華為VPN技術三:GRE
拓撲:
配置步驟
1、所有設備之間運行OSPF路由協議實現設備間路由互通。
2、在RouterA和RouterC上創建Tunnel接口,創建GRE隧道,並在RouterA和RouterC上配置經過Tunnel接口的靜態路由,使PC1和PC2之間的流量通過GRE隧道傳輸,實現PC1和PC2互通。
配置信息:
R1:
interface Tunnel0/0/1
ip address 10.1.3.1 255.255.255.0
tunnel-protocol gre
source 20.1.1.1
destination 30.1.1.1
#
ospf 1
area 0.0.0.0
network 20.1.1.1 0.0.0.0
#
ip route-static 10.1.2.0 255.255.255.0 Tunnel0/0/1
R3:
interface Tunnel0/0/1
ip address 10.1.3.2 255.255.255.0
tunnel-protocol gre
source 30.1.1.1
destination 20.1.1.1
#
ospf 1
area 0.0.0.0
network 30.1.1.1 0.0.0.0
#
ip route-static 10.1.1.0 255.255.255.0 Tunnel0/0/1
#
GRE通過OSPF實現IPv4互通
拓撲
配置步驟
1、在設備之間運行IGP協議實現設備互通,這裏使用OSPF路由協議且進程1。
2、與PC相連的設備之間建立GRE隧道,並使能Keepalive功能,並配置與PC相連的網段運行IGP協議,這裏使用OSPF進程2,和OSPF1進行隔離,使PC1和PC2之間的流量通過GRE隧道傳輸,實現PC1和PC2互通。
R1\R3:
interface Tunnel0/0/1
ip address 10.1.3.1 255.255.255.0
tunnel-protocol gre
keepalive
source 20.1.1.1
destination 30.1.1.1
原理分析
Keepalive檢測功能的實現過程如下:
1、當GRE隧道的源端使能Keepalive檢測功能後,就創建一個定時器,周期地發送Keepalive探測報文,同時通過計數器進行不可達計數。每發送一個探測報文,不可達計數加1。
2、對端每收到一個探測報文,就給源端發送一個回應報文。
3、如果源端的計數器值未達到預先設置的值就收到回應報文,就表明對端可達。如果源端的計數器值到達預先設置的值——重試次數(Retry Times)時,還沒收到回送報文,就認為對端不可達。此時,源端將關閉隧道連接。但是源端口仍會繼續發送Keepalive報文,若對端Up,則源端口也會Up,建立隧道鏈接。
###默認
GRE OVER IPSEC
拓撲
配置步驟
1、配置物理接口的IP地址和到對端的靜態路由,保證兩端路由可達。
R1\R3:
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
2、配置GRE Tunnel接口。
R1\R3:
interface Tunnel0/0/0
ip address 192.168.1.2 255.255.255.0
tunnel-protocol gre
source 202.138.163.1
destination 202.138.162.1
3、配置IPSec安全提議,定義IPSec的保護方法。
R1\R3:
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
4、配置IKE對等體,定義對等體間IKE協商時的屬性。
R1\R3:
ike peer rut1 v1
pre-shared-key cipher huawei
ike-proposal 5
5、配置安全框架,並引用安全提議和IKE對等體。
R1\R3:
ipsec profile profile1
ike-peer rut1
proposal pro1
6、在Tunnel接口上應用安全框架,使接口具有IPSec的保護功能。
R1\R3:
interface Tunnel0/0/0
ipsec profile profile1
7、配置Tunnel接口的轉發路由,將需要IPSec保護的數據流引到Tunnel接口。
R1\R3:
ip route-static 10.1.1.0 255.255.255.0 Tunnel0/0/0
原理分析
GRE可以承載多種協議報文,包括組播、廣播報文,而IPSEC不支持多協議承載只能對單播數據進行加密。所以當需要對語音、視頻等流量進行隧道傳輸的時候,需采用GRE OVER IPSEC。
GRE隧道封裝、解封裝過程
封裝:
1、Ingress PE從連接X協議的接口接收到X協議報文後,首先交由X協議處理。
2、X協議根據報文頭中的目的地址在路由表或轉發表中查找出接口,確定如何轉發此報文。如果發現出接口是GRE Tunnel接口,則對報文進行GRE封裝,即添加GRE頭。
3、根據骨幹網傳輸協議為IP,給報文加上IP頭。IP頭的源地址就是隧道源地址,目的地址就是隧道目的地址。
4、根據該IP頭的目的地址(即隧道目的地址),在骨幹網路由表中查找相應的出接口並發送報文。之後,封裝後的報文將在該骨幹網中傳輸。
解封裝:
1、Egress PE從GRE Tunnel接口收到該報文,分析IP頭發現報文的目的地址為本設備,則Egress PE去掉IP頭後交給GRE協議處理。
2、GRE協議剝掉GRE報頭,獲取X協議,再交由X協議對此數據報文進行後續的轉發處理。
華為VPN技術三:GRE