GRE VPN
VPN概述
概念:
在传统的企业网络中,进行远程访问的方法是租用DDN专线或帧中继,必然会导致高额的网络通信和维护费用.因此采用VPN技术.VPN称为虚拟专用网络,其实实质是利用加密技术在公网上封装出一个加密数据通信隧道.
总而言之,虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公网网络架设专用网络,通过加密\身份验证\访问控制列表等技术保证通道安全,通过对数据包目标地址的转换实现远程路由.
分类
-
功能
- 远程接入VPN(Remote Access VPN)
通过拨号或者LAN连接到互联网,然后启动隧道接入公司的内部网络
- 点对点VPN(Site-to-Site VPN)
是指一个地区的内部通过隧道与另一个地区的内部相关联,两个内部网络的用户可以相互访问
-
实现的层次分类
- L3VPN
- L2VPN
-
VPN的业务类型
- 接入VPN
主机到网络的类型
- 内联网VPN
总部与分部之间
- 外联网VPN
不同企业之间连接VPN
-
实现的方法
- 软件VPN
- 硬件VPN
- 集成VPN
GRE VPN
是对某些协议网络层协议的数据包进行封装,使这些被封装的数据报能够在另一个网络层协议中传输.GRE是VPN的第三层隧道协议,即在协议中封装任意一种协议而设计的封装方法.
IPsec VPN
是一种广泛开放的VPN安全协议技术,工作在网络层,为数据传输过程提供了安全保护,其主要手段是对数据进行加密和对数据收发方进行身份验证.有两种模式:隧道模式和传输模式
SSL VPN
是一种Internet上确保信息安全收发的通用协议技术,以TCP(传输协议)为根基.目前被广泛的应用与浏览器中
MPLS VPN
是一种面向连接的技术,是一种快速数据包交换和路由的体系,通过标签交换路径将私有的网络的不同分支联系起来,他的路由工作在三层,核心任务工作在第二层.
VPN的优缺点
优点:
- 高速
- 具有模块化和可升级的特点
- 高水平的安全
- 完全控制
缺点:
- 不能直接控制基于互联网的VPN的性能
- 企业创建和部署并不容易
- 不同厂商的VPN产品和方案总是不兼容
- 使用无线设备VPN存在安全风险
GRE基础
GRE(Generic Routing Encapsulation,通用路由封装)是一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输.它能对IP包或非IP包进行再封装,而再封装方式是在原始包头的前面加一个GRE包头和一个新IP包头:采用明文传送,在IP中的协议号为47.
GRE隧道常用命令
配置 | 命令 |
---|---|
创建虚拟Tunnel接口 | interface tunnel x |
定义Tunnel接口的IP地址 | ip address x x |
定义Tunnel通道的源地址 | tunnel source x |
定义Tunnel通道的目的地址 | tunnel destination x |
定义Tunnel接口报文的封装模式(可选) | tunnel mode gre |
定义Tunnel接口的密钥(可选) | tunnel key x |
手动配置静态路由实现隧道可路由 | ip route x x x |
GRE实验
- 需要配置ACL禁止私有网段出现在外网
R2(config)#access-list 1 deny 10.0.0.0 0.255.255.255
R2(config)#access-list 1 deny 172.16.0.0 0.15.255.255
R2(config)#access-list 1 deny 192.168.0.0 0.0.255.255
R2(config)#access-list 1 permit any
R2(config)#interface s0/1/0
R2(config-if)#ip access-group 1 in
R2(config)#interface s0/0/0
R2(config-if)#ip access-group 1 in
- 配置nat,实现内网与外网之间的访问
//R0:
access-list 1 permit 192.168.1.0 0.0.0.255