GRE接口应用ACL导致数据包异常
最近客户需要,需要做一个VPN。拓扑基本是每个分支公司访问总公司的这种分支机构。由于中间密码设备所以不适用于mpls。然而总公司的设备缺少ipsec板卡,所以暂时搁置ipsec。最后想到GRE。但是考虑到和其他业务隔离,GRE做通之后我希望能做到类似ipsec一样,只有指定的流才能通过GRE隧道,所以我想到两个办法
1、在tunnel上应用包过滤
2、pbr
方法1使用后发现,到达TUNNEL接口上的数据包是先进行GRE封装,再进行包过滤,我用的模拟器,不知真机是否不同。这样基本是没戏了
方法2目测是可以,还未测试。
问题来了,我再做方法1测试的时候,抓了几个包
http://forum.h3c.com/data/attachment/forum/201603/09/2216382irmf7sfiddmm7yo.png
http://forum.h3c.com/data/attachment/forum/201603/09/22063574iyohl06xnhlp7s.png
似乎IP包因为分片或是什么原因不完整了。这种问题只有在TUNNLE接口使能包过滤才会发生,正常情况下是能够通的。
http://forum.h3c.com/data/attachment/forum/201603/09/221337du4zz44n980w4k1z.png
大家帮忙看下,谢谢,顺便请教下我这种“指定流才能进gre”的需求还有什么办法能实现,PBR没问题吗?谢谢!undefined
页:
[1]