GRE VPN

VPN概述

目的：让私网数据穿越公网

背景：要实现分公司和总公司之间通信，端口映射也可以做到，不过不安全。相对应比较安全的解决方案是可以建立点对点的物理专线，不过成本过高，一般不用。这时，虚拟专线VPN 就应运而生。

基本原理：采用双层封装技术，在私网数据进入公网时，在私网IP头部后面再次封装一层公网的IP头部，当穿越公网到达对面私网后，就会拆开公网的封装，露出私网头部，再进行路由的寻址转发。

GRE VPN

基本原理

        IP 用协议号 47 标识 GRE 头。当 IP 头中的 Protocol 字段值为 47 时，说明 IP 包头后面紧 跟的是 GRE 头。GRE 用以太网协议类型 0x0800 标识 IP，当 GRE 头的 Protocol Type 字段值 为 0x0800 时，说明 GRE 头后面紧跟的是 IP 头。

配置实验

目的：实现PC4 和 PC5 的不同私网之间穿越公网的互通。

技术：在不同私网的出口设备上配置GRE VPN，建立虚拟隧道连接，实现不同私网的互通。

步骤：

1.实现公网之间的互通，在R1 ,R2, R3之间运行OSPF，RIP，静态路由都可以实现公网互通；

2.在出口设备上(R1 R3)上配置隧道口Tunnel 0 指定隧道口的IP地址，并且在隧道口的视图下指定源 目 公网出接口IP 地址，目的是为了私网的数据包进入Tunnel 0口后再次进行一个公网的封装；

3.在出口设备上要手动指定一条到对方私网的静态路由，下一跳指向Tunnel 0口，不然来自本地私网的路由就会匹配默认路由从公网出接口出去（这时是没有进入隧道口的，就不会进行公网的封装），进入公网后就会发现没有路由了，于是丢弃数据包。

优点：最大的优点就是支持组播和动态路由协议。

缺点：最大的缺点就是缺乏安全性。