下载文档原格式
GRE隧道技术简单介绍GRE隧道技术(Generic Routing Encapsulation)是一种常用的网络隧道协议,它通过在已有的网络协议之上封装新的数据包,从而在不同的网络之间传输数据。
本文将对GRE隧道技术进行简单介绍。
首先,GRE隧道技术的主要作用是在不同的网络之间建立虚拟的点对点连接。
通过GRE隧道,可以将不同的IP网络连接在一起,创造一个逻辑上的单一网络。
这样,就可以在不同的物理网络之间进行流量传输,实现跨网络的数据通信。
GRE隧道技术使用了封装的方法来实现数据的传输。
当一个数据包要从源端通过GRE隧道发送到目标端时,GRE将在数据包的原始头部前添加一个GRE头部。
GRE头部包含了目标网络的地址,以及GRE隧道的一些控制信息。
然后,将这个新的数据包发送到目标网络,目标网络会解析GRE 头部,提取出原始数据包,并将它传递给目标端的应用程序。
一个常见的应用场景是在VPN(Virtual Private Network)中使用GRE隧道技术。
通过GRE隧道,可以创建一个加密隧道,将分布在不同地理位置的网络连接在一起,实现安全的内部通信。
在这种情况下,GRE隧道可以与其他加密协议配合使用,如IPsec,以提供更高的安全性。
此外,GRE隧道技术还广泛应用于云计算环境中。
在云计算环境中,往往存在多个物理网络,而GRE隧道可以帮助连接这些网络,实现跨网络的数据传输。
通过GRE隧道,不同物理网络上的虚拟机可以彼此通信,实现资源共享和负载均衡。
总的来说,GRE隧道技术是一种常见的网络隧道协议,用于在不同的网络之间传输数据。
它通过在原始数据包前添加一个GRE头部来实现数据的封装和解封装。
GRE隧道技术非常灵活,可以适用于不同的网络层协议,并且在VPN和云计算等领域有广泛应用。
GRE隧道协议GRE(Generic Routing Encapsulation,通用路由封装)是一种常用的隧道协议,它可以在Internet Protocol(IP)网络上封装其他协议的数据包,以实现数据包的路由和传输。
本文将介绍GRE隧道协议的基本原理、使用场景以及配置方法。
1. GRE隧道协议的基本原理GRE隧道协议是一种将其他协议的数据包封装在IP数据包中进行传输的技术。
它可以在源主机和目的主机之间创建一条逻辑连接,通过该连接传输封装后的数据包。
GRE隧道协议的基本原理如下:•GRE隧道协议使用封装(encapsulation)和解封装(decapsulation)的方式实现数据包的传输。
在源主机上,GRE隧道协议将要传输的数据包封装在一个GRE数据包中,并添加相应的头部信息。
然后,该GRE数据包会被封装在一个IP数据包中进行传输。
在目的主机上,GRE数据包会被解封装,恢复成原始的数据包,并将其传递给目标协议栈进行处理。
•GRE隧道协议的封装过程是通过在原始数据包前添加GRE头部信息实现的。
GRE头部包含了一系列字段,用于指示封装数据包的协议类型、源地址、目的地址等信息。
这些字段可以帮助目的主机正确地解封装数据包,并将其交给相应的协议栈进行处理。
•GRE隧道协议可以在IP网络上建立逻辑连接,使得源主机和目的主机之间可以进行数据包的传输。
这条逻辑连接可以是点对点的,也可以是多对多的。
在点对点连接中,只有两个主机之间的数据包可以通过GRE隧道进行传输。
而在多对多连接中,多个主机之间的数据包可以通过GRE隧道进行传输。
2. GRE隧道协议的使用场景GRE隧道协议在计算机网络中有着广泛的应用场景。
下面介绍几个常见的使用场景:•远程访问:GRE隧道协议可以用于远程访问,通过在公共网络上建立隧道连接,使得远程用户可以安全地访问内部网络资源。
远程用户的数据包会经过GRE隧道进行封装和传输,然后在目的网络上解封装,达到远程访问的目的。
二三层隧道协议
一直知道L2TP是第二层隧道协议,GRE是第三层隧道协议,可是一直不是太明白,今天总结一下自己理解的。
L2TP是用于三层网络上承载二层协议报文的隧道协议,是用于在三层网络上跑PPP 的。
GRE是通用路由封装协议,内部能封装二层,三层,MPLS……它能封装的报文类型很多,但一般都用于封装三层报文,所以也有叫三层隧道协议的,但这个说法也不严谨。
例如:GRE能封装MPLS,ISIS等,这些都不是三层报文。
Gre over ipsec就是通过GRE将广播,组播,非IP报文通过GRE封装变成单播IP报文,然后再用IPSEC封装加密,IPSEC是个标准的三层隧道协议,它只能承载单播IP报文。
介绍GRE协议的基本概念和作用概念GRE(通用路由封装)协议是一种在网络通信中常用的隧道协议。
