ip tunnel 隧道技术

最新推荐文章于 2024-05-30 12:34:51 发布
最新推荐文章于 2024-05-30 12:34:51 发布
阅读量1.1w 收藏 39
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/110823366
版权
本文详细介绍了Linux系统中IP隧道技术的三种类型:ipip、gre和sit,以及如何配置GRE隧道来实现跨公网的网络互通。通过在两台虚拟机上设置不同网络环境,演示了GRE隧道的创建、路由配置和防火墙规则调整,从而实现两台主机私有网络的通信。此外,还讨论了在存在第三台主机时如何通过NAT实现从公网访问私有网络的场景。
摘要由CSDN通过智能技术生成

一、IP隧道技术

IP隧道技术:是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。IP 隧道(IP tunneling)是将一个IP报文封装在另一个IP报文的技术,这可以使得目标为一个IP地址的数据报文能被封装和转发到另一个IP地址。IP隧道技术亦称为IP封装技术(IP encapsulation)。IP隧道主要用于移动主机和虚拟私有网络(Virtual Private Network),在其中隧道都是静态建立的,隧道一端有一个IP地址,另一端也有唯一的IP地址。移动IPv4主要有三种隧道技术,它们分别是:IP in IP、最小封装以及通用路由封装。更多信息可以参看百度百科:IP隧道 和 隧道技术 。

Linux系统内核实现的IP隧道技术主要有三种(PPP、PPTP和L2TP等协议或软件不是基于内核模块的):ipip、gre、sit 。这三种隧道技术都需要内核模块 tunnel4.ko 的支持。

  • ipip 需要内核模块 ipip.ko ,该方式最为简单!但是你不能通过IP-in-IP隧道转发广播或者IPv6数据包。你只是连接了两个一般情况下无法直接通讯的IPv4网络而已。至于兼容性,这部分代码已经有很长一段历史了,它的兼容性可以上溯到1.3版的内核。据网上查到信息,Linux的IP-in-IP隧道不能与其他操作系统或路由器互相通讯。它很简单,也很有效。
  • GRE 需要内核模块 ip_gre.ko ,GRE是最初由CISCO开发出来的隧道协议,能够做一些IP-in-IP隧道做不到的事情。比如,你可以使用GRE隧道传输多播数据包和IPv6数据包。
  • sit 他的作用是连接 ipv4 与 ipv6 的网络。个人感觉不如gre使用广泛 

三个模块的信息如下:

  1. # sit模块 
    [root@localhost ~]# modinfo sit
filename:       /lib/modules/3.10.0-1127.el7.x86_64/kernel/net/ipv6/sit.ko.xz
alias:          netdev-sit0
alias:          rtnl-link-sit
license:        GPL
retpoline:      Y
rhelversion:    7.8
srcversion:     8FEAE2838076CA07D989A03
depends:        ip_tunnel,tunnel4
intree:         Y
vermagic:       3.10.0-1127.el7.x86_64 SMP mod_unload modversions 
signer:         CentOS Linux kernel signing key
sig_key:        69:0E:8A:48:2F:E7:6B:FB:F2:31:D8:60:F0:C6:62:D8:F1:17:3D:57
sig_hashalgo:   sha256
parm:           log_ecn_error:Log packets received with corrupted ECN (bool)

     

