Benutzer-Werkzeuge

Webseiten-Werkzeuge


gtts

Konfiguration von L2GRE über WAN

Ziel: L2GRE über WAN-Verbindungen hinweg nach folgender Skizze:


Um über eine WAN-Verbindung hinweg einen Stellar-L2GRE-Tunnel zu machen, sind folgende Schritte notwendig:

Der Stellar-AP muss über seine Management-Instanz den Tunnel-Endpunkt auf eine öffentlich erreichbare IP-Adresse setzen. Die wird über das Tunnel-Profil erledigt.


Ausgerollt auf dem Access Points ergibt dies folgende Device-Config:

Seit OmniVista Cirrus 2.0 und OmniVista 4.3R02 können die Tunnel-Endpunkte manuell eingegeben werden und müssen nicht mehr aus dem Dropdown-Menü ausgewählt werden. Dies ermöglicht auch L2GRE-Endpunkte auszuwählen, die nicht in der gleichen OmniVista-Instanz gemanagt werden.


Die Konfiguration auf dem Switch sieht folgendermaßen aus:

OS6860E-P48-Test-> show configuration snapshot svcmgr
! SVCMGR:
service l2profile "Guest-L2-Prof" stp drop gvrp drop mvrp drop
service access port 1/1/49 vlan-xlation enable
service 4711 l2gre vpnid 4711 vlan-xlation enable remove-ingress-tag enable
service 4711 sap port 1/1/49:231

OS6860E-P48-Test-> show ip interface
Total 6 interfaces
 Flags (D=Directly-bound)

            Name                 IP Address      Subnet Mask     Status Forward  Device   Flags
--------------------------------+---------------+---------------+------+-------+---------+------
EMP-CHAS1                        192.168.20.230  255.255.255.0       UP      NO EMP
EMP-CMMA-CHAS1                   0.0.0.0         0.0.0.0           DOWN      NO EMP
Loopback                         127.0.0.1       255.255.255.255     UP      NO Loopback
Loopback0                        192.168.70.100  255.255.255.255     UP     YES Loopback0
cloudManaged                     x.x.x.x         255.255.224.0       UP     YES VPN tunnel
vlan-70                          192.168.70.101  255.255.255.0       UP     YES vlan 70

Die Pakete, die an die VPN-ID 4711 geschickt werden, werden auf dem Service Access Port 1/1/49 mit dem Tag 231 in das Netz weitergeleitet. Der Rückweg zum Access Point wird dynamisch gelernt und funktioniert ebenfalls.

Die IP-Adresse im 70er-Subnetz ist teil der DMZ. Eine virtuelle IP mit einem Forwarding für GRE-Tunnel ist auf der Firewall aktiviert.

Ein Beispiel für eine Fortigate-Konfiguration:

OmniSwitches die als GTTS arbeiten können

Ich habe hier kürzlich selbst einen Fehler gemacht. Der OS6900-X40 unterstützt die Terminierung von L2GRE Tunneln kommend von Stellar APs nicht! -benny

Wenn möglich sollte die Terminierung von L2GRE Tunneln mit dem OS6860/E erfolgen. Diesen haben wir bereits mehrfach erfolgreich für diese Aufgabe eingesetzt. Beim OS6900er funktioniert dies ausschließlich mit dem OS6900-X72 und OS6900-Q32. Die anderen Modelle unterstützen diese Funktion nicht. Der OS6900-V72 und OS6900-C32 werden in einem zukünftigen AOS Release diese Funktion unterstützen.

Persönlich getestet und für gut befunden

  • OS6860/E
gtts.txt · Zuletzt geändert: 2019/02/17 12:40 von benny