GRE 层3+层2 两种VPN+原理+实现 一文全介绍

已于 2024-07-19 14:28:37 修改
阅读量3k 收藏 27
点赞数 20
分类专栏: 网络协议 文章标签: php 网络 开发语言
于 2024-01-25 18:02:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingwangheni/article/details/135850657
版权

目录

1. 简介

2. GRE头格式

3. GRE L3

配置页面

Linux实现

4. GRE L2

配置界面

组网拓扑

Linux实现

1. 简介

GRE(Generic Routing Encapsulation):即通用路由封装协议,一种隧道协议。

作用:

        封装某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)报文,使这些报文能在另一个网络层协议中传输。

优点:

        可通过IPv4连通多种异种网络(IPX、AppleTalk),有效利用现有网络,降低成本。

        扩展网络跳数,支持灵活组网。 (如RIP最大跳数限制为16)

        可封装组播数据,并和IPSec结合,保证语音、视频等组播业务安全。 (GRE over IPSec:先GRE封装,再IPSec加密)

        可封装MPLS LDP,建立LDP LSP,实现MPLS骨干网互通。

        可连接非连续子网,实现企业总部和分支间安全连接。

产生原因:

        骨干网与非骨干网使用协议不同,导致非骨干网之间无法通过骨干网传输报文。通过GRE封装实现解决该问题。

2. GRE头格式

C         校验和位。表示是否GRE头包含Checksum字段。两端无须配置相同。

K         关键字位。 表示是否GRE头包含Key字段。两端配置必须相同。

Recursion        表示该GRE报文封装层数。若封装层数大于3,则丢弃该报文。防止报文无限封装。

Flags        预留字段。 必须为0。

Version     版本字段。 必须为0。

Protocol Type     乘客协议类型。 IPv4为0800,Ethernet为0x6558。

Checksum         GRE头及负载的校验和字段。

Key         关键字字段。隧道接收端用于对报文验证。

GRE隧道传输IPX报文格式:

        Ethernet头 + IP头 + GRE头 + IPX报文

GRE VPN分为:

        GRE L2:即乘客协议是链路层协议。

        GRE L3:即乘客协议是网络层协议。(默认GRE是GRE L3)

3. GRE L3

需要两端均配置GRE VPN,所以建议配置静态WAN IP。

配置页面

将WAN 配置为GRE VPN L3模式。

配置后,下挂PC访问192.168.5.152,在路由器上WAN口抓包如下:

外层IP对:

        源IP:172.16.0.39

                本地路由器WAN IP

        目的IP:10.2.2.2

                对端路由器WAN IP,即配置页面的Destination IP

内层IP对:

        源IP:192.168.151.1

                本地路由器生成的gre接口IP,即配置页面的Tunnel IP Address

                ifconfig gre1显示(192.168.151.1)

        目的IP:192.168.5.152

                本地路由器下挂PC想要访问的IP

注意配置页面有个Tunnel mode的NAT support功能

        如果enable:内层源IP使用gre1 IP,即192.168.151.1。

        如果disable:内层源IP使用下挂PC真实IP。

配置完毕后,生成隧道接口gre1

        ip link show gre1

                22: gre1@NONE: mtu 1476 qdisc noqueue

                link/gre 172.16.0.39 peer 10.2.2.2

        10.2.2.2:即Destination IP,对端WAN IP

        172.16.0.39:即本端WAN IP

还需gre1相关路由

        # ip route show table VpnPdn

        default dev gre1 scope link (下挂PC报文将经过gre1接口,进行GRE封装)

Linux实现

添加GRE L3 tunnel命令:

        #grename=gre1

        ip tunnel add $grename mode gre remote $remote_wan_ip local $local_wan_ipaddr ttl 2550

        ip link set $grename up

        ip addr add ${gre_tunnel_ip}/${gre_tunnel_ip_mask} dev $grename

        ip route flush cache

        主要还需添加对应路由表

        若支持Tunnel NAT

                iptables -t nat -A vpn_nat -o gre1 -j MASQUERADE

4. GRE L2

即Ethernet over GRE

可学到隧道对端设备的ARP

GRE L2除了封装以太网帧,还可以封装PPP,如PPTP数据报文。

配置界面

配置后,下挂设备访问1GRE L2抓包如下:

        可知gre内部封装的是以太网帧。

最后生成接口gretap1

        #ip link show gretap1

        25: gretap1@NONE: mtu 1462 qdisc pfifo_fast master br0 state UNKNOWN qlen 1000

        link/ether 36:28:36:ae:c4:bc brd ff:ff:ff:ff:ff:ff

为简化此处不介绍GRE L2 + VLAN功能。

组网拓扑

PC1-PC4在同一网段,都可通过图中router的DHCP分配IP。

CPE1和CPE2均有两个WAN IP,每个WAN网段不一样,每个WAN建立一个GRE隧道,每个隧道对应不同pvid。

最终:PC1和PC3 在同一VLAN ,二层互通。

        PC2和PC4 在同一VLAN ,二层互通。

        PC1 和PC4不通。PC2和PC3不通。

Linux实现

ip link add name [name] type [type]:

        vlan

        veth: 虚拟以太网接口

        bridge: 网桥

        vxlan:vxlan

        ip6tnl: 虚拟隧道接口 IPv4 | IPv6 over IPv6

        gre: 基于IPv4的GRE隧道

        gretap: 基于 IPv4 的GRE L2隧道

        ip6gre: 基于 IPv6 的GRE隧道

        ip6gretap: 基于 IPv6 的GRE L2隧道

# brctl show

bridge name bridge id         STP enabled         interfaces

br0         8000.00000000         no                         eth0

                                                                                wlan0

                                                                                gretap1

创建一个单APN带VLAN的GRE L2 tunnel:

        grename=gretap1

        ip link add $grename type gretap remote $gre_remote_ip local $gre_local_ip ttl 255 nopmtudisc

        ip link set dev $grename up

        brctl addif br0 $grename

        vconfig add $grename $gre_l2_untagged_vlan(pvid) //生成gretap1.0接口

        ip link set dev $grename.$gre_l2_untagged_vlan up

        brctl addif br0 $grename.$gre_l2_untagged_vlan

        echo 1 > /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged

ip link添加以太网接口,命令举例:

        ip link add eth1 type ethernet

使用EVPN构建二VPN
abraham的博客
06-28 8702
EVPN实例用于将EVPN路由与公网路由隔离。不同EVPN实例的路由之间也是相互隔离的。在所有EVPN组网方案中,都需要配置EVPN实例。3配置PE和PE之间的BGP EVPN邻居关系。5、配置PE上的EVPN实例,绑定业务接口。2配置核心网IGP和LDP。4、配置EVPN的源地址。1、配置基本接口IP。
使用EVPN构建二VPN_vlan based
abraham的博客
06-29 8830
在VLAN Based模式下,连接用户网络的物理接口划分成不同子接口,每个子接口关联不同的VLAN且加入不同的广播域BD( Bridce Domain )。每个广播域BD会与单独的一个EVPN实例进行绑定。此种服务模式可以用于承载二业务或三业务。3.配置PE1和PE2之间的BGP EVPN邻居关系。5.配置基于BD的EVPN实例。2.配置核心网IGP和LDP。6.配置连接客户端的交换机。4.指定EVPN的源地址。1.配置设备接口IP。
L2 GRE LINE
weixin_34396902的博客
05-15 808
一、组网需求  两个数据中心之间通过IP核心网进行二互联二、组网拓扑三、配置要点  在交换机上配置好VLAN, 略 在交换机配置IPv4单播路由协议(如OSPF),保证单播路由可达。略  创建L2GRE实例  配置L2GRE实例本端地址,对端地址  配置L2GRE实例允许转发的VLAN  配置保活功能(可选) 注意:保活功能是对实例的对端地址进行检测...
通用路由封装协议GRE(Generic Routing Encapsulation)应用场景
最新发布
xiaoxu11112的博客
03-07 1181
通用路由封装协议GRE(Generic Routing Encapsulation)可以对某些网络协议(如IPX、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络协议(如IPv4)中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种网络的传输问题。
GRE原理
Reloaded12138的博客
12-14 1180
GER原理 背景 IPSec VPN 用于在两端点之间提供安的ip通信,但只能加密并传输数据,无法加密和传输语言、视频、动态路由协议等组播数据流量。 通用路由封装GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道技术,GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语言、视频等组播业务的安。 GER协议简介 GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络协议的数据报进行封装,使这些被封装的数据报能够在另一个网络协议中传播
GRE VPN
2203_76138235的博客
07-21 1104
GRE可以对某些网络协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络(公网)的报文传输问题。• 解决了跨越异种网络(不是一种网络)的报文传输问题,异种报文传输的通道被称为隧道(Tunnel),GRE tunnel接口默认的OSPF网络类型是P2P。如图所示,载荷协议为IPv6,封装协议为GRE,承载协议为IPv4。• 异种网络:不是同一种网络,这些网络默认是不兼容的,通讯是有问题的。• GRE的IP协议号是47。
跨物理节点的2隔离网络--GRE通道
A_baobo的专栏
08-15 1727
云计算
PPP & PPPoE & L2TP & PPTP 一文介绍
qingwangheni的博客
01-04 9418