  2. # ipip模块 
    [root@localhost ~]# modinfo ipip
filename:       /lib/modules/3.10.0-1127.el7.x86_64/kernel/net/ipv4/ipip.ko.xz
alias:          netdev-tunl0
alias:          rtnl-link-ipip
license:        GPL
retpoline:      Y
rhelversion:    7.8
srcversion:     8032CC3EDB2F63D42025A07
depends:        ip_tunnel,tunnel4
intree:         Y
vermagic:       3.10.0-1127.el7.x86_64 SMP mod_unload modversions 
signer:         CentOS Linux kernel signing key
sig_key:        69:0E:8A:48:2F:E7:6B:FB:F2:31:D8:60:F0:C6:62:D8:F1:17:3D:57
sig_hashalgo:   sha256
parm:           log_ecn_error:Log packets received with corrupted ECN (bool)
  3. # ip_gre模块 
    [root@localhost ~]# modinfo ip_gre
filename:       /lib/modules/3.10.0-1127.el7.x86_64/kernel/net/ipv4/ip_gre.ko.xz
alias:          netdev-gretap0
alias:          netdev-gre0
alias:          rtnl-link-gretap
alias:          rtnl-link-gre
license:        GPL
retpoline:      Y
rhelversion:    7.8
srcversion:     8D93B95BDB2B52FA2B08958
depends:        ip_tunnel,gre
intree:         Y
vermagic:       3.10.0-1127.el7.x86_64 SMP mod_unload modversions 
signer:         CentOS Linux kernel signing key
sig_key:        69:0E:8A:48:2F:E7:6B:FB:F2:31:D8:60:F0:C6:62:D8:F1:17:3D:57
sig_hashalgo:   sha256
parm:           log_ecn_error:Log packets received with corrupted ECN (bool)

     

实验环境

ip tunnel 配置 Vmware 添加2个网卡,一个是桥接,一个是私有

hostA:

[root@localhost ~]# ip address add 10.10.1.20/24 dev ens33
[root@localhost ~]# ip address add 192.168.1.2/24 dev ens37
[root@localhost ~]# ip link set dev ens33 up
[root@localhost ~]# ip link set dev ens37 up
[root@localhost ~]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:f9:78:c3 brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.20/24 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fef9:78c3/64 scope link 
       valid_lft forever preferred_lft forever
3: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:f9:78:cd brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 scope global ens37
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fef9:78cd/64 scope link 
       valid_lft forever preferred_lft forever

hostB: 

[root@localhost ~]# ip address add 10.10.1.21/24 dev ens38
[root@localhost ~]# ip address add 192.168.2.2/24 dev ens39
[root@localhost ~]# ip link set dev ens33 up
[root@localhost ~]# ip link set dev ens37 up
[root@localhost ~]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
8: ens38: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:d0:47:fb brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.21/24 scope global ens38
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fed0:47fb/64 scope link 
       valid_lft forever preferred_lft forever
9: ens39: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:d0:47:05 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.2/24 scope global ens39
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fed0:4705/64 scope link 
       valid_lft forever preferred_lft forever

实际应用中,以上提到的三种ip tunnel 技术和VPN技术一样,多用于跨公网的网络中(当然跨网段的内网环境也适用)。如上所示,我搞了两台虚机,其中ens33和ens38网段就类似于常见的公网网络。 ens37和ens39网络为各自的私网 。最终实现效果是实现两台主机的 ens37和ens39网络可以互通。这里测试中使用的是基于gre模式进行的实现,如果使用ipip、sit,只需要把modprobe后面的模块换掉,把ip tunnel 命令中mode后面的字符替换掉即可。

[root@localhost ~]# ping 10.10.1.21
PING 10.10.1.21 (10.10.1.21) 56(84) bytes of data.
64 bytes from 10.10.1.21: icmp_seq=1 ttl=64 time=0.809 ms
^C
--- 10.10.1.21 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.809/0.809/0.809/0.000 ms
[root@localhost ~]# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.015 ms
^C
--- 192.168.1.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.015/0.015/0.015/0.000 ms
[root@localhost ~]# ping 192.168.2.2
connect: Network is unreachable

 

实验目的

在host A和host B之间建里gre隧道,另外在机器A 上面配置 192.168.1.2, 在机器B上面配置192.168.2.2 ,然后在A上面能够ping -I 192.168.1.2 192.168.2.2 能够通

