[精选]GREProtocol.pptx

Question：1、GRE是什么？2、GRE用在什么地方？3、GRE隧道如何实现？4、GRE的优点和缺乏？5、GRE隧道如何做到更平安？GRE 详解简介nGRE Generic Routing Encapsulation在任意一种网络协议上传送任意一种其它网络协议的封装方法 GRE协议是对某些网络层协议如IP 和IPX的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议如IP中传输。GRE采用了Tunnel隧道技术，是VPNVirtual Private Network的第三层隧道协议。GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelRFC 1701和RFC 2784定义了标准GRE封装。GRE协议特点机制简单，对隧道两端设备的CPU负担小不提供数据的加密不对数据源进行验证不保证报文正确到达目的地不提供流量控制和QoS特性多协议的本地网可以通过单一协议的骨干网实现传输将一些不能连续的子网连接起来，用于组建VPN不能分隔地址空间封装格式协议BGRE协议A链路层协议载荷协议封装协议承载协议协议B载荷GRE封装包格式载荷协议承载协议GRE头头协议协议B头头协议协议A头头载荷数据载荷数据链路层头链路层头IP Over IP载荷链路层头GRE头IP头载荷协议0 x0800IP头IP协议号47IP用协议号47标识GREGRE使用以太类型0 x0800标识载荷协议为IPIP over IP包格式GRE头部GRE头部格式：0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|C|R|K|S|s|Recur|Flags|Ver|Protocol Type|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum optional|Offset optional|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Key optional|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Sequence Number optional|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Routing optional|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+参照RFC 1701中GRE封装格式1、前4个字节必须出现；2、第5-20字节根据第1个字节相关标志位可选出现；3、GRE头部长度将影响tunnel和mtu值。详细字段解释参照RFC1701.GRE头部字段验证-1Tunnel0Tunnel0172.16.0.1/16172.16.0.2/1612.12.12.0/2423.23.23.0/243.3.3.3/241.1.1.1/24R1R2R3interface Tunnel0 ip address 172.16.0.1 255.255.0.0 keepalive 10 3 tunnel source 12.12.12.1 tunnel destination 23.23.23.3interface Tunnel0 ip address 172.16.0.2 255.255.0.0 keepalive 10 3 tunnel source 23.23.23.3 tunnel destination 12.12.12.1GRE头部字段验证-2Tunnel0Tunnel0172.16.0.1/16172.16.0.2/1612.12.12.0/2423.23.23.0/24R1R2R31.1.1.1/243.3.3.3/24interface Tunnel0 ip address 172.16.0.1 255.255.0.0 keepalive 10 3 tunnel source 12.12.12.1 tunnel destination 23.23.23.3 tunnel key 1 tunnel sequence-datagrams tunnel checksuminterface Tunnel0 ip address 172.16.0.2 255.255.0.0 keepalive 10 3 tunnel source 23.23.23.3 tunnel destination 12.12.12.1 tunnel key 1 tunnel sequence-datagrams tunnel checksumGRE VPNnGRE VPN直接使用GRE封装建立GRE隧道，在一种协议的网络上传送其它协议虚拟的隧道Tunnel接口Original Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构GRE隧道处理流程n隧道起点路由查找n加封装n承载协议路由转发n中途转发n解封装n隧道终点路由查找隧道起点路由查找R1R2站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP公网IP私网IP私网加封装R1R2站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP公网IP私网IP私网RTA Tunnel0接口参数：GRE封装 源接口S0/0，地址202.1.1.1 目标地址203.1.1.2S