它允许在不同的网络之间通过公共网络建立逻辑上的点对点连接。
GRE协议通过在源端将数据包封装在GRE头中,然后在目标端解封装数据包,实现了数据的隧道传输。
作用GRE协议在网络通信中具有多种重要作用:1.隧道传输:GRE协议可以通过公共网络(如Internet)建立虚拟隧道,将数据包安全地传输到目标网络。
这种隧道传输的方式使得远程网络之间可以实现点对点的通信,扩展了网络的覆盖范围。
2.跨网络连接:GRE协议可以连接不同的物理网络、子网或广域网,将它们组成一个逻辑上的单一网络。
这种跨网络连接的能力使得企业、组织或个人可以在分布式环境中建立统一的网络架构,提供更好的资源共享和协作能力。
3.隔离和安全性:通过使用GRE协议,可以在公共网络上建立私有的虚拟专用网络(VPN),实现隔离和安全传输。
GRE协议可以加密和封装数据包,确保数据在传输过程中的机密性和完整性,提供更高的安全性保障。
4.路由扩展:GRE协议在路由器之间传输封装的数据包时,可以携带附加的路由信息。
这些附加的路由信息可以扩展网络的路由能力,使得网络可以更灵活地适应不同的拓扑结构和路由策略。
总而言之,GRE协议提供了一种灵活、安全和可扩展的方式,用于在不同网络之间建立虚拟隧道,并实现点对点的数据传输。
它在构建企业网络、远程访问和虚拟专用网络等方面发挥着重要作用。
随着网络技术的不断发展,GRE协议在未来可能会进一步演进和改进,以满足不断变化的网络需求。
解释GRE协议的工作原理和数据封装格式GRE(通用路由封装)协议是一种基于隧道的协议,它通过在源端将原始数据包封装在GRE头中,然后在目标端解封装数据包,实现数据的隧道传输。
下面将详细解释GRE协议的工作原理和数据封装格式。
工作原理1.封装过程:在源端,源路由器将原始IP数据包作为负载,并在其上添加GRE头。
GRE协议基础试题1、关于GRE(Generic Routing Encapulation)协议的说法哪些是正确的?(AC)A.GRE用于对某些网络层协议(如:IP、IPX、AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在IP网中传输B.GRE是二层隧道协议C.GRE在网络层之间采用了Tunnel(隧道)的技术D.GRE是实现VPN所必需的协议2、下面有关GRE协议描述正确的是?(ABCD)A.GRE实际上是第三层的一种隧道运载协议B.有效报文被GRE封装,称之为GRE报文C.GRE报文被封装在外层的承载网络层报文(如IP协议报文)中D.承载网络层负责对GRE报文的传输3、GRE的实现过程包括哪些步骤?(ABD)A.创建tunnel虚拟接口,使需要加封装的报文通过隧道接口进行转发B.隧道源端对报文加封装C.加封装处理结束后由GRE负责报文转发D.隧道对端的解封装过程4、将GRE封装后的隧道接口的IPX报文格式,按照1,2,3,的次序,正确的是:(A)A.链路层 IP GRE IPXB.链路层 GRE IPX IPC.链路层 GRE IP IPXD.链路层 IP IPX GRE5、GRE的英文全称是(B)A.Generic Router EncapulationB.Generic Routing EncapulationC.General Routing EncapulationD.General Router Encapulation6、以下说法正确的有(AC)A.在GRE隧道上可以再建立L2TP隧道B.在GRE隧道上不可以再建立L2TP隧道C.在L2TP隧道上可以再建立GRE隧道D.在L2TP隧道上不可以再建立GRE隧道7、以下说法正确的有(AC)A.GRE是三层隧道协议B.L2TP是实现VPN所必需的协议C.在VPN的实现中可以同时使用GRE和L2TP协议D.GRE在链路层采用了隧道技术(网络层)。
gre隧道协议GRE隧道协议。
GRE(Generic Routing Encapsulation)是一种通用路由封装协议,它可以在IP网络中封装多种协议的数据包。
GRE隧道协议是一种用于在IP网络中建立隧道连接的协议,它可以通过在两个网络设备之间建立虚拟点对点连接来实现不同网络之间的通信。
GRE隧道协议的工作原理是在两个网络设备之间建立一个逻辑通道,通过这个通道可以传输其他协议的数据包。
在建立GRE隧道之前,需要先在两个网络设备上配置隧道参数,包括隧道的本地地址和远程地址,隧道使用的协议类型等。
一旦隧道参数配置完成,两个网络设备之间就可以通过GRE隧道进行通信。
GRE隧道协议可以用于多种场景,比如在不同地理位置的网络之间建立安全的通信连接、在不同数据中心之间建立虚拟网络、在IPv6网络中传输IPv4数据包等。