实验步骤

1、在host A(10.10.1.20)上面操作

[root@localhost ~]# ip tunnel add ipiptun mode gre remote 10.10.1.21  local 10.10.1.20 ttl 64 dev ens33
[root@localhost ~]# ip addr add dev ipiptun 192.168.1.2/24 peer 192.168.2.2/24
[root@localhost ~]# ip link set dev ipiptun up
[root@localhost ~]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:f9:78:c3 brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.20/24 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fef9:78c3/64 scope link 
       valid_lft forever preferred_lft forever
3: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:f9:78:cd brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 scope global ens37
       valid_lft forever preferred_lft forever
    inet 192.168.13.131/24 brd 192.168.13.255 scope global dynamic ens37
       valid_lft 1344sec preferred_lft 1344sec
    inet6 fe80::20c:29ff:fef9:78cd/64 scope link 
       valid_lft forever preferred_lft forever
8: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
9: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
10: ipiptun@ens33: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN group default qlen 1000
    link/gre 10.10.1.20 peer 10.10.1.21
    inet 192.168.1.2 peer 192.168.2.2/24 scope global ipiptun
       valid_lft forever preferred_lft forever
    inet6 fe80::5efe:a0a:114/64 scope link 
       valid_lft forever preferred_lft forever
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 ipiptun

如果没有路由信息需要手动填写,也是ping不通的

[root@localhost ~]# ip route del 192.168.2.0/24 dev ipiptun
[root@localhost ~]# ping -I 192.168.1.2 192.168.2.2
PING 192.168.2.2 (192.168.2.2) from 192.168.1.2 : 56(84) bytes of data.
ping: sendmsg: Network is unreachable
ping: sendmsg: Network is unreachable
ping: sendmsg: Network is unreachable

 添加路由

[root@localhost ~]# ip route add 192.168.2.0/24 dev ipiptun  #路由ip和ipiptun同网段可不写路由ip ,此时就是0.0.0.0,网关可以是任意主机任意ip只要能ping通就可以。
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 ipiptun

防火墙相关,两边互ping发现可以ping ,即为实验成功。这里需要注意iptables项,执行iptables -F是必须的,不然两边不通。如果在需要开启防火墙的情况下,也可以执行如下步骤:

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -I INPUT -p gre -j ACCEPT
或
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i ens33 -p gre -j ACCEPT (rhel7下默认使有的firewalld)

2、在host B(10.10.1.21)上面操作

[root@localhost ~]# ip tunnel add ipiptun mode gre remote 10.10.1.20  local 10.10.1.21 ttl 64 dev ens38
[root@localhost ~]# ip addr add dev ipiptun 192.168.2.2/24 peer 192.168.1.2/24
[root@localhost ~]# ip link set dev ipiptun up
[root@localhost ~]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
8: ens38: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:d0:47:fb brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.21/24 scope global ens38
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fed0:47fb/64 scope link 
       valid_lft forever preferred_lft forever
9: ens39: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:d0:47:05 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.2/24 scope global ens39
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fed0:4705/64 scope link 
       valid_lft forever preferred_lft forever
10: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
11: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
12: ipiptun@ens38: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN group default qlen 1000
    link/gre 10.10.1.21 peer 10.10.1.20
    inet 192.168.2.2 peer 192.168.1.2/24 scope global ipiptun
       valid_lft forever preferred_lft forever
    inet6 fe80::5efe:a0a:115/64 scope link 
       valid_lft forever preferred_lft forever
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 ens38
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ipiptun
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 ens39

 如果没有路由信息需要手动填写

[root@localhost ~]# ip route del 192.168.1.0/24 dev ipiptun
[root@localhost ~]# ping -I 10.10.1.21 192.168.1.2
PING 192.168.1.2 (192.168.1.2) from 10.10.1.21 : 56(84) bytes of data.
ping: sendmsg: Network is unreachable
ping: sendmsg: Network is unreachable
^C
--- 192.168.1.2 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

 添加路由

[root@localhost ~]# ip route add 192.168.1.0/24 dev ipiptun  #路由ip和ipiptun同网段可不写路由ip ,此时就是0.0.0.0,网关可以是任意主机任意ip只要能ping通就可以。
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ipiptun
防火墙相关,两边互ping发现可以ping ,即为实验成功。这里需要注意iptables项,执行iptables -F是必须的,不然两边不通。如果在需要开启防火墙的情况下,也可以执行如下步骤: 
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -I INPUT -p gre -j ACCEPT
或
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i ens38 -p gre -j ACCEPT (rhel7下默认使有的firewalld)

