tunnel:指保留原始IP数据流的情况下封装成另一种带有新IP报头(注:新IP为tunnel中的source、destination,这两个地址必须是UP状态的接口IP(包括虚接口),且两者能够通讯(包括路由可达、×××等。×××原始IP数据流协议为GRE时,两者ping不通,但也能够通讯的))的数据流,从而以新IP数据流路由转发出去;接收端通过tunnel解封装,得到原始IP的数据流。tunnel封装模式有多种,默认情况下指GRE模式。

GRE(Generic routing encapsulation)通用路由封装是一中隧道协议,能够在IP隧道中封装各种网络层协议的分组,从而创建虚拟点到点链路。GRE隧道并不提供加密服务,默认情况下以明文方式离开,所以通常使用GRE通过IPsec ***隧道传输动态路由协议数据流。


封装过程:

1、原数据流根据路由表转发进入tunnel中。

2、根据tunnel的配置被封装为GRE数据流,之后GRE数据流与tunnel所指定的source、destination地址组成新的IP报头GRE数据流。

3、新IP报头的GRE数据流再根据路由表转发到适应的出接口。

4、在出接口时,新IP报头的GRE数据流匹配了×××的加密映射表的ACL,所以新IP报头的GRE数据流被封装进了×××隧道中,之后形成的×××数据流转发出接口。


解封装过程:

1、路由器接收到数据流后判断为×××数据流,从而进行***解封装,之后得到带有”新IP报头“的GRE数据流。

2、”新IP报头"的GRE数据流被转到tunnel中,去掉”新ip报头”再进行GRE解封装,得到原始数据流。

3、原始数据流根据路由表转到目标出口,期间经过从tunnel中出来。



tunnel(GRE隧道)与IPsec ×××隧道异同:

1、两者都可以保留原始IP数据流情况下进行封装,并异地传输。

2、tunnel在异地的两端建立虚拟隧道接口,相当于异地是直连关系(可以建立邻居关系),从而能传输动态协议等数据流,tunnel数据流以明文方式传输;IPsec ×××隧道没有虚接口,只传输单播而不能传输多播和广播,从而使众多路由协议无法建立邻居关系和传输路由更新,由于×××封装是加密的,所以数据流以密文方式传输。

3、两者可以独立使用不相影响。但通常将两者组合使用,达到支持所有数据传输格式与安全,即tunnel被封装进IPSec ×××中。




实验目录:

1)配置GRE,并观察传输GRE过程。

2)配置IPSec ×××

3)配置将GRE隧道封装到×××里边。


实验拓扑:
20150902120918984.png

实验配置:

 

1)各接口IP配置如上图,并在R3R2上配置GRE隧道。

 

R3#sh run

 

interface Tunnel3

 ip address 10.10.10.1 255.255.255.0   \\虚接口地址

 tunnel source 3.3.3.10

 tunnel destination 2.2.2.10   \\作为GRE封装后新的IP报头。

!

interface FastEthernet0/0

 ip address 3.3.3.10 255.255.255.0

 duplex auto

 speed auto

!

interface FastEthernet0/1

 ip address 192.168.1.1 255.255.255.0

 speed auto

 full-duplex

!

router eigrp 100

 network 10.10.10.0 0.0.0.255

 network 192.168.1.0

 no auto-summary

!

ip route 0.0.0.0 0.0.0.0 3.3.3.3

 

R3#

 

 

R2#sh run

 

interface Tunnel2             \\与上面的R3tunnel3对应。

 ip address 10.10.10.2 255.255.255.0

 tunnel source 2.2.2.10

 tunnel destination 3.3.3.10

!

interface FastEthernet0/0

 ip address 2.2.2.10