通过GRE隧道协议,可以实现不同网络之间的透明传输,提高网络的灵活性和可扩展性。
在实际应用中,GRE隧道协议需要考虑一些安全性和性能方面的问题。
在建立GRE隧道时,需要确保隧道的安全性,防止未经授权的用户访问隧道,避免数据泄露和网络攻击。
此外,还需要考虑隧道的性能,包括隧道的带宽、延迟、丢包率等指标,以保证数据传输的稳定和高效。
总的来说,GRE隧道协议是一种灵活、可扩展的网络通信技术,可以帮助不同网络之间建立安全、高效的通信连接。
通过合理配置和管理,可以实现不同网络之间的互联互通,满足复杂网络环境下的通信需求。
在实际应用中,需要根据具体的场景和需求,选择合适的隧道参数和配置方式,以实现最佳的网络通信效果。
GRE 隧道协议的应用将会在未来的网络通信中扮演越来越重要的角色,为网络的发展和应用提供更多可能性和选择。
IPsec与GRE隧道协议IPsec(Internet Protocol Security)和GRE(Generic Routing Encapsulation)隧道协议是计算机网络中常用的安全通信和隧道技术。
本文将介绍IPsec和GRE隧道协议的基本原理、应用场景以及其在网络通信中的作用。
一、IPsec协议IPsec是一种用于保护网络通信安全的协议套件,它通过对IP数据包进行加密、认证和完整性校验,确保数据在网络传输过程中不被窃听、篡改或伪造。
IPsec协议可以运行在IP层和传输层,具有灵活的部署方式。
1. IPsec的主要组成部分IPsec协议包括两个主要组成部分:认证头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。
AH提供数据完整性和源认证,而ESP则提供数据加密、数据完整性和可选的源认证。
2. IPsec的工作原理IPsec通过对IP数据包进行加密、认证和完整性校验来保护通信安全。
发送方在发送数据包之前,将要发送的数据进行封装,添加AH或ESP头部,并通过密钥将数据进行加密。
接收方在接收到数据包后,根据头部信息对数据进行解密和校验,确保数据的完整性和可靠性。
3. IPsec的应用场景IPsec广泛应用于VPN(Virtual Private Network)网络,远程办公等场景中,为用户提供安全的、加密的通信环境。
此外,IPsec还可用于保护网络服务器、防止DDoS攻击等安全需求。
二、GRE隧道协议GRE隧道协议是一种通过在IP包中封装其他协议数据包并在网络间进行传输的协议。
GRE通过封装数据包使其在网络中伪装成其他协议的数据包,实现远程通信和网络扩展的功能。
1. GRE的基本原理GRE协议将要传输的数据包封装为IP数据包的负载部分,并在头部添加GRE协议的相关信息。
接收方通过解析GRE头部信息,将负载数据还原成原始的数据包。
GRE、PPTP、L2TP隧道协议介绍(转)在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。
GRE将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点:∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点:∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置:这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。
两端配置的tunnel ID必须配置相同。
在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是否还活着GRE隧道GRE建立的是简单的(不进行加密)VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用IPSec)的GRE隧道,这样可以为这些协议提供安全性。
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F、PPTP、L2TP等。
L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有VTP、IPSec等。
IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
GRE、PPTP、L2TP隧道协议在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。
