VPN技术之一GRE技术的讲解.docx

VPN技术之一GRE技术的讲解 通用路由封装协议GRE（Generic Routing Encapsulation）提供了将一种协议的报文封装在另一种协议报文中的机制，是一种隧道封装技术。GRE可以封装组播数据，并可以和IPSec结合使用，从而保证语音、视频等组播业务的安全 ? IPSec 用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量 ? GRE属于网络层协议 IP协议号为47 GRE的优点总结： ? GRE实现机制简单，对隧道两端的设备负担小 ? GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本 ? GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑 ? GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全 ? GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通 ? GRE隧道将不连续的子网连接起来，实现企业总部和分支间安全的连接 GRE的应用场景 ? GRE用来对某些网络层协议如IPX（Internet Packet Exchange）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输。GRE可以解决异种网络的传输问题。 使用GRE可以克服IGP协议的一些局限性。例如，RIP路由协议是一种距离矢量路由协议，最大跳数为15。如果网络直径超过15，设备将无法通信。这种情况下，可以使用GRE技术在两个网络节点之间搭建隧道，隐藏它们之间的跳数，扩大网络的工作范围 GRE和IPSEC技术的结合 GRE本身并不支持加密，因而通过GRE隧道传输的流量是不加密的。将IPSec技术与GRE相结合，可以先建立GRE隧道对报文进行GRE封装，然后再建立IPSec隧道对报文进行加密，以保证报文传输的完整 性和私密性。 隧道接口 ? GRE隧道是通过隧道两端的Tunnel接口建立的，所以需要在隧道两端的设备上分别配置Tunnel接口。对于GRE的Tunnel接口，需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址 ? 隧道接口（tunnel接口）是为实现报文的封装而提供的一种点对点类型的虚拟接口 与loopback接口类似 都是一种逻辑接口 ?GRE隧道接口包含源地址、目的地址和隧道接口IP地址和封装类型 ?Tunnel的源地址：配置报文传输协议中的源地址。 ?当配置地址类型时，直接作为源地址使用 ?当配置类型为源接口时，取该接口的IP地址作为源地址使用 ?Tunnel的目的地址：配置报文传输协议中的目的地址 ?Tunnel接口IP地址：为了在Tunnel接口上启用动态路由协议，或使用静态路由协议发布Tunnel接口，需要为Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公网地址，甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址后，该地址不能直接通过tunnel口互通，因此在借用IP地址情况下，必须配置静态路由或路由协议先实现借用地址的互通性，才能实现Tunnel的互通。 命令行配置如下： GRE的报文 ? 乘客协议（Passenger Protocol）：封装前的报文称为净荷，封装前的报文协议称为乘客协议 ? 封装协议（Encapsulation Protocol）：GRE Header是由封装协议完成并填充的，封装协议也称为运载协议（Carrier Protocol） ? 传输协议（Transport Protocol或者Delivery Protocol）：负责对封装后的报文进行转发的协议称为传输协议 GRE报文重要字段解释： 比如： 乘客协议为IP或IPX协议 封装协议为GRE协议 传输协议为IP协议 GRE的工作原理 ? 需求：运行IP协议的两个子网网络1和网络2 通过在SZ VPN_和BJ VPN之间使用三层隧道协议GRE实现互联。 封装 ? 在PC1上面ping PC2 SZ_接收到PC1的ICMP报文后，首先交由转发模块处理 ? 转发模块根据报文头中的目的地址在路由表或转发表中查找出接口，确定如何转发此报文。如果发现出接口是GRE Tunnel0/0/1接口，系统会读取tunnel0/0/1接口的配置 发现隧道封装协议为GRE协议 并且隧道的SIP和DIP都有，会交给GRE模块进行处理，则对报文进行GRE封装，即添加GRE头。GRE协议模块工作就做完了。 ? 然后回交给路由器的转发模块处理 此时的SIP是202.1.1.1 DIP是101.1.1.1的数据报文路由器根据DIP查找转发表 会匹配默认路由从