GRE原理与配置.

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

第 8 章 IP 基礎與定址.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
网络互联技术
Internal DP GRE协议原理 ISSUE1.0.
路由器的性能特点和工作原理 两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构 局域网中使用路由器的方案
计算机网络安全 第五章.
数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
实验八 配置动态路由-OSPF协议.
引言 路由器的主要工作就是为经过路由器的每个 IP数据报/分组 寻找一条最佳传输路径(寻径),并将该数据有效地传送到目的站点(转发)。
第六章 在华为路由器上配置动态路由OSPF协议(实训)
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
第13讲 IGRP协议 主讲:史宝会.
任务十 在思科路由网络中使用IGRP和EIGRP动态路由协议
第3章 路由技术—动态路由.
路由协议概述 ISSUE 1.0 日期: 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播.
第3章 IP路由原理.
第17章 实现路由器.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
2017/4/7 计算机网络技术基础 Computer network technology 精品资源共享课程建设组.
项目四 组建跨地区网络 授课教师:肖颖.
计算机网络 吴功宜 编著 欢迎辞.
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第31讲 帧中继技术FR 主讲:史宝会.
HUAWEI TECHNOLOGIES CO., LTD. IPv6 路由基础. Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 2 前言 在企业网络中, IPv6 技术的应用越来越普及。 IETF 组织针对.
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
張晃崚 麟瑞科技股份有限公司 網路基本概念/網路Router設定 張晃崚 麟瑞科技股份有限公司.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
David liang 数据通信安全教程 防火墙技术及应用 David liang
基於OpenWSN之無線感測網路系統的實作
基礎網路管理 第十一章 OSPF路由協定 製作:林錦財.
Internet Protocol (IP)
32 bit destination IP address
附錄 通訊協定堆疊.
锐捷网络技术培训系列课程-(中级) OSPF协议 培训组 闵 捷.
Access Networks.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
DGS-1510 基隆教網教育訓練文件.
路由基础.
第九章 IPSec VPN技术.
IP路由原理.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
矢量距离路由.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
江西财经大学信息管理学院 《组网技术》课程组
第七讲 网际协议IP.
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
實驗5 IP協定分析 明瞭IP(Internet Protocol;Internet協定)的基礎觀念
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
VB与Access数据库的连接.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
Distance Vector vs Link State
第8章 網際網路協定IPv6介紹與設定 蕭志明老師 CCNA教學.
数据报分片.
谢聪.
IP Layer Basics, Firewall, VPN, and NAT
Distance Vector vs Link State Routing Protocols
IP Layer Basics & Firewall
第四章 UNIX文件系统.
创建、启动和关闭Activity 本讲大纲: 1、创建Activity 2、配置Activity 3、启动和关闭Activity
实验六静态路由.
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
Presentation transcript:

GRE原理与配置

前言 IPSec VPN用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量。 通用路由封装协议GRE(Generic Routing Encapsulation)提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全。

学习目标 学完本课程后,您应该能: 掌握GRE的应用场景 掌握GRE的工作原理 掌握GRE over IPSec的配置

GRE应用场景 GRE支持将一种协议的报文封装在另一种协议报文中。 GRE可以解决异种网络的传输问题。 企业分支 企业总部 GRE 隧道 GRE用来对某些网络层协议如IPX(Internet Packet Exchange)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。GRE可以解决异种网络的传输问题。 IPSec VPN技术可以创建一条跨越共享公网的隧道,从而实现私网互联。IPSec VPN能够安全传输IP报文,但是无法在隧道的两个端点之间运行RIP和OSPF等路由协议。GRE可以将路由协议信息封装在另一种协议报文(例如IP)中进行传输。 GRE支持将一种协议的报文封装在另一种协议报文中。 GRE可以解决异种网络的传输问题。

GRE应用场景 GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑。 GRE隧道 RTA RTB RTC RTD 使用GRE可以克服IGP协议的一些局限性。例如,RIP路由协议是一种距离矢量路由协议,最大跳数为15。如果网络直径超过15,设备将无法通信。这种情况下,可以使用GRE技术在两个网络节点之间搭建隧道,隐藏它们之间的跳数,扩大网络的工作范围。 GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑。