实验结果

在host A(10.10.1.20)上面操作

[root@localhost ~]# ping -I 192.168.1.2 192.168.2.2 -c 4
PING 192.168.2.2 (192.168.2.2) from 192.168.1.2 : 56(84) bytes of data.
64 bytes from 192.168.2.2: icmp_seq=1 ttl=64 time=0.411 ms
64 bytes from 192.168.2.2: icmp_seq=2 ttl=64 time=1.07 ms
64 bytes from 192.168.2.2: icmp_seq=3 ttl=64 time=1.03 ms
64 bytes from 192.168.2.2: icmp_seq=4 ttl=64 time=1.02 ms

--- 192.168.2.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms

在host B(10.10.1.21)上面操作

[root@localhost ~]# ping -I 192.168.2.2 192.168.1.2 -c 4
PING 192.168.1.2 (192.168.1.2) from 192.168.2.2 : 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.943 ms

--- 192.168.1.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.943/0.943/0.943/0.000 m

host C:

假如这边还有台主机host C,host C主机只有一块网卡,其IP为10.10.1.22,和host A主机同在ens33网段,可以将a主机配置为一个简单的种由器,其可以访问b主机的IP 192.168.2.2 。只需要在host A主机中做如下配置即可。


echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I POSTROUTING -o ipiptun  -j MASQUERADE  #此处注意一定是ipiptun这个网卡,也就是说网络在哪个网卡就写那个网卡,MASQUERADE 比SNAT能自动学习网卡的IP变化

注意:该场景下,需要将C主机的网关指向a主机 。

[root@localhost ~]# ip route add 192.168.2.0/24 via 10.10.1.20 dev ens33

[root@gitlab ~]# ping 192.168.2.2 -c 4
PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
64 bytes from 192.168.2.2: icmp_seq=1 ttl=63 time=1.58 ms
64 bytes from 192.168.2.2: icmp_seq=2 ttl=63 time=1.97 ms
64 bytes from 192.168.2.2: icmp_seq=3 ttl=63 time=2.20 ms
64 bytes from 192.168.2.2: icmp_seq=4 ttl=63 time=1.91 ms

--- 192.168.2.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.586/1.919/2.203/0.222 ms



[root@gitlab ~]# ip route add 192.168.1.0/24 via 10.10.1.20 dev ens33
[root@gitlab ~]# ping 192.168.1.2 -c 4
PING 192.168.1.2  (192.168.1.2 ) 56(84) bytes of data.
64 bytes from 192.168.1.2 : icmp_seq=1 ttl=63 time=1.58 ms
64 bytes from 192.168.1.2 : icmp_seq=2 ttl=63 time=1.97 ms

--- 192.168.1.2  ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.586/1.919/2.203/0.222 ms

 

 

还原实验环境

在host A(10.10.1.20)执行

[root@localhost ~]# ip link set dev ipiptun down
[root@localhost ~]# ip tunnel del ipiptun
[root@localhost ~]# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:c3 brd ff:ff:ff:ff:ff:ff
3: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:cd brd ff:ff:ff:ff:ff:ff
8: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
9: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff


在host B(10.10.1.21)上面操作

[root@localhost ~]# ip link set dev ipiptun down
[root@localhost ~]# ip tunnel del ipiptun
[root@localhost ~]#  ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
8: ens38: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:d0:47:fb brd ff:ff:ff:ff:ff:ff
9: ens39: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:d0:47:05 brd ff:ff:ff:ff:ff:ff
10: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
11: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff

最后还有一个gre0,不能用
ip link set gre0 down
ip tunnel del gre0
上面两个命令删除,否则会报错

[root@localhost ~]# ip link set dev gre0 down
[root@localhost ~]# ip tunnel del gre0
delete tunnel "gre0" failed: Operation not permitted
[root@localhost ~]# ip link delete dev gre0
[root@localhost ~]# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:c3 brd ff:ff:ff:ff:ff:ff
3: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:cd brd ff:ff:ff:ff:ff:ff
8: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
9: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
[root@localhost ~]#

