GRE配置详解和路由黑洞及检测机制

最新推荐文章于 2024-06-01 08:45:00 发布
最新推荐文章于 2024-06-01 08:45:00 发布
阅读量1.1k 收藏 14
点赞数
分类专栏: 路由交换 文章标签: 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45309500/article/details/123894059
版权
本文详细介绍了GRE隧道的配置步骤,包括创建隧道、设置隧道口IP、指定源和目的IP。针对不同网络拓扑,提出了静态路由和OSPF宣告的解决方案。同时,讨论了路由黑洞现象及其产生原因,即不恰当的OSPF宣告导致数据包反复穿越隧道。为防止路由黑洞,文章提到了GRE的keepalive检测机制,通过定期发送报文来确保隧道的正常运行。最后,给出了完整的GRE配置示例,包括合肥和上海两端的配置。
摘要由CSDN通过智能技术生成

GRE配置详解和路由黑洞及检测机制

在这里插入图片描述

基本路由配置先省略,直接上GRE配置:
合肥:
int tunnel 0/0/1
//创建隧道
ip add 192.168.13.1 24
//给隧道口ip地址,没有地址怎么传输?
tunnel-pro gre
//隧道的模式
so 12.0.0.1
//牌照的源ip
dest 23.0.0.3
//牌照的目的ip

在公网上跑,私网地址是会被丢弃的,所以需要公网地址的牌照
隧道建立好之后还有一个问题,怎么把数据包送到隧道上呢?

有两种方法,针对不同的网络类型:

1. 网段较少的拓扑

可以通过静态路由来实现
ip route-static 192.168.20.0 24 tunnel 0/0/1

下一跳必须是隧道口的地址或者隧道接口,否则,数据包还是会和之前一样,从缺省路由转发出去。

2. 网段教多的拓扑

如果接入的主机很多,一条一条写静态太麻烦了,而且有去就必须有回,double的麻烦,所以这里可以通过ospf来宣告,GRE支持组播技术

ospf 1 router-id 1.1.1.1
a 0
net 192.168.10.0 0.0.0.255
net 192.168.13.0 0.0.0.255
//一定要宣告隧道地址,不然路由器不知道从哪转发

但是,这里能不能也宣告公网地址呢?多宣告多知道些路由不是更好吗?

物极必反,不一定

假如把12.0.0.0和23.0.0.0 网段宣告进去
查看路由表会发现多了一条从tunnel口出去的路由:

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
        0.0.0.0/0   Static  60   0          RD   12.0.0.2        GigabitEthernet
0/0/1
       23.0.0.0/24  OSPF    10   1563        D   192.168.13.2    Tunnel0/0/1

本来GRE将通行证拿好之后,应该通过缺省路由从g0/0/1口转发出去,通过ISP的路由到达对端,但是,这里多了一条ospf路由,根据路由匹配原则,肯定先匹配ospf,
于是数据包刚从tunnel里出来,又得回去了。回去又得打牌照,反反复复GRE就傻掉了
并且这时候的ospf邻居从down到full,full了又down
在这里插入图片描述

就变成了路由黑洞
其实在一开始配置的时候,比较粗心,在接口绑定nat时把接口写错了,导致GRE的protocol一直是down的状态:

那么,让tunnel的protocol成up的机制是什么呢?

其实只要路由没有问题,protocol就是up的状态,即使对端没有配置,tunnel也感受不到,如果公司到分部做了两个隧道,主备实现,如果主有故障,比如对端路由有问题,或者运营商路由故障,这时需要切换到备份隧道,但是tunnel没有感知到,依旧是up,数据包就会丢失,

解决方法:

GRE有keepalive检测机制,配置后GRE会发送keepalive报文,并且对端超过3次没有恢复,tunnel就会自动变成down状态
配置后GRE会默认5S发一次

下面是完整配置(包括路由等):
合肥:

sys
sys HF
dhcp en
int g0/0/0
ip add 192.168.10.254 24
dhcp select inter
int g0/0/1
ip add 12.0.0.1 24
ip route-static 0.0.0.0 0 12.0.0.2 24
acl 2000
rule 5 per so 192.168.10.0 0.0.0.255
int g0/0/1
nat out 2000
int tunnel 0/0/1
ip add 192.168.13.1 24
tunnel-pro gre
so 12.0.0.1 
dest 23.0.0.3
keepalive
//ip route-static 192.168.20.0 24 tunnel 0/0/1
ospf 1 router-id 1.1.1.1
a 0
net 192.168.10.0 0.0.0.255
net 192.168.13.0 0.0.0.255

上海:

sys
sys SH
dhcp en
int g0/0/0
ip add 23.0.0.3 24
int g0/0/1
ip add 192.168.20.254 24
dhcp select inter
ip route-static 0.0.0.0 0 23.0.0.2
acl 2000
rule 5 per so 192.168.20.0 0.0.0.255 
int g0/0/1
nat out 2000
int tunnel 0/0/1
ip add 192.168.13.2 24
tunnel-pro gre
dest 12.0.0.1 
so 23.0.0.3
keepalive
//ip route-static 192.168.10.0 24 tunnel 0/0/1
ospf 1 router-id 2.2.2.2
a 0
net 192.168.20.0 0.0.0.255
net 192.168.13.0 0.0.0.255
番茄上的Tomato
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通过GRE隧道解决路由黑洞的方法
logottfb的博客
08-02 1030
本实验模拟ISP网络拓扑,运行BGP。AR1 AR5 代表代表A公司和B公司的网关路由器,loopback0接口代表内网地址,通过IGP传递私网路由 1.R1属于AS100,R2/3/4属于AS200,R5属于AS300 2.AS200内运行OSPF,进程号为1。 2.1 手动指定Loopback0的IP为RID。 2.2 全部属于区域0 2.3 network命令全部使用通配符0.0.0.0 2.4 R2/4上不宣告与其他AS互联的接口。 3.建立IBGP邻居 3.1 R2与R4使用环回口Loopback
GRE配置
k0sec的安全路
07-27 411
【实验目的】 学习GRE的配置方法,理解GRE的工作过程 【知识点】 隧道技术,GRE的工作原理 【实验场景】 一家公司有一家总部,一家分公司,分别位于两个城市。根据业务需求,需要通过互联网构建GRE隧道,保证业务数据的安全性。如拓扑图所示,两台主机分别代表两个地方的公司,router 0 和router 1分别是边界路由器,router 2代表互联网。 【实验原理】 本端路由器将3层报文封装到I...
关于路由黑洞解决
qq_33404590的博客
12-29 525
路由黑洞: 隧道解决办法
GRE基本配置(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
06-01 1388
Tunnel是一个虚拟的点对点的连接,可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路,使封装的数据报能够在这个通路上传输,并在一个 Tunnel的两端分别对数据报进行封装及解封装。可以观察到,当前隧道接口的物理层状态为正常启动状态,链路层协议状态为正常运行状态,隧道封装协议为GRE协议,Tunnel的IP地址及所配置的隧道源和目的地址分别为R1和R3的S1/0/0接口地址。说明通过 GRE协议建立起来的隧道,能够跨公网传递各个内部私有网络的路由信息,实现了两个私有网络间的跨公网通信。
GRE 配置
cker_x的博客
11-01 3064
r1(config)#interface tunnel 1 //创建号码为“1”的隧道,两端号码可不同 r1(config-if)#ip address 1.1.1.1 255.255.255.0 //隧道的接口地址是1.1.1.1 r1(config-if)#tunnel source 100.1.1.1 //隧道的起源是100.1.1.1 r1(...
GRE vpn 的配置
weixin_74777052的博客
06-01 1161
关于GRE的配置过程
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
GRE和MGRE的配置及word
03-31
**GRE和MGRE技术详解** GRE(Generic Routing Encapsulation,通用路由封装)是一种网络协议,它允许将一种网络层协议的数据包封装在另一种网络层协议的数据包中进行传输。GRE的主要目的是提供网络协议的透明传输,...
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
华为 eNSP配置实例详解
10-31
#### 一、单臂路由配置实例 **知识点:** - **单臂路由**:是一种通过路由器的一个物理接口实现多个逻辑接口(即子接口)来连接不同VLAN的技术。 - **VLAN划分**:虚拟局域网(Virtual Local Area Network)技术用于...
GRE原理与配置
08-28
GRE原理与配置,详细讲解GRE配置命令及原理。
GRE和MGRE思维导图
03-30
GRE和MGRE思维导图
GRE 简述(为cisco路由器配置GRE隧道举例)
热门推荐
11-12 1万+
GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通
GRE简单配置
Rashu99's blog
05-26 1018
RTA int g0/0 ip add 10.0.0.254 24 int Tunnel 0 mode gre ip add 192.168.0.1 24 source 1.1.1.1 destination 3.3.3.2 gre key 123456 配置隧道两端的key int g0/1 ip ad 1.1.1.1 24 ip route-static 10.0.1.0 24 Tunnel 0 RTB RTC int g0/0 ip add 1.1.1.2 24 int g0/1 ip add.
gre协议配置
weixin_34228662的博客
04-19 675
GRE 协议简介 协议简介 GRE (Generic Routing Encapsulation)即通用路由封装协议是对某些网络层协议(如IP 和 IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如 IP)中传输。GRE 是×××(Virtual Private Network )的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel...
华为设备GRE配置
qq_53332962的博客
07-19 2102
/配置过程中写入de然后按tab第一个弹出来的是description而不是destination,注意甄别。⑥写source和destination。⑦向两边环回写静态,下一跳为Tunnel0/0/0。①写路由器各个接口的ip地址。③打开Tunnel隧道。⑤写隧道协议为gre。.........
JUNIPER GRE 配置
weixin_33913377的博客
12-18 1286
实验拓扑:HK和CD模拟远端路由器,建立GRE隧道打通R18和R19两个网段。实验过程:1.首先开启板卡GREshow interface 查看gr接口 发现系统默认是gr-0/0/10。2.配置GRE tunnelGRE封装需要添加 隧道的入口和出口地址。3.配置静态路由下一跳是gre接口。4.验证 转载于:https://blog.51cto.com/1358...
GRE隧道配置
xiaoxu11112的博客
10-27 1513
GRE是通用路由封装协议,可以用于建立vpn,但相对来说安全方面比较差,仅靠一个明文的数字进行认证,一般需要结合ipsece来使用。
点对点GRE隧道配置详解
"本文档主要介绍了如何部署点对点GRE隧道,包括GRE隧道的封装格式和配置步骤。通过学习此内容,你可以理解GRE协议的工作原理,并掌握在华为路由器上配置GRE隧道的方法。" GRE(Generic Routing Encapsulation,通用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

番茄上的Tomato

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值