GRE应用场景 首先通过GRE对报文进行封装,然后再由IPSec对封装后的报文进行加密和传输。 企业分支 企业总部 IPsec隧道 GRE本身并不支持加密,因而通过GRE隧道传输的流量是不加密的。将IPSec技术与GRE相结合,可以先建立GRE隧道对报文进行GRE封装,然后再建立IPSec隧道对报文进行加密,以保证报文传输的完整性和私密性。 首先通过GRE对报文进行封装,然后再由IPSec对封装后的报文进行加密和传输。

GRE报文结构 GRE在封装数据时,会添加GRE头部信息,还会添加新的传输协议头部信息。 Ethernet IP GRE IP/IPX 企业分支 企业总部 GRE 隧道 Ethernet IP GRE IP/IPX Payload GRE封装报文时,封装前的报文称为净荷,封装前的报文协议称为乘客协议,然后GRE会封装GRE头部,GRE成为封装协议,也叫运载协议,最后负责对封装后的报文进行转发的协议称为传输协议。 GRE封装和解封装报文的过程如下: 设备从连接私网的接口接收到报文后,检查报文头中的目的IP地址字段,在路由表查找出接口,如果发现出接口是隧道接口,则将报文发送给隧道模块进行处理。 隧道模块接收到报文后首先根据乘客协议的类型和当前GRE隧道配置的校验和参数,对报文进行GRE封装,即添加GRE报文头。 然后,设备给报文添加传输协议报文头,即IP报文头。该IP报文头的源地址就是隧道源地址,目的地址就是隧道目的地址。 最后,设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。之后,封装后的报文将在公网中传输。 接收端设备从连接公网的接口收到报文后,首先分析IP报文头,如果发现协议类型字段的值为47,表示协议为GRE,于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头,并根据GRE报文头的协议类型字段,发现此报文的乘客协议为私网中运行的协议,于是将报文交给该协议处理。 GRE在封装数据时,会添加GRE头部信息,还会添加新的传输协议头部信息。

GRE关键字验证 隧道两端设备通过关键字字段( Key )来验证对端是否合法。 企业分支 企业总部 GRE隧道 Key (Optional) Key (Optional) Recursion C Checksum (Optional) K Flags Version Protocol Type 关键字(Key)验证是指对隧道接口进行校验,这种安全机制可以防止错误接收到来自其他设备的报文。关键字字段是一个四字节长的数值,若GRE报文头中的K位为1,则在GRE报文头中会插入关键字字段。只有隧道两端设置的关键字完全一致时才能通过验证,否则报文将被丢弃。 隧道两端设备通过关键字字段( Key )来验证对端是否合法。

Keepalive检测 Keepalive检测功能用于检测隧道对端是否可达。 企业分支 企业总部 GRE 隧道 Keepalive Message Keepalive Reply Keepalive检测功能用于在任意时刻检测隧道链路是否处于Keepalive状态,即检测隧道对端是否可达。如果对端不可达,隧道连接就会及时关闭,避免形成数据空洞。使能Keepalive检测功能后,GRE隧道本端会定期向对端发送Keepalive探测报文。若对端可达,则本端会收到对端的回应报文;若对端不可达,则收不到对端的回应报文。如果在隧道一端配置了Keepalive功能,无论对端是否配置Keepalive,配置的Keepalive功能在该端都生效。隧道对端收到Keepalive探测报文,无论是否配置Keepalive,都会给源端发送一个回应报文。 使能Keepalive检测功能后,GRE隧道的源端会创建一个计数器,并周期性地发送Keepalive探测报文,同时进行不可达计数。每发送一个探测报文,不可达计数加1。 如果源端在计数器值达到预先设置的值之前收到回应报文,则表明对端可达。如果计数器值达到预先设置的重试次数,源端还是没有收到回应报文,则认为对端不可达。此时,源端将关闭隧道连接。 Keepalive检测功能用于检测隧道对端是否可达。

