2022-01-12 网工基础（二十）GRE原理与配置 VRRP原理与配置

一 GRE原理与配置

IPSec VPN 用于在两个端点之间提供安全的 IP 通信 但只能加密并传播单播数据
无法加密和传输语音 、 视频 、动态路由协议信息等组播数据流量 。

通用路由封装协议 GRE （Generic Routing Encapsulation ）提供了将一种协议的
报文封装在另一种协议报文中的机制 是一种隧道封装技术 。GRE 可以封装组播数
据 并可以和 IPSec 结合使用 从而保证语音 、 视频等组播业务的安全 。

1 GRE应用场景

GRE 支持将一种协议的报文封装在另一种协议报文中。

GRE 可以解决异种网络的传输问题。

GRE 隧道扩展了受跳数限制的路由协议的工作范围，支持企业灵活设计网络拓扑。

首先通过 GRE 对报文进行封装，然后再由 IPSec 对封装后的报文进行加密和传输。

2 GRE报文结构

GRE 在封装数据时 会添加 GRE 头部信息 还会添加新的传输协议头部信息。

相关命令

创建隧道接口

[HUAWEI]interface Tunnel 0/0/x  x=<0-511>

设置为GRE隧道

[HUAWEI-Tunnel0/0/0]tunnel-protocol gre

设置隧道实际的源目IP

[HUAWEI-Tunnel0/0/0]source X.X.X.X

[HUAWEI-Tunnel0/0/0]destination X.X.X.X 

设置隧道本端的虚拟IP地址和掩码

[HUAWEI-Tunnel0/0/0]ip address x.x.x.x x

实验：创建GRE隧道

路由器AR1设置

[AR1]interface Tunnel 0/0/0

[AR1-Tunnel0/0/0]tunnel-protocol gre

[AR1-Tunnel0/0/0]source 200.100.1.1

[AR1-Tunnel0/0/0]destination 200.100.1.6

[AR1-Tunnel0/0/0]ip address 20.1.1.1 24

[AR1]ip route-static 192.168.2.0 24 20.1.1.2

路由器AR2设置

[AR2]interface Tunnel 0/0/0

[AR2-Tunnel0/0/0]tunnel-protocol gre

[AR2-Tunnel0/0/0]source 200.100.1.6

[AR2-Tunnel0/0/0]destination 200.100.1.1

[AR2-Tunnel0/0/0]ip address 20.1.1.2 24

[AR2]ip route-static 192.168.1.0 24 20.1.1.1

测试PC1与PC2的联通性，并抓包观察GRE封装，抓取AR2的G0/0/1接口

测试可以ping通，再观察抓包

观察可以看出，普通的IP封装里有多了一个GRE封装和私网的IP封装。 

二 VRRP原理与配置

局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络，如果默认网关设备发生故障，那么所有用户终端访问外部网络的流量将会中断 。 可以通过部署多个网关的方式来解决单点故障 ，但是需要解决多个网关之间的冲突问题 。

VRRP （Virtual Router Redundancy Protocol）虚拟路由器冗余协议，既能够实现网关的备
份，又能解决多个网关之间互相冲突的问题，从而提高网络可靠性 。

VRRP概述

通过把几台路由设备联合组成一台虚拟的路由设备，使用一定的机制保证当主机的下一跳路由设备出现故障时，及时将业务切换到备份路由设备，从而保持通讯的连续性和可靠性 。

VRRP的基本概念

VRRP 路由器： 运行 VRRP 协议的路由器。VRRP 是配置在路由器的接口上的，而且也是基于接口来工作的 。

VRID：一个 VRRP组（VRRP Group）由多台协同工作的路由器的接口组成，使用相同的 VRID （Virtual Router Identifier） 虚拟路由器标识符进行标识 。 属于同一个VRRP 组的路由器之间交互VRRP 协议报文并产生一台虚拟路由器 。 一个 VRRP 组中只能出现一台 Master 路由器。

虚拟路由器：VRRP 为每一个组抽象出一 台虚拟路由器（Virtual Router ）该路由器并非真实存在的物理设备而是由 VRRP 虚拟出来的逻辑设备 。 一个 VRRP 组只会产生一台虚拟路由器。

虚拟 IP 地址及虚拟 MAC 地址： 虚拟路由器拥有自己的 IP地址以及 MAC 地址 ，其中 IP 地址由网络管理员在配置VRRP 时指定 ，一台虚拟路由器可以有一个或多个 IP 地址，通常情况下用户使用该地址作为网关地址 。 而虚拟 MAC地址的格式是“0000-5e00-01xx” 其中 xx 为 VRID 。

Master 路由器： Master 路由器 在 一个 VRRP 组中承担报文转发任务 。 在每一个 VRRP 组中 只有 Master 路由器才会响应针对虚拟 IP 地址的 ARP Request 。 Master 路由器会以一定的时间间隔周期性地发送 VRRP 报文，以便通知同一个 VRRP 组中的 Backup 路由器关于自己的存活情况。

Backup 路由器：也被称为备份路由器 。 Backup 路由器将会实时侦听 Master 路由器发送出来的 VRRP 报文它随时准备接替 Master 路由器的工作 。

Priority：优先级值是选举 Master 路由器和 Backup 路由器的依据 优先级取值范围 0-255。值越大越优先。值相等则比较接口 IP 地址大小大者优先 。

注意：在三层交换机的VRRP中，应当结合生成树使用，将根桥作为Master。

相关命令：

创建vrrp，虚拟地址

vrrp vrid 组号 virtual-ip 虚拟IP地址

设置主路由（修改优先级，范围1-254）

vrrp vrid 组号 priority 优先级

实验：创建VRRP网络（如图）

VRRP相关配置：

交换机LSW1配置

[LSW1-Vlanif2]vrrp vrid 1 virtual-ip 192.168.2.1     \\在接口Vlanif 2下创建虚拟网关

[LSW1-Vlanif2]vrrp vrid 1 priority 150      \\配置其优先级

交换机LSW2配置

[LSW1-Vlanif2]vrrp vrid 1 virtual-ip 192.168.2.1     \\在接口Vlanif 2下创建虚拟网关

测试连通性

测试成功。