GRE将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点:∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点:∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置:这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。
GRE 协议简介1. 协议简介gre(generic routing encapsulation,通用路由封装)协议是对某些网络层协议(如ip 和ipx)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如ip)中传输。
gre 是vpn(virtual private network)的第三层隧道协议,在协议层之间采用了一种被称之为tunnel(隧道)的技术。
tunnel 是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个tunnel 的两端分别对数据报进行封装及解封装。
一个报文要想在tunnel中传输,必须要经过加封装与解封装两个过程,下面以图3-1的网络为例说明这两个过程:(1) 加封装过程连接novell group1 的接口收到ipx 数据报后首先交由ipx 协议处理,ipx 协议检查ipx 报头中的目的地址域来确定如何路由此包。
若报文的目的地址被发现要路由经过网号为1f 的网络(tunnel 的虚拟网号),则将此报文发给网号为1f 的tunnel端口。
tunnel 口收到此包后进行gre 封装,封装完成后交给ip 模块处理,在封装ip 报文头后,根据此包的目的地址及路由表交由相应的网络接口处理。
(2) 解封装的过程解封装过程和加封装的过程相反。
从tunnel 接口收到的ip 报文,通过检查目的地址,当发现目的地就是此路由器时,系统剥掉此报文的ip 报头,交给gre 协议模块处理(进行检验密钥、检查校验和及报文的序列号等);gre 协议模块完成相应的处理后,剥掉gre 报头,再交由ipx 协议模块处理,ipx 协议模块象对待一般数据报一样对此数据报进行处理。
系统收到一个需要封装和路由的数据报,称之为净荷(payload),这个净荷首先被加上gre 封装,成为gre 报文;再被封装在ip 报文中,这样就可完全由ip 层负责此报文的向前传输(forwarded)。
gre隧道技术基本原理以及gre的应用
GRE(Generic Routing Encapsulation)是一种隧道技术,用于在公共网络上封装和传递多种不同协议的数据。
其基本原理是在源主机和目标主机之间创建了一个逻辑隧道,将原始数据包封装在GRE头部中,再封装在外层IP头部中,使得原始数据包在传输过程中可以通过公共网络进行传递。
具体的GRE封装过程如下:
1. 源主机从网络层接收要发送的数据包。
2. 源主机在包头部插入GRE头部,并封装在外层IP头部中。
3. 源主机将封装后的数据包发送至目标主机。
4. 目标主机从网络层接收到封装后的数据包。
5. 目标主机解析数据包,移除外层IP头部和GRE头部,提取原始数据包进行处理。
GRE的应用主要有以下几个方面:
1. 路由器隧道:GRE可以提供在不同物理网络之间创建隧道连接,使得不同网络之间的路由器可以直接通信,扩展了网络覆盖范围。
2. 虚拟专用网络(VPN):GRE将私有网络扩展到公共网络上,使得远程用户可以通过公共网络访问私有网络资源,增加了网络的安全性和可靠性。
3. 多播隧道:GRE可以在IPv4网络上传递IPv6的多播流量,帮助IPv6网络在IPv4网络中进行互通。
4. 传输承载网(Transport Carrier Network):在通信运营商网络中,GRE可以用于将不同技术的数据包封装在统一的GRE 隧道中传输,实现流量聚合和管理。
GRE隧道技术通过在公共网络上封装数据包,扩展了网络的覆盖范围,并提供了安全、可靠的网络传输服务。
GRE简介一.GRE协议概述1.GRE协议通用路由封装GRE(Generic Routing Encapsulation)是对某些网络层协议如IPX(Internet Packet Exchange)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。
GRE可以作为VPN的第三层隧道协议,为VPN数据提供透明传输通道。