GRE配置 GRE 隧道 [RTA]interface Tunnel 0/0/1 RTB 20.1.1.1/24 20.1.1.2/24 G0/0/1 G0/0/1 GRE 隧道 10.1.2.1/24 10.1.1.1/24 [RTA]interface Tunnel 0/0/1 [RTA-Tunnel0/0/1]ip address 40.1.1.1 24 [RTA-Tunnel0/0/1]tunnel-protocol gre [RTA-Tunnel0/0/1]source 20.1.1.1 [RTA-Tunnel0/0/1]destination 20.1.1.2 [RTA-Tunnel0/0/1]quit [RTA]ip route-static 10.1.2.0 24 Tunnel 0/0/1 interface tunnel interface-number命令用来创建Tunnel接口。创建Tunnel接口后,需要配置Tunnel接口的IP地址和Tunnel接口的封装协议。 tunnel-protocol命令用来配置Tunnel接口的隧道协议。 source { source-ip-address | interface-type interface-number }命令用来配置Tunnel源地址或源接口。 destination dest-ip-address命令用来指定Tunnel接口的目的IP地址。 在本端设备和远端设备上还必须存在经过Tunnel转发的路由,这样,需要进行GRE封装的报文才能正确转发。经过Tunnel接口转发的路由可以是静态路由,也可以是动态路由。配置静态路由时,路由的目的地址是GRE封装前原始报文的目的地址,出接口是本端Tunnel接口。

配置验证 [RTA]display interface Tunnel 0/0/1 Tunnel0/0/1 current state : UP Line protocol current state : UP Last line protocol up time : 2013-08-21 13:37:38 Description:HUAWEI, AR Series, Tunnel0/0/1 Interface Route Port, The Maximum Transmit Unit is 1476 Internet Address is 40.1.1.1/24 Encapsulation is TUNNEL, loopback not set Tunnel source 20.1.1.1 (GigabitEthernet0/0/1), destination 20.1.1.2 Tunnel protocol/transport GRE/IP, key disabled keepalive disabled Checksumming of packets disabled …… 执行display interface Tunnel 0/0/1命令,可以查看接口的运行状态和路由信息。如果接口的当前状态和链路层协议的状态均显示为UP,则接口处于正常转发状态。隧道的源地址和目的地址分别为建立GRE隧道使用的物理接口的IP地址。

配置验证 [RTA]display ip routing-table Route Flags: R - relay, D - download to fib -------------------------------------------------------------- Routing Tables: Public Destinations : 13 Routes : 14 Destination/Mask Proto Pre Cost Flags NextHop Interface …… 10.1.2.0/24 Static 60 0 RD 40.1.1.2 Tunnel 0/0/1 执行display ip routing table命令,可以查看IP路由表,判断GRE隧道连接的两个网络的可达信息。在本示例中,可以看出目的地址为通过GRE隧道可达的网络地址,下一跳地址为GRE隧道远端接口的IP地址。

配置Keepalive检测 GRE 隧道 [RTA]interface Tunnel 0/0/1 RTB 20.1.1.1/24 20.1.1.2/24 G0/0/1 G0/0/1 GRE 隧道 10.1.2.1/24 10.1.1.1/24 [RTA]interface Tunnel 0/0/1 [RTA-Tunnel0/0/1]keepalive period 3 [RTA-Tunnel0/0/1]quit 执行keepalive [ period period [ retry-times retry-times ] 命令,可以在GRE隧道接口启用Keepalive检测功能。其中,period参数指定Keepalive检测报文的发送周期,默认值为5秒;retry-times参数指定Keepalive检测报文的重传次数,默认值为3。如果在指定的重传次数内未收到对端的回应报文,则认为隧道两端通信失败,GRE隧道将被拆除。

配置验证 [RTA]display interface Tunnel 0/0/1 Tunnel0/0/1 current state : UP Line protocol current state : DOWN Description:HUAWEI, AR Series, Tunnel0/0/1 Interface Route Port, The Maximum Transmit Unit is 1476 Internet Address is 40.1.1.1/24 Encapsulation is TUNNEL, loopback not set Tunnel source 20.1.1.1 (GigabitEthernet0/0/1), destination 20.1.1.2 Tunnel protocol/transport GRE/IP, key disabled keepalive enable period 3 retry-times 3 Checksumming of packets disabled …… 执行display interface tunnel命令,还可以查看GRE的Keepalive功能是否使能。本示例中,Keepalive检测功能的当前状态显示为启用,且报文的发送周期为3秒,重传次数为3次。

总结 GRE的应用场景有哪些? display interface tunnel命令显示的信息中会包含Internet Address和Tunnel source,这两者的区别是什么? GRE可以解决异种网络的传输问题;GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑;GRE可以与IPSec结合来实现加密传输组播数据。 Internet Address代表建立GRE隧道所用的虚拟隧道地址,Tunnel source表示隧道的起点,是设备的出接口物理地址。