GRE隧道也能实现两端配置相同子网了,快来看看!

最新推荐文章于 2023-10-18 11:07:27 发布
最新推荐文章于 2023-10-18 11:07:27 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: 网络技术 文章标签: ipsec GRE df mtu key
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/118913088
版权

前面用两篇文章介绍了GRE(Generic Routing Encapsulation,通用路由封装)协议,分别是()和()。首先回顾一下:

GRE协议用来对某种协议(如IP、MPLS、以太网)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络(如IP)中传输。封装前后数据报文的网络层协议可以相同,也可以不同。封装后的数据报文在网络中传输的路径,称为GRE隧道。GRE隧道是一个虚拟的点到点的连接,其两端的设备分别对数据报文进行封装及解封装。

先配置一个简单的“GRE over IPv4隧道”实验。

组网需求

RT2和RT4分别连接IPv4私有网络SUBNET 1和SUBNET 5。这两个私有网络都使用私网地址。通过在RT2和RT4之间建立GRE隧道,实现两个私有网络的互联。

组网拓扑

配置步骤

GRE的配置比较简单,一般只有两步:

1、配置GRE隧道。配置隧道接口地址,并指定隧道接口的源目端地址即可。

2、配置路由将流量引到隧道接口。

各设备配置命令如下:

RT2

#

 sysname RT2

#

interface GigabitEthernet0/0

ip address 192.168.1.2 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.2 255.255.255.0

#

interface Tunnel0 mode gre

 ip address 1.1.1.2 255.255.255.0

 source 23.1.1.2

 destination 34.1.1.4

#

 ip route-static 34.1.1.0 24 23.1.1.3

 ip route-static 192.168.5.0 24 Tunnel0

RT-ISP

#

interface GigabitEthernet0/0

ip address 34.1.1.3 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.3 255.255.255.0

RT4

#

 sysname RT4

#

interface GigabitEthernet0/0

ip address 192.168.5.4 255.255.255.0

#

interface GigabitEthernet0/1

ip address 34.1.1.4 255.255.255.0

#

interface Tunnel0 mode gre

 ip address 1.1.1.4 255.255.255.0

 source 34.1.1.4

 destination 23.1.1.2

#

 ip route-static 23.1.1.0 24 34.1.1.3

 ip route-static 192.168.1.0 24 Tunnel0

验证配置

查看RT2设备Tunnel口状态。

可以看到有几个相对关键的指标项:

1、MTU为1476字节;

2、隧道keepalive功能未开启,开启命令如下:

3、隧道TTL值为255;

4、GRE over IPv4隧道中安全功能key未设置,开启命令如下。如果开启,需要保证两端配置相同;

5、GRE over IPv4隧道中安全功能checksum未设置,开启命令如下;

6、除上述机箱之外,还可以设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。命令为:

tunnel dfbit enable

验证一下MTU。

可以发现,实际能通过的最大报文大小为1444字节。抓个包分析一下。

可以看到报文的封装结构为[以太网包头][外层IPv4包头][GRE封装][内层IPv4包头][ICMP报文],其中[外层IPv4包头]长度为20字节,[GRE封装]长度为8字节,[内层IPv4包头]长度为20字节。得益于没有加密,我们可以清楚看到每层报文的数据结构,[内层IPv4包头]和[外层IPv4包头]封装结构完全一致。ICMP数据段长度为1444字节,封装8字节ICMP报文头,再封装20字节[内层IPv4包头],总长度正好1472字节。

这里我额外增加了校验和的配置,可以看到[GRE封装]中校验和相关字段的差异。

验证KEY加密

因为没有加密,所以能看到完整的数据报文,那设置GRE KEY能不能对数据进行加密呢?