2.GRE报文格式系统收到需要进行封装和路由的某网络层协议(如IPX)数据时,将首先对其加上GRE报文头,使之成为GRE报文,再将其封装在另一协议(如IP)中。
这样,此报文的转发就可以完全由IP协议负责。
封装好的报文的格式如图1-1所示:图1-1封装好的GRE报文格式Delivery Header GRE Header Payload Packet Transport Protocol Carrier Protocol / Encapsulation Protocol Passenger Protocol●净荷(Payload):系统收到的需要封装和路由的数据报称为净荷。
●乘客协议(Passenger Protocol):封装前的报文协议称为乘客协议。
●封装协议(Encapsulation Protocol):上述的GRE协议称为封装协议,也称为运载协议(Carrier Protocol)。
●传输协议(Transport Protocol或者Delivery Protocol):负责对封装后的报文进行转发的协议称为传输协议。
举例来说,一个封装在IP Tunnel中的IPX报文的格式可以表示为:图1-2 Tunnel 中传输报文的格式 IP GRE IPXPassenger ProtocolCarrier ProtocolEncapsulation ProtocolTransport Protocol二.GRE 报文头VRP 的GRE 实现遵循RFC 标准。
VRP 中的GRE 头格式如图1-3。
IPsec与GRE协议配合使用IPsec(Internet Protocol Security)是一种网络安全协议,用于保护在公共网络上传输的数据安全。
GRE(Generic Routing Encapsulation)是一种隧道协议,用于在公共网络上封装和传输数据包。
IPsec和GRE 协议可以相互配合使用,以提供更高级别的网络安全和高效的数据传输。
在配合使用IPsec和GRE协议之前,我们先了解一下它们各自的作用和特点。
IPsec协议是一种在网络层提供的安全协议,可以对IP数据包进行加密和认证。
它可以确保数据在传输过程中的机密性、完整性和身份验证。
IPsec使用加密算法对数据进行加密,并使用认证方法验证数据的来源和完整性。
IPsec可以应用于IP层、传输层和应用层,提供了对整个网络通信的安全保护。
GRE协议是一种通用的路由封装协议,用于在IP网络上封装和传输其他协议的数据包。
通过GRE协议,可以在公共网络上建立虚拟专用网络(VPN),使得不同的网络之间可以通过隧道进行通信。
GRE 协议通过封装原始的IP数据包,并在封装的数据包上携带额外的GRE 头部信息,然后将封装后的数据包传输到目标网络。
将IPsec和GRE协议配合使用可以实现更高级别的网络安全和数据传输效率。
通过封装和加密数据包,可以保护数据在传输过程中的安全性。
同时,GRE协议可以通过隧道连接不同的网络,提供更灵活和可扩展的网络架构。
在实际应用中,IPsec和GRE协议可以按照以下步骤配置和配合使用:1. 配置IPsec隧道:首先,需要在通信的两个网络设备上配置IPsec 隧道,包括隧道源IP地址、目标IP地址、加密算法、认证方法等。
通过IPsec隧道,可以确保隧道中传输的数据的安全性。
2. 配置GRE隧道:在配置IPsec隧道后,接下来配置GRE隧道。
需要指定GRE隧道的源IP地址、目标IP地址,并选择封装的协议类型。
可以选择封装IP、IPv6、以太网等不同类型的协议。
GRE、PPTP、L2TP隧道协议介绍(转)在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。
GRE将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点:∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点:∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置:这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。
两端配置的tunnel ID必须配置相同。
在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是否还活着GRE隧道GRE建立的是简单的(不进行加密)VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用IPSec)的GRE隧道,这样可以为这些协议提供安全性。