PPPoE主要利用了PPP协议中的访问控制和计费功能。以太网具有广播属性,通信双方无法验证对方身份,因而通信不安PPPoE通过Session ID保障用户安L2TP(Layer Two Tunneling Protocol):二隧道协议,扩展了PPP。适用于用户远程拨号接入企业总部。LAC(L2TP Access Concentrator):L2TP 访问集中器,L2TP客户端LNS(L2TP Network Server):L2TP 网络服务器,L2TP服务器。
Overlay 网络 — Overview
烟云的计算
08-02 6825
目录 文章目录目录前文列表SDNOverlay 网络Overlay 网络的优势参考文章 前文列表 《数据中心网络架构的问题与演进 — 传统路由交换技术与三网络架构》 《数据中心网络架构的问题与演进 — 网络虚拟化》 《数据中心网络架构的问题与演进 — CLOS 网络与 Fat-Tree、Spine-Leaf 架构》 SDN 关于 SDN 在《OpenFlow/SDN 的缘起与发展》一文中已经提及...
《NJUPT》网络信息安_期末PPT整理笔记
m0_51800262的博客
03-11 5425
消息认证、数字签名、鉴别和密钥分配协议、身份认证和访问控制、PKI、IPSec、PGP、WEB安、防火墙技术、虚拟专用网、入侵检测、网络诱骗系统、木马病毒
GRE原理配置
08-28
GRE原理配置,详细讲解GRE配置命令及原理
网络信息安知识框架
浴血重生-学习空间
11-17 1051
网络信息安知识框架
GRE工作原理
tycoon的专栏
08-04 4169
隧道对端的解封装过程 当路由器收到一个IP数据报时,如果其目的地址是本地且其报头的协议字段为47,说明该数据报是经过GRE封装的,需要在本路由器上进行解析。 GRE报文经过合法性检查后,需要根据GRE报文的源地址和目的地址映射到本地保存的GRE隧道编号,若对应的GRE隧道不存在,则丢弃该数据报。 接着进行GRE选项的处理,目前我司路由器仅支持key选项而忽略其他选项。若GRE报头中flag字
GREVPN
PanJunJie2003的博客
06-01 276
GRE(Generic Routing Encapsulation)通用路由封装。VPN(Virtual Private Network)虚拟专用网。“孤岛”IPv6要在IPv4海洋连接。IPv4与IPv6的不兼容性。从而造成IPv6的“孤岛”需要通过GRE构建VPN。目前世界以IPv4为主。
GRE VPN(H3C)
qq_73757784的博客
10-26 1014
RT1-Tunnel0]keepalive 10 3 每十秒发一次,一共发三次,如果三十秒了还没收到对端发来的保活报文,这认为隧道中断,这只是保活不影响实验可以不配置。###这里发现,刚配置完一端tunnel隧道就up了,连对端RT3还没配置就up了,说明这是虚假的状态,需要配置keepalive保活。查看ICMP包(ping包)可以发现源IP192.168.10.1的上面封装了GRE的头部,而最外封装的是公网地址。
网络精通-GRE-VPN(虚拟专用网)
不定期分享一些自己的学习笔记
10-26 1063
网络精通-GRE-VPN
VPLS 二 VPN 实验
12-07 1231
VPLS 存在无法负载分担、网络部署困难,无法满足灵活部署和 CE 多归属场景。所以我们后来引申出了更高级的 EVPN
十六、GRE基本原理配置
qq_46054011的博客
03-17 2021
GRE 最简单的VPN,一般不单独使用 Generic Routing Encapsulation,通用路由封装,是简单的VPNGRE 是第三隧道协议,采用了一种被称之为Tunnel(隧道)的技术 优点:支持IP 网络作为承载网络、支持多种协议、支持IP 组播,配置简单,容易布署。 缺点:缺少保护功能,不能执行如认证、加密、以及数据完整性检查这些任务。 工作原理 隧道起点路由查找--> 加封装-->承载协议路由转发-->公网转发--> 解封装-->隧道终点路由
GRE+openvpn
12-27
### 使用 GRE 协议与 OpenVPN网络配置 #### 配置 GRE 隧道 GRE (Generic Routing Encapsulation) 是一种隧道协议,允许通过 IP 网络封装其他类型的流量。为了创建一个 GRE 隧道,两端设备都需要支持并正确配置。 以下是 Linux 上设置 GRE 隧道的方法: ```bash ip tunnel add gre1 mode gre remote REMOTE_IP local LOCAL_IP ttl 255 ip link set gre1 up ip addr add TUNNEL_LOCAL_IP/30 dev gre1 ip route add TUNNEL_REMOTE_SUBNET via TUNNEL_LOCAL_IP ``` 其中 `REMOTE_IP` 和 `LOCAL_IP` 分别代表远程和本地的公共 IP 地址;`TUNNEL_LOCAL_IP` 和 `TUNNEL_REMOTE_SUBNET` 则用于定义隧道内的私有网段[^1]。 #### 结合 OpenVPN 提供额外的安 虽然 GRE 可以为不同位置的网络提供互连能力,但它本身并不加密通信内容。因此,在敏感环境中通常会结合像 OpenVPN 这样的安解决方案来保护数据传输过程中的隐私性和完整性。 对于已经存在的 GRE 隧道来说,可以在其基础上部署 OpenVPN 来增强安性。具体做法是在两个终点分别启动 OpenVPN 守护进程,并指向同一内部子网作为客户端和服务端之间的共享空间。这使得即使有人能够访问到 GRE 封包的内容部分,也无法轻易读取实际传递的信息流[^2]。 #### 解决连接问题 当遇到 OpenVPN 或者基于 GRE 加密后的 OpenVPN 连接失败的情况时,应该首先确认防火墙规则是否阻止了必要的 UDP/TCP 流量以及 ESP/AH 报文交换。其次检查路由表项是否存在冲突或者缺失通往对方的真实路径。最后查看日志文件 `/var/log/syslog` 或者 `/var/log/messages` 寻找任何可能指示错误原因的消息记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

山下小童

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值