配置一下,发现这个KEY只能是数字。

查看接口状态,能直接看到key的值,不知道这算不算不安全。

如果两端设置的key不一致,不会有错误提示,接口状态也不会协议DOWN,但是业务确实中断了。

好,接下来我们把两边设置成相同的key,验证一下。

连通性正常。抓个包看一下数据是否加密。

啊,亮瞎了我的狗眼。密码是明文显示的,数据依旧是明文显示的。这个GRE确实方便,但是安全性有待提高啊。

验证两端同子网

跟测试IPsec一样,我们试一下两端相同子网能不能互通。

很棒,跟上次配置相同,能实现两端配置相同子网的互通,而且可以看到traceroute路径。

验证隧道DF

在RT2设备上开启DF位标志,验证发现能通过的数据包长度少了4个。

这是什么原因?抓个包看一眼。

好像也没什么,只是开了DF之后,MTU就小了4字节。

总结

1、GRE的配置确实很简单,简单到几条命令就能实现;

2、GRE的安全性确实比较差,差到验证隧道的密钥都是明文传输的,而且对封装的数据报文没有任何加密措施;

3、GRE隧道中如果开启不允许分片,会导致MTU变为1468字节;

4、GRE封装和VXLAN封装的MTU都是1472字节,要是你,你怎么选择?

