GRE 层3+层2 两种VPN+原理+实现 一文全介绍

已于 2024-01-28 12:09:47 修改
阅读量1.1k 收藏 24
点赞数 20
分类专栏: 网络协议 文章标签: php 网络 开发语言
于 2024-01-25 18:02:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingwangheni/article/details/135850657
版权

目录

简介

GRE头格式

GRE L3

配置页面

Linux实现

GRE L2

配置界面

组网拓扑

Linux实现

简介

GRE(Generic Routing Encapsulation):即通用路由封装协议,一种隧道协议。

作用:

        封装某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)报文,使这些报文能在另一个网络层协议中传输。

优点:

        可通过IPv4连通多种异种网络(IPX、AppleTalk),有效利用现有网络,降低成本。

        扩展网络跳数,支持灵活组网。 (如RIP最大跳数限制为16)

        可封装组播数据,并和IPSec结合,保证语音、视频等组播业务安全。 (GRE over IPSec:先GRE封装,再IPSec加密)

        可封装MPLS LDP,建立LDP LSP,实现MPLS骨干网互通。

        可连接非连续子网,实现企业总部和分支间安全连接。

产生原因:

        骨干网与非骨干网使用协议不同,导致非骨干网之间无法通过骨干网传输报文。通过GRE封装实现解决该问题。

GRE头格式

C         校验和位。表示是否GRE头包含Checksum字段。两端无须配置相同。

K         关键字位。 表示是否GRE头包含Key字段。两端配置必须相同。

Recursion        表示该GRE报文封装层数。若封装层数大于3,则丢弃该报文。防止报文无限封装。

Flags        预留字段。 必须为0。

Version     版本字段。 必须为0。

Protocol Type     乘客协议类型。 IPv4为0800,Ethernet为0x6558。

Checksum         GRE头及负载的校验和字段。

Key         关键字字段。隧道接收端用于对报文验证。

GRE隧道传输IPX报文格式:

        Ethernet头 + IP头 + GRE头 + IPX报文

GRE VPN分为:

        GRE L2:即乘客协议是链路层协议。

        GRE L3:即乘客协议是网络层协议。(默认GRE是GRE L3)

GRE L3

需要两端均配置GRE VPN,所以建议配置静态WAN IP。

配置页面

将WAN 配置为GRE VPN L3模式。

配置后,下挂PC访问192.168.5.152,在路由器上WAN口抓包如下:

外层IP对:

        源IP:172.16.0.39

                本地路由器WAN IP

        目的IP:10.2.2.2

                对端路由器WAN IP,即配置页面的Destination IP

内层IP对:

        源IP:192.168.151.1

                本地路由器生成的gre接口IP,即配置页面的Tunnel IP Address

                ifconfig gre1显示(192.168.151.1)

        目的IP:192.168.5.152

                本地路由器下挂PC想要访问的IP

注意配置页面有个Tunnel mode的NAT support功能

        如果enable:内层源IP使用gre1 IP,即192.168.151.1。

        如果disable:内层源IP使用下挂PC真实IP。

配置完毕后,生成隧道接口gre1

        ip link show gre1

                22: gre1@NONE: mtu 1476 qdisc noqueue

                link/gre 172.16.0.39 peer 10.2.2.2

        10.2.2.2:即Destination IP,对端WAN IP

        172.16.0.39:即本端WAN IP

还需gre1相关路由

        # ip route show table VpnPdn

        default dev gre1 scope link (下挂PC报文将经过gre1接口,进行GRE封装)

Linux实现

添加GRE L3 tunnel命令:

        #grename=gre1

        ip tunnel add $grename mode gre remote $remote_wan_ip local $local_wan_ipaddr ttl 2550

        ip link set $grename up

        ip addr add ${gre_tunnel_ip}/${gre_tunnel_ip_mask} dev $grename

        ip route flush cache

        主要还需添加对应路由表

        若支持Tunnel NAT

                iptables -t nat -A vpn_nat -o gre1 -j MASQUERADE

GRE L2

即Ethernet over GRE

可学到隧道对端设备的ARP

GRE L2除了封装以太网帧,还可以封装PPP,如PPTP数据报文。

配置界面

配置后,下挂设备访问1GRE L2抓包如下:

        可知gre内部封装的是以太网帧。

最后生成接口gretap1

        #ip link show gretap1

        25: gretap1@NONE: mtu 1462 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000

        link/ether 36:28:36:ae:c4:bc brd ff:ff:ff:ff:ff:ff

为简化此处不介绍GRE L2 + VLAN功能。

组网拓扑

PC1-PC4在同一网段,都可通过图中router的DHCP分配IP。

CPE1和CPE2均有两个WAN IP,每个WAN网段不一样,每个WAN建立一个GRE隧道,每个隧道对应不同pvid。

最终:PC1和PC3 在同一VLAN ,二层互通。

        PC2和PC4 在同一VLAN ,二层互通。

        PC1 和PC4不通。PC2和PC3不通。

Linux实现

ip link add name [name] type [type]:

        vlan

        veth: 虚拟以太网接口

        bridge: 网桥

        vxlan:vxlan

        ip6tnl: 虚拟隧道接口 IPv4 | IPv6 over IPv6

        gre: 基于IPv4的GRE隧道

        gretap: 基于 IPv4 的GRE L2隧道

        ip6gre: 基于 IPv6 的GRE隧道

        ip6gretap: 基于 IPv6 的GRE L2隧道

# brctl show

bridge name bridge id         STP enabled         interfaces

br0         8000.00000000         no                         eth0

                                                                                wlan0

                                                                                gretap1

创建一个单APN带VLAN的GRE L2 tunnel:

        grename=gretap1

        ip link add $grename type gretap remote $gre_remote_ip local $gre_local_ip ttl 255 nopmtudisc

        ip link set dev $grename up

        brctl addif br0 $grename

        vconfig add $grename $gre_l2_untagged_vlan(pvid) //生成gretap1.0接口

        ip link set dev $grename.$gre_l2_untagged_vlan up

        brctl addif br0 $grename.$gre_l2_untagged_vlan

        echo 1 > /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged

ip link添加以太网接口,命令举例:

        ip link add eth1 type ethernet

山下小童
关注
  • 20
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
两台出口路由器之间GREOVERIPSEC+NAT+OSPF.pdf
12-02
两台出口路由器之间GREOVERIPSEC+NAT+OSPF.pdf
【华三】GRE VPN 实验配置
2301_77161465的博客
02-05 1532
VPN :(Virtual Private Network),即“虚拟专用网络”。它是一种通过公用网络(通常是互联网)建立安加密连接的技术,可以在不安的公共网络上建立起加密通道,将网络数据加密传输,从而实现数据传输的加密、安和隐私保护而GRE(Generic Routing Encapsulation),即通用路由封装协议。提供了将一种协议的报封装在另一种协议报中的机制,是一种三层隧道封装技术,使报可以通过GRE隧道透明的传输,解决异种网络的传输问题。
GRE Word 3000乱序+中
08-21
GRE Word 3000乱序+中
GRE满分写作教程+3.pdf
10-30
GRE满分写作教程+3.pdf
GRE、MGRE以及OSPF
weixin_62443409的博客
09-27 542
抽象语言---编码编码---二进制二进制---电信号CPU处理电信号(HTTP协议(超本传输协议):获取网页的协议)(世界上第一台电子计算机于1946年2月14日被发明出来的)(1876年3月10日,美国发明家贝尔发明了世界上第一部电话)应用层 (人类和电脑交互)抽象语言:键入和输出(提供各种应用程序,将抽象语言转换成编码)表示层 编码--->二进制 会话层 应用程序内部地址,区分程序内的各个终端(会话)(维持网络应用与网络服务器之间的会话连接)上三层和应用程序有关,应用程序处
PPP & PPPoE & L2TP & PPTP 一介绍
qingwangheni的博客
01-04 1687
PPPoE主要利用了PPP协议中的访问控制和计费功能。以太网具有广播属性,通信双方无法验证对方身份,因而通信不安PPPoE通过Session ID保障用户安L2TP(Layer Two Tunneling Protocol):二层隧道协议,扩展了PPP。适用于用户远程拨号接入企业总部。LAC(L2TP Access Concentrator):L2TP 访问集中器,L2TP客户端LNS(L2TP Network Server):L2TP 网络服务器,L2TP服务器。
带你了解数据中心大二层网络演进之路
华为云官方博客
01-06 2058
摘要:传统的三层数据中心,置身虚拟机化的浪潮中,其中变革创新,就在此篇章中一窥究竟吧。 传统数据中心三层组网架构 政府部门或者金融机构等大型企业的数据中心中服务器的规模可能会达到2000台以上。一般情况下,数据中心网络都会进行服务器的分区管理,单个业务分区规模不大,此时可以采用下图所示的标准三层架构。 在这种组网方式中,交换核心区是整个数据中心网络的枢纽,核心设备通常部署2-4台大容量高端框式交换机,可以是独立部署,也可以通过CSS、iStack虚拟化技术后成组部署。分区内的汇聚层和接入层通过传
计算机网络:overlay(VLAN,VxLAN)、underlay网络、大二层的介绍
RToax
04-24 8403
相关术语 P network:运营商核心网络,也就是提供VPN服务供应商自己的网络 "P = provider" C network:客户网络 "C = customer" P device: 运营商网络核心设备 PE device:运营商网络边缘设备,用于连接P网络与C网络 "PE = Provider Edge" CE device:客户网络边缘设备,用于连接P网络与C网络 "CE = Customer Edge" 概述 在SDN如火如荼的今天,每一个网络工程师见到最多的术...
PPP、PPPoE、VPDN、L2TP简介
大自然的代码
07-26 8000
PPP(Point to Point Protocol,点对点拨号协议) 一种具有身份校验、动态IP分配等功能的点对点拨号协议(通过其定义的LCP、CHAP、IPCP等类型报交互实现)。 因为IP协议无法直接在模拟信号中进行传输(需要进行调制解调),但PPP协议能直接应用在点对点链路上,同时其支持多种网络传输介质,比如电话线、无线信号、串口等等,所以通常会使用PPP协议来封装IP协议,这样便...
发光二极管LED Altium封装库三维视图2D3D封装库原理图库+PCB封装库(AD集成库).zip
04-01
发光二极管LED Altium封装库三维视图2D3D封装库原理图库+PCB封装库(AD集成库), 原理图库器件列表: Library Component Count : 5 Name Description ---------------------------------------------------------...
SD-WAN组网:一读懂万千站点自由互联的奥秘
网银互联
12-13 7420
面向企业+服务提供商相结合的SDWAN组网方式,对于跨地域多分支的组网,适应能力更强,应用更灵活。
HCIP-3.HCIA回顾复习(3)(gre)
qq_69178654的博客
06-18 169
网络类型
MGRE知识总结
m0_53125005的博客
11-13 679
MGRE知识总结
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 1039
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
框架漏洞RCE-1
x88125E的博客
05-01 1067
前置知识,thinkphp5.0.23漏洞
如何根据IP获取国家省份城市名称PHP免费版
最新发布
大力水手z博客
05-06 373
如何根据IP获取国家省份城市名称PHP免费版
【Web】CTFSHOW 新手杯 题解
uuzeray的博客
05-02 424
先本地起个服务,先直接请求,再请求?name=Z3r4y,拿到new_rookie_info和Z3r4y_info。对比一下,其实就是要让I3为I1就可,sb后的.起到截断作用,id在name之后,name是我们可控的。$secret为$_COOKIE[secret],直接引用绕过了。可以在/change路由进行打入,用newname替换name。打PHP_SESSION_UPLOAD_PROGRESS。运行结果插到cookie里,而后便可为所欲为。当id为0时可以拿到flag。令mode为0看到源码。
eNSP如何配置GRE VPN
06-11
首先,需要确保你已经安装并打开了eNSP(企业网络模拟平台)。 接下来,按照以下步骤配置GRE VPN: 1. 创建两个虚拟机(VM),例如VM1和VM2,并将它们连接到同一个交换机。 2. 在VM1和VM2上分别配置IP地址和子网掩码。 3. 在eNSP中创建两个路由器设备,并将它们连接到同一个交换机。 4. 在路由器1和路由器2上分别配置IP地址和子网掩码,并确保它们在同一个子网中。 5. 在路由器1和路由器2上分别启用路由器接口的GRE协议。例如,在路由器1上,可以使用以下命令启用GRE协议: interface Tunnel0 ip address 192.168.1.1 255.255.255.0 tunnel source 10.1.1.1 tunnel destination 10.2.2.2 tunnel mode gre ip 其中,Tunnel0是GRE隧道的接口名称,192.168.1.1是该接口的IP地址,10.1.1.1是该接口的源IP地址,10.2.2.2是该接口的目标IP地址,tunnel mode gre ip表示启用GRE协议。 6. 在路由器1和路由器2上分别配置路由,以便它们可以相互通信。例如,在路由器1上,可以使用以下命令配置路由: ip route 192.168.2.0 255.255.255.0 Tunnel0 其中,192.168.2.0是路由器2的IP地址,255.255.255.0是子网掩码,Tunnel0是GRE隧道的接口名称。 7. 最后,在VM1和VM2上分别配置默认网关为所在路由器的IP地址,以便它们可以通过GRE VPN进行通信。 以上就是eNSP如何配置GRE VPN的步骤。希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

山下小童

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值