竭诚为您提供优质文档/双击可除gre是什么层隧道协议篇一:cisco路由器配置gRe隧道cisco路由器配置gRe隧道路由封装(gRe)最早是由cisco提出的,而目前它已经成为了一种标准,被定义在RFc1701,RFc1702,以及RFc2784中。
简单来说,gRe就是一种隧道协议,用来从一个网络向另一个网络传输数据包。
gRe是一种Vpn隧道技术,其原理为本端路由器将3层报文封装到ip报文里,通过ip网络(例如internet)送到对端路由器后再解开还原。
可以把tunnel想象成一条ddn 专线,tunnel口上配置的ip地址就相当于连接ddn专线的串口的ip地址。
这个地址一般是内部的ip,internet上是不认的。
如果你觉得它和虚拟专用网(Vpn)有些类似,那只是因为:从技术上讲,gRe隧道是某一类型的Vpn,但是并不是一个安全隧道方式。
不过你也可以使用某种加密协议对gRe隧道进行加密,比如Vpn网络中常用的ipsec协议。
实际上,点到点隧道协议(pptp)就是使用了gRe来创建Vpn隧道。
比如,如果你要创建microsoftVpn隧道,默认情况下会使用pptp,这时就会用到gRe。
为什么要用gRe为什么要使用gRe进行隧道传输呢?原因如下:有时你需要加密的多播传输。
gRe隧道可以像真实的网络接口那样传递多播数据包,而单独使用ipsec,则无法对多播传输进行加密。
多播传输的例子包括ospF,eigRp,以及RipV2。
另外,大量的视频、Voip以及音乐流程序使用多播。
你所采用的某种协议无法进行路由,比如netbios或在ip网络上进行非ip传输。
比如,你可以在ip网络中使用gRe支持ipx或appletalk协议。
你需要用一个ip地址不同的网络将另外两个类似的网络连接起来。
如何配置gRe隧道?在cisco路由器上配置gRe隧道是一个简单的工作,只需要输入几行命令即可实现。
以下是一个简单的例子。
路由器a:interfaceethernet0/1ipaddress10.2.2.1255.255.255.0interfaceserial0/0ipaddress192.168.4.1255.255.255.0interfacetunnel0ipaddress1.1.1.2255.255.255.0tunnelsourceserial0/0tunneldestination192.168.4.2路由器b:interfaceFastethernet0/1ipaddress10.1.1.1255.255.255.0interfaceserial0/0ipaddress192.168.4.2255.255.255.0interfacetunnel0ipaddress1.1.1.1255.255.255.0tunnelsourceserial0/0tunneldestination192.168.4.1另外注意下路由配置情况,而tunnelsource和tunneldestination地址是internet上可以路由的ip地址,用于建立tunnel。
例如,本端路由器地址规划为:eth0:10.1.1.1/24(连接内部局域网)tunnel0:10.2.1.1/30(tunnelsource:202.38.160.1;tunneldestination:192.15.135.80)serial0:202.38.160.1/24(连接internet)iproute10.3.1.0255.255.255.010.2.1.2(到对端以太网的路由)对端路由器地址规划为:eth0:10.3.1.1/24(连接内部局域网)tunnel0:10.2.1.2/30(tunnelsource:192.15.135.80;tunneldestination:202.38.160.1)serial0:192.15.135.80/24(连接internet)iproute10.1.1.0255.255.255.010.2.1.1(到对端以太网的路由)在这个例子中,两个路由器均拥有虚拟接口,即隧道接口。
这一接口属于各自的网络,就好像一个点到点的t1环路。
跨越隧道网络的数据采用串行网络方式传输。
对于每个路由器都有两种途径将数据传递到另一端,即通过串行接口以及通过隧道接口(通过隧道传递数据)。
该隧道可以传输非路由协议的数据,如netbios或appletalk。
如果数据需要通过互联网,你可以使用ipsec对其进行加密。