Danileaf_Guo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
Linux网络虚拟化之gre-连接两个子网
山不转的博客
03-12 3431
        实验如何通过Linux的gre虚拟网络设备实现子网连接。1.需求        假设有如下图1所示之需求:                                                                                       图1上图中局域网1位于上海,局域网2位于南京,两个网络都通过路由器接入公用网络。模拟这个网络环境,并通过...
配置GRE隧道实现IPv6网络互联.pdf
02-01
GRE隧道实现IPv6网络互联 在本节中,我们将讨论如何使用GRE隧道技术实现IPv6网络互联。该技术允许IPv6设备通过IPv4网络连接到其他IPv6设备。我们将从基本概念开始,详细讨论GRE隧道配置实现步骤。 GRE隧道技术...
防火墙——GRE隧道讲解
m0_49864110的博客
05-19 8412
对端设备访问公网时,也会进行GRE封装,目的地址为tunnel接口的目的地址(也就是对端公网地址),再次进行GRE封装;解决了跨越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)GRE隧道配置后,只要有到达隧道配置的目的地址的路由(无论是否可达),隧道口都会激活。GRE(通用路由封装)是一种三层隧道封装技术,可以对某些网络层协议的报文进行封装。“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输。封装后的报文在新网络中传输时所使用的网络协议。
转:MSR系列路由器GRE隧道基础配置
w468917145的专栏
10-20 929
一、组网需求:Router A 、Router B两台路由器通过公网用GRE实现私网互通。设备清单:MSR系列路由器2台二、组网图:三、配置步骤:适用设备和版本:MSR系列、Version 5.20, Beta 1105后所有版本。Router A 配置#interface LoopBack1 ip address 11.
相同子网IPSec ×××通信
bixi6950的博客
06-19 646
www.hand-well.com.cn相同子网IPSec ×××通信一、网络场景:两地出口部署有飞塔防火墙201E和80C,两地内网都使用出厂网段192.168.1.0/24分配地址给用户上网,存在两地子网重叠的问题。现想通过×××隧道打通两端内网,实现201E内网用户可以访问到80C下的服务器资源:192.168.1.111。二、配置步骤:1、 建立ipsec 隧道ipsec 隧道无...
TCP/IP路由协议-OSPF下配置GRE隧道解决不连续区域0/无区域0
鬼刺
06-24 1510
1- 引言 区域间通信问题除了可以使用虚链路解决,还可以配置GRE隧道来解决。 实验拓扑如下图:需要在R1和R3之间创建隧道,并将隧道宣告为area 0 2- 实验操作 基本配置 R1: config t inter lo 0 ip add 100.100.100.100 255.255.255.0 inter f 0/0 no shut ip add 12.1.1.1 255.255.2...
配置GRE TUNNEL 连接两个局域网
weixin_30621919的博客
01-03 511
网络模型G1autoeth0ifaceeth0inetstaticaddress172.16.4.121netmask255.255.0.0gateway172.16.1.1autoeth1ifaceeth1inetstaticaddress192.168.10.1netmask255.255.255.0G2$cat/etc/sysconfig/ne...
Cisco路由器配置GRE隧道.docx
07-12
Cisco路由器配置GRE隧道 路由封装(GRE)最早是由Cisco提出的,而目前它已经成为了一种标准,被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说,GRE就是一种隧道协议,用来从一个网络向另一个网络传输数据包。 ...
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
案例实战交换机Trunk隧道技术应用
herlin的专栏
04-22 1228
场景描述:VLAN创建的问题    某平面广告公司原有20多名员工,共有19个客户端计算机接入了公司的交换机。广告公司公司规模较小,并且没有配网络管理员,公司的网络由集成商组建后一直比较稳定的运行着。由于业务的拓展,公司从平面广告业务发展到影视制作等多种媒介资源的为一体的企业。各个部门都招聘了员工,人员从20多名增加到40多名,客户端计算机的数量也翻了一倍,原有的24口交换机已经不能满足现在的需求
GRE 通用路由封装(GRE, Generic Routing Encapsulation)应用场景 以及配置
zszfs的博客
09-21 1670
GRE 通用路由封装(GRE, Generic Routing Encapsulation) 应用场景 以及配置
H3C GRE over ipsec配置
qq_23930765的博客
11-13 2684
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle。三:这种方式下的IPSEC,后续网段变动时,只需要配置不同的静态路由指向GRE Tunnle口,IPsec配置无需改变,适合私网地址较大的拓扑。一:注意loopback口的建立,和GRE封装时的源目地址保持一致,而不是GRE Tunnle的ip地址。以及IPsec的安全ACL匹配的是GRE封装之后的源目地址。
gre的原理与配置
jkwanga的博客
07-22 4230
一,gre理解 gre是一种传统的隧道协议技术,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,实际上可以看作是虚拟的 点到点 连接的效果。 隧道是一种封装技术,利用一种网络协议来传输另外一种网络协议,说百了就是利用一种网络协议将其它的协议封装在自己的报文中。如下图是gre的封装过程 二,linux下gre的创建 为两台服务器配置GRE隧道隧道地址使用下。x.x.x.x/x网段。使得两台Linux的内网卡相互通信,从而打通两个内网,使得两个内网成为一个局域网。 192.16
华三H3C-GRE隧道
最新发布
bfq05234214的博客
10-18 878
H3C-GRE隧道
GRE原理与配置
darkqaz的博客
11-29 6065
文章目录前言GRE的基本概念 前言   IPSec VPN用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量。   通用路由封装协议GRE(Generic Routing Encapsulation)提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全 GRE的基本概念 作用:能够将一种协议报文封装另外一种协议的报文当中进行传输,
GRE OVER MPLS 配置实例
weixin_33726943的博客
06-07 307
R1#show run Building configuration... Current configuration : 1126 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service pa...
GRE解决异种网络
1mih的博客
08-11 622
GRE解决异种网络实验 实验拓扑如图,实验需求如下: 要求R1与R3建立GRE隧道隧道地址2020:130::64,并能使PC1与PC2能够相互通信 第一步,先进行各设备的IPV4/IPV6地址配置: [r4]ipv6 [r4]int g 0/0/0 [r4-GigabitEthernet0/0/0]ipv6 enable [r4-GigabitEthernet0/0/0]ipv6 add 2020:110::4 6...
gre隧道配置ospf
10-11
要在GRE隧道配置OSPF,需要在两端的路由器上分别进行操作,具体步骤如下: 1. 在两端路由器上创建GRE隧道,并启用IP路由和OSPF协议。 2. 在隧道两端的接口上配置IP地址。 3. 在两端路由器上配置OSPF协议,包括指定区号、配置网络地址和启用OSPF协议。 以下是一个示例配置: 路由器A配置: interface Tunnel0 ip address 192.168.1.1 255.255.255.0 ip ospf network point-to-point tunnel source GigabitEthernet0/0 tunnel destination 10.1.1.2 router ospf 10 network 192.168.1.0 0.0.0.255 area 0 路由器B配置: interface Tunnel0 ip address 192.168.1.2 255.255.255.0 ip ospf network point-to-point tunnel source GigabitEthernet0/0 tunnel destination 20.1.1.1 router ospf 10 network 192.168.1.0 0.0.0.255 area 0

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值