D私网IP包GRE头公网IP头目的地址：203.1.1.2源地址：202.1.1.113承载协议路由转发R1R2站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP公网IP私网IP私网14中途转发R2站点BS0/0E0/010.1.3.1/24203.1.1.2/24IP私网IP公网R1站点AS0/0E0/010.1.1.1/24 202.1.1.1/24IP私网15解封装R1R2站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP公网IP私网IP私网RTB Tunnel0接口参数：GRE封装 源接口S0/0，地址203.1.1.2 目标地址202.1.1.1S D私网IP包GRE头公网IP头私网IP包隧道终点路由查找R1R2站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP公网IP私网IP私网17GRE弱平安机制nGRE 本身提供了两种比较弱的平安机制：校验和验证识别关键字验证 KeepAlive校验和验证n实际应用时，隧道两端可以根据需要选择是否配置校验和，从而决定是否触发校验功能。因校验和配置不同，对收发报文的处理方式也不同.识别关键字验证n识别关键字key是指对Tunnel 接口进行校验。通过这种弱平安机制，可以防止错误识别、接收其它地方来的报文。nRFC1701 中规定：假设GRE 报文头中的K 位置位，则在GRE 头中插入关键字字段，收发双方将进行通道识别关键字的验证。n只有 Tunnel 两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。这里的“完全一致是指两端都不设置识别关键字；或者两端都设置关键字，且关键字的值相等。20KeepAlivenGRE 的数据空洞nKeepalive 检测功能：VRP 实现了GRE 隧道的链路状态检测功能Keepalive 检测功能。Keepalive 检测功能用于时刻检测隧道链路是否处于Keepalive 状态，即检测隧道对端是否可达。如果对端不可达，隧道连接就会及时关闭，防止形成数据空洞。如果 GRE 隧道本端使能Keepalive 检测功能后，周期地发送link-alive 探测报文给对端。假设对端可达，则本端会收到对端的回应报文；否则，收不到对端的回应报文。n不可达计数器：GRE 隧道的源端使能Keepalive 检测功能后，就创立一个定时器，周期地发送Keepalive 探测报文，同时进行不可达计数。每发送一个探测报文，不可达计数加1。对端每收到一个探测报文，就给源端发送一个回应报文。如果源端的计数器值未到达预先设置的值就收到回应报文，就说明对端可达。如果源端的计数器值到达预先设置的值重试次数Retry Times时，还没收到回送报文，就认为对端不可达。此时，源端将关闭隧道连接。21KeepAlive报文22GRE的应用场合n多协议的本地网可以通过单一协议的骨干网传输n路由协议中的应用n扩大跳数受限的网络工作范围n将不连续的子网连接起来，用于组建 VPNnCE 采用GRE 隧道接入MPLS VPN多协议本地网InternetTunnelIPX1IPX2IP1IP2nIPX1 和IPX2 是运行Novell IPX 的本地网，IP1 和IP2 是运行IP 的本地网。n通过在 Router A 和Router B 之间采用GRE 协议封装的隧道，IPX1 和IPX2、IP1 和IP2可以互不影响地进行通信。Router ARouter B24tunnelGRE在路由协议中的应用R1R2R3R4Area 0Area 1Area 2OSPF NetworknR1-R4运行OSPF协议，但是要求R1和R4能够通信的话是不可以的，因为区域2和区域0断开了。如果通过OSPF的V-Link是可以解决的，同样这里通过GRE隧道将区域2和区域0连接起来，一样是可以解决区域断开的问题。25扩大跳数受限的网络R1R2R3R4tunnelnetworknetworknetworkn网络运行IP 协议，假设IP 协议限制跳数为255。如果两台PC 之间的跳数超过255，它们将无法通信。在网络中使用隧道可以隐藏一局部步跳，从而扩大网络的工作范围。26将不连续的子网连接起来InternetGRE TunnelVPN SitePEPEVPN SiteCECE通常，MPLS VPN 骨干网使用LSP 作为公网隧道。但如果骨干网核心路由器P 路由器只提供纯IP 功能，不具备MPLS 功能；而网络边缘的PE 路由器具备MPLS 功能，这样，就不能使用LSP 作为公网隧道。此时，可以使用GRE 隧道替代LSP，在核心网提供三层或二层VPN 解决方案。其私网报文在VPN 骨干网中传输时，报文格式如图4-9。LSP中断27CE 采用GRE 隧道接入MPLS VPNMPLSTunnelCustom networkPEPEVPN SiteCECEIP networkn在实现MPLS VPN网络互联的时候，并不是CE 和PE 都能用物理链路直接相连。例如，很多已经连接到internet 或基于IP 技术的骨干网上的机构，其CE 和PE 设备之间地理位置上相距甚远，不可能直接接入到MPLS 骨干网的PE 设备上。这时候就可以使用GRE做为一种解决方案。28GRE平安增强nGRE Over IPSECnIPSEC Over GREnIPSEC Profile29GRE Over IPSECInternetTunnel总部分部分部Router ARouter BGRE Over IPSECn数据先进行GRE封装，然后在经过物理口进行IPSEC加密nGRE Over IPSEC VPN隧道在意义上是一种传输模式的VPNn如果设备上配置有NAT需要先deny掉IPSEC的流量30GRE Over IPSEC配置思路InternetTunnel总部分部分部Router ARouter BGRE Over IPSEC第一步：建立GRE网络和解决路由问题第二部：建立ACL定义感兴趣数据流通信点之间的acl第三部：使用IPSEC加密GRE流量1、建立isakmp策略定义封装格式2、定义isakmp key3、定义ipsec传输模式4、建立crypto map匹配ACL和定义对端地址和传输模式第四步：应用map到接口物理口31IPSEC Over GREInternetTunnel总部分部分部Router ARouter BIPSEC Over GREIPSEC Over GRE区别就在于先对定义的数据流进行加密封装，之后再丢到tunnel口进行GRE封装后进行转发。