VPN概述
目的:让私网数据穿越公网
背景:要实现分公司和总公司之间通信,端口映射也可以做到,不过不安全。相对应比较安全的解决方案是可以建立点对点的物理专线,不过成本过高,一般不用。这时,虚拟专线VPN 就应运而生。
基本原理:采用双层封装技术,在私网数据进入公网时,在私网IP头部后面再次封装一层公网的IP头部,当穿越公网到达对面私网后,就会拆开公网的封装,露出私网头部,再进行路由的寻址转发。
GRE VPN
基本原理
IP 用协议号 47 标识 GRE 头。当 IP 头中的 Protocol 字段值为 47 时,说明 IP 包头后面紧 跟的是 GRE 头。GRE 用以太网协议类型 0x0800 标识 IP,当 GRE 头的 Protocol Type 字段值 为 0x0800 时,说明 GRE 头后面紧跟的是 IP 头。
配置实验
目的:实现PC4 和 PC5 的不同私网之间穿越公网的互通。
技术:在不同私网的出口设备上配置GRE VPN,建立虚拟隧道连接,实现不同私网的互通。
步骤:
1.实现公网之间的互通,在R1 ,R2, R3之间运行OSPF,RIP,静态路由都可以实现公网互通;
2.在出口设备上(R1 R3)上配置隧道口Tunnel 0 指定隧道口的IP地址,并且在隧道口的视图下指定源 目 公网出接口IP 地址,目的是为了私网的数据包进入Tunnel 0口后再次进行一个公网的封装;
3.在出口设备上要手动指定一条到对方私网的静态路由,下一跳指向Tunnel 0口,不然来自本地私网的路由就会匹配默认路由从公网出接口出去(这时是没有进入隧道口的,就不会进行公网的封装),进入公网后就会发现没有路由了,于是丢弃数据包。
优点:最大的优点就是支持组播和动态路由协议。
缺点:最大的缺点就是缺乏安全性。