目录

基本概念

GRE封装

VPN封装三要素

GRE头部报文

注意事项

使用动态路由建立隧道问题

VPN隧道口虚假状态的问题

Tunnel口Down的原因


基本概念

什么是GRE

GRE(通用路由封装)是一种三层隧道封装技术,可以对某些网络层协议的报文进行封装。

解决了跨越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)

GRE的为网络层协议,其IP协议号为47

GRE特点

两端设备配置简单,并且无需维持状态,对CPU的负担小

GRE隧道不支持加密,缺乏安全性——如果需要加密,可以结合IPSec使用

不提供流量控制和Qos

主要功能

建立隧道,打通私网,传送组播流量


GRE封装

VPN封装三要素

无论哪一种VPN技术,其基本的构成要素可以分为三个部分

乘客协议

用户在传输数据时所使用的原始网络协议

封装协议

“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输

运输协议

封装后的报文在新网络中传输时所使用的网络协议

GRE头部报文

因为VRP中的GRE头不包含源路由字段,因此Bit 1、Bit 3和Bit 4都置为0


注意事项

tunnel 端口下的地址两端如果相同网段,则可以通过动态路由来建立隧道
如果两端不是相同网段,则只可以通过静态路由来建立隧道

使用动态路由建立隧道问题

使用动态路由协议宣告接口时不可以宣告公网接口

若宣告公网接口,会让对端设备从Tunnel口通过动态协议学习到此路由

当对端设备访问公网时,也会进行GRE封装,目的地址为tunnel接口的目的地址(也就是对端公网地址),再次进行GRE封装;(出现循环封装问题)

VPN隧道口虚假状态的问题

GRE隧道配置后,只要有到达隧道中配置的目的地址的路由(无论是否可达),隧道口都会激活

造成当对端设备、Tunnel口Down后(或者公网中有设备、端口故障),本端隧道还处于Up状态

解决方法——开启GRE的Keeplive检测

Tunnel口Down的原因

让tunnel状态为Up的条件有4个

(1)配置了tunnel接口的IP地址;

(2)配置了源地址和目的地址;

(3)源和目的地址之间要有可达的路由。

(4)Tunnel的源地址必须本地存在

防火墙——GRE实验配置_gre隧道_静下心来敲木鱼的博客-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/124945851?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168344701416800182742067%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168344701416800182742067&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124945851-null-null.blog_rank_default&utm_term=gre&spm=1018.2226.3001.4450

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