Como configurar um túnel GRE

Para configurar um túnel GRE (Generic Routing Encapsulation), você precisa acessar a interface de linha de comando (CLI) do seu roteador, criar uma interface virtual de túnel digitando o comando interface tunnel 0, atribuir um endereço IP privado a essa interface, e então definir os endereços IP públicos de origem (tunnel source) e destino (tunnel destination). Por fim, basta configurar uma rota estática ou protocolo de roteamento para direcionar o tráfego da rede local através dessa nova interface virtual.

Principais Aprendizados

• O GRE cria um link virtual ponto a ponto sobre uma infraestrutura IP existente, como a internet.
• A configuração exige a criação de uma interface lógica e a definição clara dos IPs físicos de origem e destino.
• É fundamental ajustar os valores de MTU e TCP MSS para evitar a fragmentação e queda de pacotes na rede.

O que é um Túnel GRE e como funciona?

O Generic Routing Encapsulation (GRE) é um protocolo de encapsulamento desenvolvido pela Cisco em 1994 e padronizado pela RFC 2784 da IETF. Ele permite que pacotes de diversos protocolos de camada de rede sejam encapsulados dentro de pacotes IP padrão, operando sob o protocolo número 47.

Na prática, o GRE atua como um "tubo" virtual. Se você tem duas filiais de uma empresa e precisa que elas se comuniquem como se estivessem no mesmo switch, o GRE pega os pacotes da rede local, coloca um novo cabeçalho IP por cima deles e os envia pela internet. É um conceito fundamental para quem está mergulhando no protocolo TCP/IP e na comunicação entre redes distantes.

Pré-requisitos para a Configuração

Antes de inserir os comandos no roteador, certifique-se de que você possui os seguintes itens mapeados:

• Endereços IP Públicos: Os roteadores de ambas as pontas devem conseguir se alcançar pela internet (ping bem-sucedido entre os IPs públicos).
• Endereçamento IP Privado: Uma sub-rede dedicada apenas para o túnel (ex: 10.0.0.0/30).
• Segurança: Lembre-se que o GRE puro não criptografa dados. Para segurança, ele costuma ser combinado com IPsec para formar uma VPN segura.

Passo a Passo: Como Configurar um Túnel GRE

O exemplo abaixo utiliza a sintaxe do Cisco IOS, que é o padrão de mercado e essencial para o seu estudo para o CCNA. Segundo a documentação oficial da Cisco, a configuração deve ser espelhada em ambos os roteadores.

1. Configurando o Roteador A (Matriz)

Acesse o modo de configuração global e crie a interface de túnel:

RouterA# configure terminal
RouterA(config)# interface tunnel 0
RouterA(config-if)# ip address 10.0.0.1 255.255.255.252
RouterA(config-if)# tunnel source 203.0.113.1
RouterA(config-if)# tunnel destination 198.51.100.2
RouterA(config-if)# exit

Neste exemplo, 203.0.113.1 é o IP público do Roteador A, e 198.51.100.2 é o IP público do Roteador B.

2. Configurando o Roteador B (Filial)

No roteador remoto, você fará o inverso:

RouterB# configure terminal
RouterB(config)# interface tunnel 0
RouterB(config-if)# ip address 10.0.0.2 255.255.255.252
RouterB(config-if)# tunnel source 198.51.100.2
RouterB(config-if)# tunnel destination 203.0.113.1
RouterB(config-if)# exit

3. Configurando o Roteamento

Agora que o túnel está de pé, você precisa dizer aos roteadores para enviarem o tráfego das redes locais por ele. Faremos isso com uma rota estática.

No Roteador A (assumindo que a LAN do B é 192.168.2.0/24):

RouterA(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.2

Ajustes Importantes: MTU e TCP MSS

O protocolo GRE adiciona 24 bytes de cabeçalho (20 bytes do IP + 4 bytes do GRE) a cada pacote. Se o seu link de internet tem um MTU padrão de 1500 bytes, pacotes grandes serão fragmentados, causando lentidão ou falhas em aplicações.

Para evitar isso, ajuste o MTU e o MSS diretamente na interface do túnel em ambos os roteadores:

Router(config-if)# ip mtu 1400
Router(config-if)# ip tcp adjust-mss 1360

Validação e Troubleshooting

Para verificar se o seu túnel está funcionando corretamente, utilize os seguintes comandos no modo EXEC privilegiado:

• show ip interface brief: Verifica se a Tunnel 0 está com status "up/up".
• show interface tunnel 0: Exibe detalhes da interface, incluindo origem, destino e protocolo de encapsulamento.
• ping 10.0.0.2: Testa a conectividade IP através do túnel.

Perguntas Frequentes

O túnel GRE possui criptografia nativa?

Não. O protocolo GRE padrão envia os dados em texto claro. Para garantir a segurança e confidencialidade dos dados transmitidos pela internet, é necessário configurar o IPsec em conjunto com o GRE (arquitetura conhecida como IPsec over GRE).

Qual a diferença entre GRE e IPsec?

O GRE é um protocolo de encapsulamento que suporta múltiplos protocolos de rede e permite o tráfego de pacotes de broadcast e multicast (essencial para protocolos de roteamento dinâmico como OSPF). O IPsec é um framework de segurança que criptografa os dados, mas não suporta multicast nativamente. Por isso, eles são frequentemente usados juntos.

Por que meu túnel GRE está com status up/down?

Geralmente, um status "up/down" em uma interface de túnel GRE indica que o roteador não consegue alcançar o IP de destino (tunnel destination). Verifique se há conectividade de internet entre os IPs públicos, se não há firewalls bloqueando o protocolo 47 (GRE) e se a rota padrão está configurada corretamente.