了解GRE Over IPSEC之后就会知道IPSEC Over GRE是有缺点的，配置的繁琐程度差不多，IPSEC Over GRE是先加密后GRE，这样就会导致没有匹配上acl的数据走GRE不加密的情况。而GRE Over IPSEC就可以很好的保护这一点。因此，在这里就不做IPSEC Over GRE配置的解释了。32IPSEC ProfileInternetTunnel总部分部分部Router ARouter B IPSECn和GRE Over IPSEC类似，区别在于这里的加密点从物理口跑到了tunnel口n这里的隧道同GRE Over IPSEC一样，在意义上是一种传输模式的VPNn如果设备上配置有NAT需要先deny掉IPSEC的流量33IPSEC Profile配置思路InternetTunnel总部分部分部Router ARouter B IPSEC第一步：建立GRE网络和解决路由问题第二部：建立ACL定义感兴趣数据流通信点之间的acl第三部：使用IPSEC加密GRE流量1、建立isakmp策略定义封装格式2、定义isakmp key3、定义ipsec传输模式4、建立IPSEC Profile定义传输模式第四步：在tunnel口上启用tunnel protection调用IPSEC Profile。34谢谢！359、静夜四无邻，荒居旧业贫。11月-2311月-23Sunday,November 26,202310、雨中黄叶树，灯下白头人。03:45:0703:45:0703:4511/26/2023 3:45:07 AM11、以我独沈久，愧君相见频。11月-2303:45:0703:45Nov-2326-Nov-2312、故人江海别，几度隔山川。03:45:0703:45:0703:45Sunday,November 26,202313、乍见翻疑梦，相悲各问年。11月-2311月-2303:45:0703:45:07November 26,202314、他乡生白发，旧国见青山。26 十一月 20233:45:07 上午03:45:0711月-2315、比不了得就不比，得不到的就不要。十一月 233:45 上午11月-2303:45November 26,202316、行动出成果，工作出财富。2023/11/26 3:45:0703:45:0726 November 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。3:45:07 上午3:45 上午03:45:0711月-239、没有失败，只有暂时停止成功！。11月-2311月-23Sunday,November 26,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。03:45:0703:45:0703:4511/26/2023 3:45:07 AM11、成功就是日复一日那一点点小小努力的积累。11月-2303:45:0703:45Nov-2326-Nov-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。03:45:0703:45:0703:45Sunday,November 26,202313、不知香积寺，数里入云峰。11月-2311月-2303:45:0703:45:07November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20233:45:07 上午03:45:0711月-2315、楚塞三湘接，荆门九派通。十一月 233:45 上午11月-2303:45November 26,202316、少年十五二十时，步行夺得胡马骑。2023/11/26 3:45:0703:45:0726 November 202317、空山新雨后，天气晚来秋。3:45:07 上午3:45 上午03:45:0711月-239、杨柳散和风，青山澹吾虑。11月-2311月-23Sunday,November 26,202310、阅读一切好书如同和过去最杰出的人谈话。03:45:0703:45:0703:4511/26/2023 3:45:07 AM11、越是没有本领的就越加自命非凡。11月-2303:45:0703:45Nov-2326-Nov-2312、越是无能的人，越喜欢挑剔别人的错儿。03:45:0703:45:0703:45Sunday,November 26,202313、知人者智，自知者明。胜人者有力，自胜者强。11月-2311月-2303:45:0703:45:07November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20233:45:07 上午03:45:0711月-2315、最具挑战性的挑战莫过于提升自我。十一月 233:45 上午11月-2303:45November 26,202316、业余生活要有意义，不要越轨。2023/11/26 3:45:0703:45:0726 November 202317、一个人即使已登上顶峰，也仍要自强不息。3:45:07 上午3:45 上午03:45:0711月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