2台机器一样操作,需要按照下面的命令删除:

[root@localhost ~]# lsmod|grep gre
ip_gre                 22749  0 
gre                    13144  1 ip_gre
ip_tunnel              25163  1 ip_gre
[root@localhost ~]# rmmod ip_gre
[root@localhost ~]# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:c3 brd ff:ff:ff:ff:ff:ff
3: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:f9:78:cd brd ff:ff:ff:ff:ff:ff

=======================================================================================================

需求

有2个相互隔离的网络,拓扑见下图。ServerA想直接访问到ServerB连接的私有网络

                                                  |
            10.10.1.20             10.10.1.21     |
            +---------+  Public   +---------+     | Private
            | ServerA +-----------+ ServerB +-----+
            +---------+  Network  +---------+     | Network
                                                  |
                                                  | 192.168.1.0/24

实现

通过ip tunnel建立ipip隧道,再通过iptables进行nat,便可以实现。
Step 1. 建立ip隧道
ServerA(10.10.1.20),tun0(192.168.1.2)配置iptunnel,并给tunnel接口配置上ip

ip tunnel add tun0 mode ipip remote 10.10.1.21 local 10.10.1.20
ifconfig tun0 192.168.2.2 netmask 255.255.255.0

ServerB配置iptunnel,并给tunnel接口配置上ip

ip tunnel add tun0 mode ipip remote 10.10.1.20 local 10.10.1.21
ifconfig tun0 192.168.2.3 netmask 255.255.255.0

隧道配置完成后,请在ServerA上192.168.2.3,看是否可以ping通,ping通则继续,ping不通需要再看一下上面的命令执行是否有报错

Step 2. 添加路由和nat
ServerA上,添加到192.168.1.0/24的路由,意思就是说ServerA方位192.168.1.0网段的主机通过ServerB(192.168.2.3) ip 转发出去。此时ServerB(192.168.2.3)的IP就是ServerA的网关

route add -net 192.168.1.0/24 gw 192.168.2.3

ServerB上,添加iptables nat,将ServerA过了访问192.168.1.0/24段的包进行NAT,并开启ip foward功能

sysctl -w net.ipv4.ip_forward=1
sed -i '/net.ipv4.ip_forward/ s/0/1/'  /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 192.168.2.2 -d 192.168.1.0/24 -j MASQUERADE

 至此,完成了两端的配置,ServerA可以直接访问ServerB 所接的私网了

 

 

参考

http://www.opstool.com/article/183

https://www.cnblogs.com/weifeng1463/p/6805856.html

https://docs.oracle.com/cd/E26926_01/html/E25874/gepbe.html

https://wiki.linuxfoundation.org/networking/tunneling

https://www.cnblogs.com/0pandas0/p/12005218.html

https://wenku.baidu.com/view/79da02ed172ded630b1cb621.html

 

 

 

 

 

 

 

 

 

 

 

