隧道技术是VPN常用技术中的一种。
GRE概述
GRE:通用路由封装,全称 Generic Routing Encapsulation。它能快速、简单地跨越Internet(公网)实现私网之间连通,特别是在跨越公网组建大的网络。但GRE致命的缺点就是,他是明文传输数据。所以在部署GRE的时候,往往结合各种安全措施来保护数据,如利用Ipsec对其数加密。
通用路由封装(GRE) 是一种协议,用于将使用一个路由协议的数据包封装在另一协议的数据包中。“封装”是指将一个数据包包装在另一个数据包中,就像将一个盒子放在另一个盒子中一样。GRE 是在网络上建立直接点对点连接的一种方法,目的是简化单独网络之间的连接。它适用于各种网络层协议。
GRE的原理并不复杂,它只是在私网IP包头前再封装一个公网的IP包头,而在公网上传输,公网的路由器看的只是公网的IP包头的IP,不会看到私网的IP包头,直到到达目标路由器,目标路由器接受到数据后,去除公网IP包头发现是GRE数据,那么它就将原封不动这个私网IP数据传送到内网中(只是IP包头以上的数据不动,改变的是二层报头)。
隧道技术:
隧道:
是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道技术:
是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通 道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是 VPN技术中最关键的技术。
GRE隧道特点:
| 传输(IP)报头 | GRE报头 | 乘客协议(IP)分组 |
- GRE报头包含一个协议类型字段,因此可通过隧道传输任意第3层协议的数据。
- GRE是无状态的,也没有流量控制机制。
- GRE不提供任何安全机制。
- GRE会带来额外开销,每个分组至少24字节。
隧道传递数据包的过程分为3步:
- 接受原始数据包当作乘客协议,原始数据包包头的IP地址为私有IP地址
- 将原始IP数据包封装进GRE协议,GRE协议称为封装协议,封装的包头IP地址为虚拟直连链路两端的IP地址
- 将整个GRE数据包当作数据,在外层封装公网IP包头,也就是隧道的起源和终点,从而路由到隧道终点
实验案例
Client1:
本机地址:172.16.1.1
子网掩码:255.255.255.0
网关:172.16.1.254
Server1:
本机地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254R1:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname peer1
[peer1]int g0/0/0
[peer1-GigabitEthernet0/0/0]ip address 172.16.1.254 24
[peer1-GigabitEthernet0/0/0]int g0/0/1
[peer1-GigabitEthernet0/0/1]ip address 100.100.100.1 30
[peer1-GigabitEthernet0/0/1]quit
[peer1]ip route-static 0.0.0.0 0 100.100.100.2
[peer1]int Tunnel 0/0/1 //创建Tunnel接口
[peer1-Tunnel0/0/1]ip address 1.1.1.1 255.255.255.252 //配置IP地址
[peer1-Tunnel0/0/1]tunnel-protocol gre //配置Tunnel接口的隧道协议
[peer1-Tunnel0/0/1]source 100.100.100.1 //配置Tunnel的源地址
[peer1-Tunnel0/0/1]destination 200.200.200.1 //指定Tunnel接口的目的IP地址
[peer1-Tunnel0/0/1]quit
[peer1]ip route-static 192.168.1.0 24 Tunnel 0/0/1 //配置一条静态路由指向Tunnel
[peer1]quit
<peer1>save
R2:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname ISP
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 100.100.100.2 30
[ISP-GigabitEthernet0/0/1]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 200.200.200.2 30
[ISP-GigabitEthernet0/0/2]quit
[ISP]quit
<ISP>save
R3:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname peer2
[peer2]int g0/0/2
[peer2-GigabitEthernet0/0/2]ip address 200.200.200.1 30
[peer2-GigabitEthernet0/0/2]int g0/0/0
[peer2-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[peer2-GigabitEthernet0/0/0]quit
[peer2]ip route-static 0.0.0.0 0 200.200.200.2
[peer2]int Tunnel 0/0/2
[peer2-Tunnel0/0/2]ip address 1.1.1.2 30
[peer2-Tunnel0/0/2]tunnel-protocol gre
[peer2-Tunnel0/0/2]source 200.200.200.1
[peer2-Tunnel0/0/2]destination 100.100.100.1
[peer2-Tunnel0/0/2]quit
[peer2]ip route-static 172.16.1.0 24 Tunnel 0/0/2
[peer2]quit
<peer2>save
做完之后可以先去ping下公司内网OA办公系统,可以直接ping通说明GRE就成功了
还可以通过抓包来分析,在进入隧道时就变成公网IP,在出隧道时又变回私网IP
