Межсетевые экраны Juniper SRX в отличие от Cisco ASA поддерживают IPIP и GRE туннели. Конечно, благодаря унифицированной операционной системе Junos.
Дополнительная инкапсуляция сказывается на MTU, а значит на работе приложений, работающих по протоколу TCP. У туннелей в junos предусмотрен функционал удаления DF-бита, который не позволяет дефрагменировать пакеты, а так же функционал, который ограничивает максимальный размер сегмента в TCP пакете (maximum segment size (MSS)) по крайней мере в GRE.
Туннель GRE в Cisco IOS:
Примеры для Junos
Дополнительная инкапсуляция сказывается на MTU, а значит на работе приложений, работающих по протоколу TCP. У туннелей в junos предусмотрен функционал удаления DF-бита, который не позволяет дефрагменировать пакеты, а так же функционал, который ограничивает максимальный размер сегмента в TCP пакете (maximum segment size (MSS)) по крайней мере в GRE.
Туннель GRE в Cisco IOS:
interface Tunnel0Туннель GRE в Junos:
description *** to SRX ***
bandwidth 10000
ip address 10.1.1.1 255.255.255.252
ip mtu 1452
ip tcp adjust-mss 1000
tunnel source 100.200.300.400
tunnel destination 400.300.200.100
set interfaces gr-0/0/0 unit 0 tunnel source 400.300.200.100
set interfaces gr-0/0/0 unit 0 tunnel destination 100.200.300.400
set interfaces gr-0/0/0 unit 0 family inet mtu 1452
set interfaces gr-0/0/0 unit 0 family inet address 10.1.1.2/30
set security flow tcp-mss gre-out mss 1000
set security flow tcp-session no-syn-check-in-tunnel
Примеры для Junos