Michaelwubo
关注
  • 10
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IP隧道技术
09-02
详解IP隧道 不错的资料 很好理解 方便学习 不错哈
linux ip隧道配置手册
11-10
GRE(Generic Routing Encapsulation)隧道是一种IP-over-IP隧道技术,它通过在现有的网络层协议(如IPv4或IPv6)之上建立一个封装层来实现数据包的安全传输。这种封装层允许将一种网络层协议的数据包封装到另一种...
Linux - 虚拟网络设备- TUN,TAP,ip tunnel
vertor11的博客
09-12 5171
引用 Tun/Tap interface tutorial 什么是IP隧道,Linux怎么实现隧道通信? Linux内核网络设备--TUN. TAP设备 一. concep TUN设备:一种虚拟网络设备,点对点的设备。三层设备,即处理的是IP数据包。不需要物理地址,即不需要ARP。用于创建路由。因为通过读写/dev/tun设备可以直接从协议栈的三层读写ip包,所以tun设备常用于vpn、tunnelipsec之类的。 TAP设备:一种虚拟网络设备,ethernet以太网设备。二层设备,即处...
网络安全学习基础:IP隧道技术详解
最新发布
weixin_38055730的博客
05-30 479
IP隧道技术作为网络安全和网络传输的重要组成部分,其复杂性和多样性要求学习者不仅掌握理论基础,还需不断实践操作和深入理解其背后的逻辑。通过上述要点的掌握、注意难点及注意事项,您将能更有效地利用隧道技术于网络安全和网络架构中,解决实际问题,提升网络的灵活性和安全性。
LVS IP隧道模式(IP Tunneling)
会哭的雨@的博客
11-05 1972
一、 IP隧道模式 ip隧道是一个将ip报文封装到另一个ip报文的技术,这可以使得目标为一个ip地址的数据报文被封装和转发到另一个ip地址。ip隧道技术也成为ip封装技术。 它和NAT模式不同的是,它在LB和RS之间的传输不用改写IP地址(添加新的IP头)。而是把客户请求包封装在一个IP tunnel里面,然后发送给RS节点服务器,节点服务器接收到之后解开IP tunnel后,进行响应处理。并且直接把包通过自己的外网地址发送给客户不用经过LB服务器。IP隧道技术主要用于移动主机和虚拟私有网络(Virtu
IP 隧道技术:基础篇
热门推荐
IT老兵
06-08 1万+
IP 隧道技术:基础篇 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。   被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经
TUN(IP Tunneling)介绍
LieBrother
03-22 4015
通过IP隧道实现虚拟服务器(VS/TUN) 在VS/NAT 的集群系统中,请求和响应的数据报文都需要通过负载调度器,当真实服务器的数目在10台和20台之间时,负载调度器将成为整个集群系统的新瓶颈。大多数 Internet服务都有这样的特点:请求报文较短而响应报文往往包含大量的数据。如果能将请求和响应分开处理,即在负载调度器中只负责调度请求而响应直 接返回给客户,将极大地提高整个集群系统的吞吐量。
IP隧道技术原理
渡江客涂鸦板
07-27 1254
在VPN中,IP隧道技术可以将私有网络中的数据包封装在公共网络的数据包中进行传输,从而保证数据的安全性和可靠性。IP隧道技术的原理是将一个协议的数据包封装在另一个协议的数据包中进行传输。这样做的好处是可以在不支持IPv6的网络中传输IPv6数据包,同时也可以在IPv6网络中传输IPv4数据包。除了在VPN中,IP隧道技术还可以用于IPv6的部署。发送端将要传输的数据包封装在隧道协议的数据包中,然后将封装后的数据包发送给接收端。IP隧道技术是一种将一个协议的数据包封装在另一个协议的数据包中进行传输的技术。
LVS-IPTUNNEL安装文档及介质
04-23
IPTUNNEL是LVS中的一种工作模式,通过IP隧道技术实现负载均衡。 在LVS-IPTUNNEL的环境中,主要涉及以下组件和技术: 1. **LVS工作模式**:IPTUNNEL(也称为NAT模式或TUN模式)是一种网络层的负载均衡方式。在这个...
ipip隧道详细配置
03-11
在IT网络领域,IP隧道技术是一种重要的数据传输方式,它能够在不同的网络之间建立虚拟的连接,使得数据包能够像在本地网络中一样进行传输。其中,“ipip隧道”是一种基于Internet Protocol (IP)的隧道技术,它允许在...
IP新技术专题2019
04-17
### IP新技术专题2019:VXLAN与Overlay技术详解 #### 1. VXLAN技术概述 ##### 1.1 定义与背景 VXLAN(Virtual Extensible Local Area Network)是一种采用MAC in UDP封装方式的网络虚拟化技术,属于NVO3(Network...
全自动隧道IP
03-04
隧道模拟控制
配置GRE隧道实现IPv6网络互联.pdf
02-01
