為何引入GRE技術?
我們都知道IPSec VPN技術可以創建一條跨越共享公網的隧道,從而實現私網互聯。IPSec VPN能夠安全傳輸IP報文,但是無法在隧道的兩個端點之間運行RIP和OSPF等路由協議。GRE本身並不支持加密,因而通過GRE隧道傳輸的流量是不加密的。將IPSec技術與GRE相結合,可以先建立GRE隧道對報文進行GRE封裝,然后再建立IPSec隧道對報文進行加密,以保證報文傳輸的完整性和私密性。
什么是GRE?
通用路由封裝協議GRE(Generic Routing Encapsulation) 提供了將一種協議的報文封裝在另一種協議報文中(如IPv4)的機制,是一種三層隧道封裝技術。
GRE的優點?
- GRE實現機制簡單,對隧道兩端的設備負擔小。
- GRE隧道擴展了跳數受限網絡協議(RIP最大15跳)的工作范圍,支持企業靈活設計網絡拓撲。
- GRE可以解決異種網絡的傳輸問題。(如OSPF、RIP)
- GRE隧道可以通過IPv4網絡連通多種網絡協議的本地網絡,有效利用了原有的網絡架構,降低成本。
- GRE可以實現傳輸語音、視頻、動態路由協議信息等組播數據流量。
- GRE隧道將不連續的子網連接起來,用於組建VPN,實現企業總部和分支間安全的連接。
GRE的應用場景
- IPsec VPN與GRE結合保證報文傳輸的完整性和私密性
GRE報文結構
-
乘客協議(Passenger Protocol):封裝前的報文稱為凈荷,封裝前的報文協議稱為乘客協議。
-
封裝協議(Encapsulation Protocol):GRE Header是由封裝協議完成並填充的,封裝協議也稱為運載協議(Carrier Protocol)。
-
傳輸協議(Transport Protocol或者Delivery Protocol):負責對封裝后的報文進行轉發的協議稱為傳輸協議。
關鍵字Key:隧道兩端設備通過關鍵字字段( Key )來驗證對端是否合法,完全一致時才能通過驗證,否則報文將被丟棄。
注意:GRE在封裝數據時,會添加GRE頭部信息,還會添加新的傳輸協議頭部信息。
封裝過程
- 檢查報文頭中的目的IP地址字段,在路由表查找出接口,若出接口是隧道接口,則將報文發送給隧道模塊進行處理。
- 隧道模塊根據乘客協議的類型和當前GRE隧道配置的校驗和參數,對報文進行GRE封裝,即添加GRE報文頭。
- 設備給報文添加傳輸協議報文頭,即IP報文頭。該IP報文頭的源地址就是隧道源地址,目的地址就是隧道目的地址。
- 根據新添加的IP報文頭目的地址,在路由表中查找相應的出接口,並發送報文。封裝后的報文將在公網中傳輸。
- 接收端設備從連接公網的接口收到報文后,首先分析IP報文頭,如果發現協議類型字段的值為47,表示協議為GRE,於是出接口將報文交給GRE模塊處理。
- GRE模塊去掉IP報文頭和GRE報文頭,並根據GRE報文頭的協議類型字段,發現此報文的乘客協議為私網中運行的協議,於是將報文交給該協議處理。
Keepalive機制
- Keepalive檢測功能用於檢測隧道對端是否可達。
- 在隧道一端配置了Keepalive功能,無論對端是否配置Keepalive,配置的Keepalive功能在該端都生效,都會給源端發送一個回應報文。
GRE基礎配置
[RTA]interface Tunnel 0/0/1 // 創建隧道 [RTA-Tunnel0/0/1]ip address 40.1.1.1 24 // 隧道地址 [RTA-Tunnel0/0/1]tunnel-protocol gre // 選擇gre協議 [RTA-Tunnel0/0/1]source 20.1.1.1 // 隧道對應的源物理地址 [RTA-Tunnel0/0/1]destination 20.1.1.2 // 隧道對應的目的物理地址 [RTA-Tunnel0/0/1]quit [RTA]ip route-static 10.1.2.0 24 Tunnel 0/0/1 // 實現互通的方式有靜態和動態(ospf),這里是靜態,配置時需要隧道兩邊都配置 [RTA]interface Tunnel 0/0/1 [RTA-Tunnel0/0/1]keepalive period 3 // 檢測報文發送周期,默認為5秒 [RTA-Tunnel0/0/1]quit
文檔參考來自華為官網:https://support.huawei.com/enterprise/zh/doc/EDOC1000141464/b09bbebc