一、GRE
GRE(Generic routing encapsulation)通用路由封装是一种隧道协议,能够在IP隧道中封装各种网络层协议的分组,从而创建虚拟点到点链路。GRE隧道并不提供加密服务,默认情况下以明文方式离开,所以通常使用GRE通过IPsec vpn隧道传输动态路由协议数据流。
GRE主要有以下特点:
- 机制简单,无需维持状态,对隧道两端设备的CPU负担小;
- 本身不提供数据的加密,如果需要加密,可以与IPSec结合使用;
- 不提供流量控制和QoS
GRE报文:
其中:
Payload (净荷): 系统接收到的需要封装和路由的原始数据报;
Passenger Protocol(乘客协议):报文封装之前所属的协议称为乘客协议
Encapsulation Protocol(封装协议): 用来封装乘客协议的协议称为封装协议,这里的GRE便是一个封装协议,也成为运载协议(Carrier Protocol);
Transport Protocol(传输协议):负责对封装后的报文进行转发的协议称为传输协议;不同于传输层协议。
GRE报文封装与解封装
报文封装
Router A连接Group 1的接口收到X协议报文后,首先交由X协议处理;
X协议检查报文头中的目的地址域来确定如何路由此包;
若报文的目的地址要经过Tunnel才能到达,则设备将此报文发给相应的Tunnel接口;
Tunnel接口收到此报文后进行GRE封装,在封装IP报文头后,设备根据此IP包的目的地址及路由表对报文进行转发,从相应的网络接口发送出去。
报文解封装
Router B从Tunnel接口收到IP报文,检查目的地址;
如果发现目的地是本路由器,则Router B剥掉此报文的IP报头,交给GRE协议处理(进行检验密钥、检查校验和及报文的序列号等);
GRE协议完成相应的处理后,剥掉GRE报头,再交由X协议对此数据报进行后续的转发处理。
随着报文的封装、解封装,会导致有效数据传输效率降低, 从而导致设备对GRE数据转发速率降低。
配置过程:
R1:
[r1]interface Tunnel 0/0/0 ----创建隧道接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24 ---该IP地址必须为私网IP
[r1-Tunnel0/0/0]tunnel-protocol gre ----定义封装方式
[r1-Tunnel0/0/0]source 12.0.0.1 ----定义封装内容,源IP
[r1-Tunnel0/0/0]destination 23.0.0.3 --目的IP
[r1]ip route-static 192.168.2.0 24 192.168.3.2 --去往r2私网网段的静态路由
R2:
[r2]interface Tunnel 0/0/0 ----创建隧道接口
[r2-Tunnel0/0/0]ip address 192.168.3.2 24 ---该IP地址必须为私网IP
[r2-Tunnel0/0/0]tunnel-protocol gre ----定义封装方式
[r2-Tunnel0/0/0]source 23.0.0.3 ----定义封装内容,源IP
[r2-Tunnel0/0/0]destination 12.0.0.1 --目的IP
[r1]ip route-static 192.168.1.0 24 192.168.3.1 --去往r1私网网段的静态路由
二、MGRE(多点GRE)
普通GRE的缺点:
多个局域网若使用普通的GRE来进行互通,建立形成一个整体网络时,tunnel数量成指数上升,路由表将变大,且不易管理;
普通的GRE为点到点网络类型;若将多个节点使用普通GRE连接起来,将配置大量的网段和路由信息,且所有节点为固定IP地址;
MGRE:
MGRE属于NBMA网络类型
MGRE又称DSVPN 自动智能VPN = MGRE + IPSEC
属于 NBMA 网络类型;
在所有要连通的网络之间仅需要构建一个MA网段即可;
且仅可以存在一个 固定的 IP地址,看作中心站点;
其他分支站点可以是动态的 IP地址,节省成本,便于管理;
MGRE技术全称为多点GRE技术,是基于GRE技术的升级版,GRE技术的弊端很明显,就是只能再两个点之间建立tunnel,如果有多个局域网需要建立自己的通信环境,那么就需要建立多个全互联形式的tunnel隧道,这样就会造成管理上的不方便和资源的占用,因此产生了MGRE技术。
原理:
1、中心站点,固定的公有ip地址;
2、tunnel配置完成,所有的分支站点将自己当下的信息发送给HUB,生成映射列表;
3、此时中心站点可以直接和所有的分支站点进行GRE通讯;
4、分支站点间直接GRE,通讯时,需要先到HUB节点,再由HUB转发给分支。
三:NHRP(下一跳解析协议)
至少存在一个中心站点;中心站点的 IP 地址必须固定;所有分支站点,在启动后将本地当下的物理接口 IP 地址发送到中心站点;中心站点生成 MAP(MAP中记录分支站点的公有 IP 与 Tunnel 接口的 IP 地址对应关系); 其他分支站点也可以到中心站点下载该 MAP;
存在服务端和客户端;服务端需要固定公有ip地址,客户端ip地址可变;客户端在本地公有ip变化后,主动向服务端进行注册;服务端生成 MAP,MAP 中记录客户端的公有 IP 与 Tunnel 接口的 IP 地址对应关系;若其他客户端需要访问另一个客户端,可以到服务端下载该 MAP;
配置:
中心站点r1配置
[r1] Tunnel0/0/0 创建tunnel口
[r1-Tunnel0/0/0] address 10.1.1.1 24 配置接口ip地址
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp 先修改接口模式为多点GRE
[r1-Tunnel0/0/0]source 100.1.1.1 再定义公有的源IP地址
[r1-Tunnel0/0/0]nhrp entry multicast dynamic 本地成为NHRP中心,同时可以进行伪广播
[r1-Tunnel0/0/0]nhrp network-id 100 默认为0号,该网段内所有节点tunnel接口必须为相同域
分支站点r3:
[r3]interface Tunnel0/0/0
[r3-Tunnel0/0/0]ip address 10.1.1.2 24
[r3-Tunnel0/0/0]tunnel-protocol gre p2mp
[r3-Tunnel0/0/0]source GigabitEthernet0/0/0 源为r3的0/0/0接口
[r3-Tunnel0/0/0]nhrp entry 10.1.1.1 100.1.1.1 register 分支需要到中心站点注册
[r3-Tunnel0/0/0]nhrp network-id 100
分支站点r4:
[r4]interface Tunnel0/0/0
[r4-Tunnel0/0/0]ip address 10.1.1.3 24
[r4-Tunnel0/0/0]tunnel-protocol gre p2mp
[r4-Tunnel0/0/0]source GigabitEthernet0/0/0 源为r4的0/0/0接口
[r4-Tunnel0/0/0]nhrp entry 10.1.1.1 100.1.1.1 register 分支需要到中心站点注册
[r4-Tunnel0/0/0]nhrp network-id 100
dis nhrp peer all 查看分支站点注册结果
1373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
