢，总之所以这一切都是有道理有原因的，也是一直传承下来的解决方案，是在真实应用的方案，绝对没有忽悠的成分。

作者: ssffzz1 时间: 2008-03-19 21:09
标题: 回复 #25 sopato 的帖子
GRE用RSA令牌，没听说过。

RSA是IPSEC的吧！

作者: meilinxiaoxue 时间: 2008-03-19 21:10
不清楚为什么要那么干...也许是把服务那边的服务器都放在私有地址上面,不通过公网提供服务,然后用gre把分部门的访问给连进去？
这样如果只用gre也不大安全吧...还要加密掉...

作者: sopato 时间: 2008-03-19 21:11

原帖由 ssffzz1 于 2008-3-19 21:09 发表
GRE用RSA令牌，没听说过。

RSA是IPSEC的吧！

不是GRE用RSA，而是我的NT域认证必须用RSA令牌才能通过，才能真正连接服务器服务。感觉越说越远了，呵呵。

作者: ssffzz1 时间: 2008-03-19 21:11
标题: 回复 #27 meilinxiaoxue 的帖子
应该就是这个原因的。这也是GRE的常见的用法。

作者: tangye 时间: 2008-03-19 21:12
建立一堆gre tunnel

作者: ssffzz1 时间: 2008-03-19 21:12
标题: 回复 #28 sopato 的帖子
哦，不继续讨论和你的问题无关的事情了。

配置扩展访问列表即可解决。

作者: sopato 时间: 2008-03-19 21:15

原帖由 meilinxiaoxue 于 2008-3-19 21:10 发表
不清楚为什么要那么干...也许是把服务那边的服务器都放在私有地址上面,不通过公网提供服务,然后用gre把分部门的访问给连进去？
这样如果只用gre也不大安全吧...还要加密掉...

确实就是如此的，例如MAIL服务，只有25端口是对internet开放的，其他110等等端口只对内网放开，诸如此类了很多很多。

作者: meilinxiaoxue 时间: 2008-03-19 21:17
哦,那你的gre还要配ipsec才安全,隔离的话斑竹已经说清楚了

作者: sopato 时间: 2008-03-19 21:18

原帖由 ssffzz1 于 2008-3-19 21:12 发表
哦，不继续讨论和你的问题无关的事情了。

配置扩展访问列表即可解决。

就是不懂三，给个案例就好了，感谢。

作者: ssffzz1 时间: 2008-03-19 21:21

原帖由 meilinxiaoxue 于 2008-3-19 21:17 发表
哦,那你的gre还要配ipsec才安全,隔离的话斑竹已经说清楚了

呵呵，IPSEC+gre还有2种配法哩。
1 可以用IPSEC来保护GRE隧道的流量，这种配法简化了两端的IPSEC的配置，降低了IPSEC SA的数目，并且可以通过IPSEC变相的保护非单播类流量。
2 在GRE虚接口配置IPSEC策略，这个吗和常规的IPSEC没什么不同。

其实不是为了保护非单播类流量的话，也许只要IPSEC隧道就够了。IPSEC+GRE效率很低的，光协议头部就要添加N个。

作者: ssffzz1 时间: 2008-03-19 21:23
标题: 回复 #34 sopato 的帖子
哦，你是要具体的命令啊。
这个无能为力，关于扩展访问列表的例子网上很多的。CCNA的教材里也有的，并且配置也非常简单的，就是定义协议、源IP、源端口、目的IP、目的端口这个五元组而已。

作者: sopato 时间: 2008-03-19 21:28

原帖由 ssffzz1 于 2008-3-19 21:23 发表
哦，你是要具体的命令啊。
这个无能为力，关于扩展访问列表的例子网上很多的。CCNA的教材里也有的，并且配置也非常简单的，就是定义协议、源IP、源端口、目的IP、目的端口这个五元组而已。

OK，确认了用什么方法可以搞定就行了。似乎话题外的考虑更加有趣，呵呵，能展开讨论一下也不错啊。

作者: ssffzz1 时间: 2008-03-19 21:30
哦，你就要个方法了。这个在没问之前你就知道了。

用扩展访问控制列表即可。

作者: sopato 时间: 2008-03-19 21:37

原帖由 ssffzz1 于 2008-3-19 21:30 发表
哦，你就要个方法了。这个在没问之前你就知道了。

用扩展访问控制列表即可。

对于公司各地之间的连接，或者是出差人员连接公司服务器等等应用情况，对于基于SSH的廉价解决方案，不知大家是否有心得呢？

作者: wonderliang 时间: 2008-03-28 19:06
新鲜

作者: zhu616 时间: 2008-03-29 04:31
提示: 作者被禁止或删除内容自动屏蔽

作者: mypath 时间: 2008-06-19 21:45
真不知道楼主在搞什么,怎么做上网络的,用的话语一点也不专业,问的问题也让人摸不着头脑
什么GRE路由器!!

作者: rabbitdjh 时间: 2008-09-25 12:50
标题: GRE路由器当然有这个说法
GRE是通用路由封装的缩写，是主流路由器支持的建立tunnel的一种协议，不过这种应用多数都发生在一些电信运营商的大网内部。比如GRPS网。
LZ是广东移动的？：P

作者: huang8338 时间: 2010-06-23 16:16
用ACL实现其功能

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)