从下面的信息反馈可以看出,路由器b上的隧道接口和其他网络接口没有什么不同:Routerb#shipintbrie interfaceip-addressokmethodstatusprotocolethernet010.1.1.1yesmanualupdownserial0192.168.4.2yesmanualupupserial1unassignedyesunsetadministrativelydowndown tunnel01.1.1.1yesmanualupupRouterb#解决gRe隧道的问题由于gRe是将一个数据包封装到另一个数据包中,因此你可能会遇到gRe的数据报大于网络接口所设定的数据包最大尺寸的情况。
接近这种问题的方法是在隧道接口上配置iptcpadjust-mss1436。
另外,虽然gRe并不支持加密,但是你可以通过tunnelkey命令在隧道的两头各设置一个密钥。
这个密钥其实就是一个明文的密码。
由于gRe隧道没有状态控制,可能隧道的一端已经关闭,而另一端仍然开启。
这一问题的解决方案就是在隧道两端开启keepalive数据包。
它可以让隧道一端定时向另一端发送keepalive数据,确认端口保持开启状态。
如果隧道的某一端没有按时收到keepalive数据,那么这一侧的隧道端口也会关闭。
篇二:gRe、pptp、l2tp(l2)隧道协议隧道技术是Vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有l2F、pptp、l2tp等。
l2tp协议是目前ietF的标准,由ietF融合pptp 与l2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有Vtp、ipsec等。
ipsec(ipsecurity)是由一组RFc文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。
gRe、pptp、l2tp隧道协议在ipsec和multiprotocollabelswitching(mpls)Vpn出现前,gRe被用来提供internet上的Vpn功能。
gRe将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,gRe仍然被使用。
在gRe隧道中,路由器会在封装数据包的ip头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接passenger:要封装的乘客协议(ipx,appletalk,ip,ipsec,dVmRp,etc.).carrier:封装passengerprotocol的gRe协议,插入到transport和passenger包头之间,在gRe包头中定义了传输的协议transport:ip协议携带了封装的passengerprotocol.这个传输协议通常实施在点对点的gRe连接中(gRe是无连接的).gRe的特点:gRe是一个标准协议支持多种协议和多播能够用来创建弹性的Vpn支持多点隧道能够实施qosgRe的缺点:缺乏加密机制没有标准的控制协议来保持gRe隧道(通常使用协议和keepalive)隧道很消耗cpu出现问题要进行debug很困难mtu和ip分片是一个问题配置:这里配置对端的ip地址和tunnelid(tunnelkey2323)来进行简单的认证。
两端配置的tunnelid必须配置相同。
在ciscoiosversions12.2(8)t允许配置keepalive,定期发送报文检测对端是否还活着gRe隧道gRe建立的是简单的(不进行加密)Vpn隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用ipsec)的gRe隧道,这样可以为这些协议提供安全性。
(相关配置请参看gReoveripsec)网状连接(Full-mesh)由于gRe是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种hub-and-spoke的拓扑形式但是可以通过使用nhRp(next-hopResolutionprotocol)来自动建立全网状拓扑。
(相关配置请参看nhRp配置全网状互联gRe隧道)Vpdn简介Vpdn(Virtualprivatedialnetwork,虚拟私有拨号网)是指利用公共网络(如isdn和pstn)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型isp、移动办公人员提供接入服务。
Vpdn采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企。