* GRE隧道技术:GRE隧道技术是使用IP隧道协议来encapsulate IPv6数据包,使其可以通过IPv4网络传输。该技术允许IPv6设备通过IPv4网络连接到其他IPv6设备。 * IPv6地址规划:IPv6地址规划是指IPv6地址的分配和管理。...
ip tunnel
weixin_33753845的博客
08-16 217
| 1.1.1.12.2.2.2| +---------+Public+---------+|Private |ServerA+---------...
IP隧道
simon的博客
07-24 180
IP隧道 ![](https://leanote.com/api/file/getImage?fileId=5975c625ab64415d84001724) 网络A、B使用IPv6,如果处于中间位置的网络C支持使用IPv4的话,网络A与网络B之间将无法直接进行通信。为了让它们之间正常通信,这时必须得采用IP隧道的功能。 IP隧道中可以将那些从网络...
通过IP隧道实现虚拟服务器(VS/TUN)
weixin_42730504的博客
09-17 696
实验环境: Server1(调度器):eth0:172.25.81.1/24 tunl0:172.25.81.100/24 Realserver: Server2(服务器):eth0:172.25.81.2 tunl0:172.25.81.100/24 Server3(服务器):eth0:172.25.81.3 tunl0:172.25.81.100/24 Client:172.25.81.250...
ip隧道模式
一个神奇美妙的名字
12-12 260
DR进行绑定,绑ip隧道 ifconfig tunl0 192.168.199.250 broadcast 192.168.199.250netmask 255.255.255.0 up ifconfig. 查看tunl0是否存在 添加路由 route add -host 192.168.199.250 dev tunl0 再给其他的机器配置161 ifconfig tun...
理解Linux IPIP隧道
Crazy博客
05-29 1545
IPIP隧道是一种点对点的隧道协议,用于在IPv4网络上传输IPv4或IPv6数据包。IPIP隧道的工作原理是将源主机的IP数据包封装在一个新的IP数据包中,新的IP数据包的目的地址是隧道的另一端。在隧道的另一端,接收方将解封装原始IP数据包,并将其传递到目标主机。IPIP隧道可以在不同的网络之间建立连接,例如在IPv4网络和IPv6网络之间建立连接。
ipip隧道及其实现
我在CSND的日子
09-29 9574
IP隧道技术: 是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。 IP 隧道(IP tunneling)是将一个IP报文封装在另一个IP报文的技术,这可以使得目标为一个IP地址的数据报文能被封装和转发到另一个IP地址。IP隧道技术亦称为IP封装技术(IP encapsulation)。IP隧道主要用于移动主机和虚拟私有网络(Virtual Private...
linux ip隧道
11-11
Linux IP隧道是一种将IP数据包封装在另一个IP数据包中进行传输的技术。它可以用于连接两个不同的网络,或者在同一网络中连接两个远程主机。以下是两种常见的Linux IP隧道类型: 1. IPIP隧道:IPIP隧道是一种将IPv4数据包封装在IPv4数据包中进行传输的技术。它可以用于连接两个IPv4网络,或者在同一IPv4网络中连接两个远程主机。以下是一个创建IPIP隧道的例子: ```bash 创建一个名为tun0的IPIP隧道,将本地IP地址设置为192.168.1.1,远程IP地址设置为192.168.2.1 sudo ip tunnel add tun0 mode ipip remote 192.168.2.1 local 192.168.1.1 # 启动隧道 sudo ip link set tun0 up # 添加路由表项,将目标网络192.168.2.0/24通过隧道发送 sudo ip route add 192.168.2.0/24 dev tun0 ``` 2. GRE隧道:GRE隧道是一种将任意协议的数据包封装在IPv4或IPv6数据包中进行传输的技术。它可以用于连接两个不同的网络,或者在同一网络中连接两个远程主机。以下是一个创建GRE隧道的例子: ```bash # 创建一个名为tun0的GRE隧道,将本地IP地址设置为192.168.1.1,远程IP地址设置为192.168.2.1 sudo ip tunnel add tun0 mode gre remote 192.168.2.1 local 192.168.1.1 # 启动隧道 sudo ip link set tun0 up # 添加路由表项,将目标网络192.168.2.0/24通过隧道发送 sudo ip route add 192.168.2.0/24 dev tun0 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值