8.5、GRE原理与配置
分类:
文章
•
2024-02-10 12:45:10
8.5、GRE原理与配置
- 前言
- IPSec v*n用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量
- 通用路由封装协议GRE(Generic Routing Encapsulation)提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全
- 日常生活中,需要提供视频会议、传播语音。对于组播数据流量,可以通过通用路由封装协议GRE进行传播。但是GRE不能够提供加密,要想实现组播业务的安全性,可将IPSec和GRE结合使用
- GRE应用场景
- GRE支持将一种协议的报文封装在另一种协议报文中
- eg
- 当IPSec技术创建一个隧道以后,无法进行传输OSPF路由协议、RIP路由协议,这时可以通过GRE将路由信息封装在另一种协议报文中进行传输
- GRE可以解决异种网络传输问题
- eg
- 企业分支和企业网络实现的是IPX的协议,但是运营商使用的是IP协议。此时两者之间不能进行通信,但是通过GRE可以实现两者的通信
- GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑
- Eg
- 在IPSec路由器之间假设有20台路由器,路由器之间运行的是RIP协议,路由器之间的最大跳数是15,超过15之后设备无法通信。由于网络中有20个路由器,所以使用RIP无法进行通信
- 此时可以通过GRE隧道,对于GRE隧道使用RIP协议,对于RIP协议来讲不管中间有多少台路由器,实际上中间RIP检查到的只有两台,因为做了隧道,所以只识别RTC和RTD两台路由器,这样就可以扩大网络的工作范围
- 首先通过GRE对报文进行封装,然后再由IPSec对封装后的报文进行加密和传输
- GRE本身是不支持加密的,可以通过IPSec来进行保证报文的安全性
- GRE报文结构
- GRE在封装数据时,会添加GRE头部信息,还会添加新的传输协议头部信息
- 正常的数据是IP报文加数据,但是传输数据时要经过GRE隧道。经过GRE隧道时会添加一个GRE头部信息,再加上一个IP地址,这是IP地址是外层地址,另一个是内层地址
- GRE关键字验证
- 隧道两端设备通过关键字字段(Key)来验证对端是否合法
- GRE提供一定的验证的,但是验证方法非常弱,只是通过Key关键字进行验证
- Keepalive检测
- Keepalive检测功能用于检测隧道对端是否可达
- 对于GRE而言,只要一端设置成功以后,物理链路进行UP,但是对端是否UP本端并不知道,所以通过检测技术检测对端是否可达。使用的是Keepalive检测方法
- 当我们去使能Keepalive的检测功能之后,GRE隧道源端就会创建一个计时器来周期性的发送Keepalive的探测报文检测不可达数
- 每发送一个探测报文不可达数就会加1,以此来检测对端的可达性
- 配置时建议开启Keepalive检测
- Keepalive默认是关闭的,需要我们去进行开启。Keepalive可以检测隧道链路是否是处于Keepalive的状态,是否是可达的。
- GRE配置
- GRE配置比较简单
- 1、创建一个Tunnel接口
- 2、配置IP地址
- 3、指定Tunnel协议为GRE协议
- 4、配置隧道对端地址
- 配置一个静态路由指定Tunnel接口转发的路由
- 路由地址是GRE封装前原始报文的目的地址
- 出接口是隧道的接口
- 配置验证
- 查看隧道状态
- 查看路由
- 静态路由
- 静态路由的目的是之前的目的IP地址
- 下一跳
- 出接口
- 配置Keepalive检测
- 配置Keepalive检测
- 配置验证
- 查看Keepalive配置
- 总结
- GRE的应用场景有哪些?
- 1、解决异种网络的问题
- 2、扩展受跳数限制的路由协议工作范围
- 3、IPSec结合实现加密传输组播数据
- Display interface tunnel命令显示的信息中会包含Internet Address和Tunnel source,这两种的区别是什么?
- Internet Address
- Tunnel source
- 两者最大区别
