Escuela Militar de Ingeniería

Mcal. Antonio José de Sucre

Tecnologías de Comunicación y Redes III

CONFIGURACIÓN DE TÚNELES GRE

GRE (Generic Router Encapsulation), es un protocolo, que puede encapsular una amplia
variedad de tipos de protocolos diferentes dentro de túneles IP, creando una red punto a
punto entre dos máquinas que estén comunicándose por este protocolo. Su uso principal es
crear túneles VPN, GRE, está definido por los RFC 1701, 1702 y 2784.

Es importante conocer la necesidad a la hora de realizar la configuración de túneles GRE,

pues, podrían ser difíciles de manejar si la cantidad de los mismos crece demasiado.
Estos túneles resultan ser útiles cuando se necesita trabajar con un protocolo que no es
enrutables como NetBIOS o con protocolos enrutables diferentes de IP a través de una red
IP, actualmente el uso de GRE, se ha vuelto uno de los principales mecanismos de transición
para la implementación de redes IPv6. Es decir, es posible conectar dos islas IPv6 a
través de túnel Ipv4.

Configurar el túnel GRE es en principio una tarea relativamente sencilla, basta con
definir las direcciones de inicio y destino en ambos equipos y crear la interface del
túnel. Para realizar el ejemplo utilizare enrutadores cisco serie 2800, aunque es posible
realizar un túnel con una variedad de equipos.

Los túneles GRE (Generic Router Encapsulation) permiten encapsular cualquier tipo de
tráfico. En un principio se utilizaban para encapsular tráfico no IP dentro de las redes
IP, pero también permiten la encapsulación de tráfico IP. Funcionan encapsulando la
cabecera IP original dentro de la cabecera GRE.

Las características generales de los túneles GRE son las siguientes:

• Es similar a un túnel IPsec en el sentido de que ambos encapsulan la cabecera

original IP.
• No ofrece mecanismos de control de flujo
• GRE añade un mínimo de 24 bytes a la cabecera, en los que incluimos la nueva
cabecera IP.
• Permite tunelizar cualquier protocolo de capa 3.
• Permite que los protocolos de enrutamiento viajen a través del túnel.
• La seguridad es limitada.

Es similar a un túnel IPsec manteniendo la idea de túnel y que ambos cuentan con dos
puntos finales y los routers que hay en medio usan la nueva cabecera para enrutar el
tráfico.

A diferencia de los túneles IPsec los túneles GRE no coordinan parámetros antes de enviar
tráfico. Mientras el otro extremo del túnel sea alcanzable permite enviar tráfico, sin
proporcionar confiabilidad o mirar los números de secuencia GRE deja estas tareas para
los protocolos de capas superiores.

GRE ofrece seguridad limitada mucho más débil que la de IPSEC cuenta con un proceso de
encriptación, pero la clave viaja con los paquetes dejándola expuesta a que sea robada

1
MSc. Ing. Luis Alberto Ruiz Lara
 Escuela Militar de Ingeniería
Mcal. Antonio José de Sucre
Tecnologías de Comunicación y Redes III

De los 24 nuevos bytes 20 de ellos pertenecen a la nueva cabecera IP especificando origen

y destino y 4 son para la propia cabecera GRE. El número total podría incrementarse otros
12 bytes dependiendo de las opciones de GRE. Los paquetes resultantes serin de un tamaño
superior al estándar. La degradación en la red que puede incrementarse al estar enviando
paquetes mayores de la MTU configurada en las intrefaces.

GRE es una herramienta sencilla y potente, permite de una manera sencilla establecer una
conexión punto a punto sobre la cual encapsulamos cualquier protocolo de capa 3.

A diferencia de IPsec los túneles GRE permiten que el tráfico de los protocolos de
enrutamiento viaje a través de ellos. Con IPsec se limita el uso de las rutas estáticas,
haciendo que la escalabilidad sea un problema.

GRE no cuenta con un mecanismo de seguridad avanzado, la cabecera posee un mecanismo de

claves de seguridad bastante débil.

La combinación de GRE junto con IPsec se denomina GRE over IPsec y permite que estos dos
mecanismos de tunelizacion se complementen entre sí.

Ejemplo de configuración

20.0.0.0 /30 30.0.0.0 /30

.2
.2 S 0/0
S0/1
10.0.0.0 /30 40.0.0.0 /30

.1 .1
S 0/0
S0/1

R1 R2

TUNNEL GRE 170.170.170.0 /30

192.168.10.10 /24 172.16.80.10 /16

2
MSc. Ing. Luis Alberto Ruiz Lara
 Escuela Militar de Ingeniería
Mcal. Antonio José de Sucre
Tecnologías de Comunicación y Redes III

R1#configure terminal
R1(config)#interface Tunnel 10
R1(config-if)#ip address 170.170.170.1 255.255.255.252
R1(config-if)#tunnel source serial 0/0
R1(config-if)#tunnel destination 40.0.0.1
R1(config-if)#end
R1#

En el Router 2, debe de crearse otra interfaz de tunnel, al igual que el Router

1, y asociar las direcciones de origen y destino.

R2#configure terminal
R2(config)#interface Tunnel 20
R2(config-if)#ip address 170.170.170.2 255.255.255.252
R2(config-if)#tunnel source serial 0/1
R2(config-if)#tunnel destination 10.0.0.1
R2(config-if)#end
R2#

El siguiente paso ahora, será permitir el enrutamiento desde la red 192.168.10.0

/24 a la red 172.16.0.0/16. En la práctica esto resulta simple y no afecta el
desempeño de la red, por lo cual la creación de túneles, permite resolver muchos
problemas de conectividad entre sitios remotos sin mucha complejidad. Lo único
que deberá de tenerse en cuenta a la hora de crear los túneles es no cometer
errores con las direcciones de inicio y de destino del mismo.

Comandos necesarios para configurar el enrutamiento estático:

R1(config)#ip route 172.16.0.0 255.255.0.0 170.170.170.2

R1(config-if)#end
R2(config)#ip route 192.168.10.0 255.255.255.0 170.170.170.1
R2(config-if)#end

En dispositivos físicos se configura de la siguiente manera:

R1(config)#ip route 172.16.0.0 255.255.0.0 tunnel 170.170.170.2

R1(config-if)#end
R2(config)#ip route 192.168.10.0 255.255.255.0 tunnel 170.170.170.1
R2(config-if)#end

3
MSc. Ing. Luis Alberto Ruiz Lara