Protocolo de túnel GRE

Others 2020-04-20 15:29:50 views: null

1. Introducción al protocolo GRE

GRE (Encapsulación de enrutamiento general) consiste en encapsular ciertos paquetes de datos de protocolos de capa de red (como IP e IPX), para que estos paquetes encapsulados puedan transmitirse en otro protocolo de capa de red (como IP) . Además, el protocolo GRE también se puede usar como un protocolo de túnel de capa 3 para que las VPN conecten dos redes diferentes, proporcionando un canal transparente para la transmisión de datos.

GRE tiene las siguientes características:

  • El mecanismo es simple, no es necesario mantener el estado y la carga de la CPU en los dispositivos en ambos extremos del túnel es pequeña;
  • No proporciona encriptación de datos en sí misma . Si se requiere encriptación , puede usarse junto con IPSec;
  • No proporciona control de flujo y QoS

2. formato de mensaje GRE

Inserte la descripción de la imagen aquí
Entre ellos:

  • Carga útil : el datagrama original recibido por el sistema que necesita ser encapsulado y enrutado;
  • Protocolo de pasajero : el protocolo al que se encapsuló el paquete antes se llama protocolo de pasajero
  • Protocolo de encapsulación ( Protocolo de encapsulación): el protocolo utilizado para encapsular el protocolo del pasajero se denomina protocolo de encapsulación. GRE aquí es un protocolo de encapsulación, que también se convierte en el protocolo de operador (Protocolo de operador);
  • Protocolo de transporte : el protocolo responsable del reenvío de mensajes encapsulados se denomina protocolo de transporte; es diferente del protocolo de la capa de transporte .

El significado de los campos de encabezado GRE:

Campo Longitud Significado
C 1 bit Marca de verificación de suma de control. Establecido en 1, el campo Checksum está en vigor; 0 significa que el campo Checksum no está en vigor
K 1 bit Identificación de palabras clave. Establecido en 1, el campo Clave en el encabezado es válido; 0 significa que el campo Clave no es válido
Recursividad 3bits Se usa para indicar el número de paquetes encapsulados. El valor se incrementa en 1 para cada paquete, hasta 3 paquetes
Banderas 5bits Reservado El valor es 0
Versión 3bits El número de versión. El valor es 0
Tipo de protocolo 16bits Tipo de acuerdo de pasajero
Suma de comprobación 16bits Cálculo de suma de verificación para encabezado GRE y carga. Solo válido cuando C es 1
Llave 32bits Información de palabras clave. El extremo receptor del túnel se usa para verificar los paquetes recibidos, que solo es válido cuando K es 1 ; además, también se usa para túneles GRE de uno a muchos
Otros Todavía no se utiliza, su valor se fija para llenar 0

3. Encapsulación y decapsulación de paquetes GRE

Tome la siguiente imagen como ejemplo:
Inserte la descripción de la imagen aquí

3.1 Encapsulación de paquetes

  • Después de que la interfaz del enrutador A conectado al Grupo 1 recibe el paquete del protocolo X, primero se entrega al protocolo X para su procesamiento;
  • El protocolo X verifica el campo de dirección de destino en el encabezado del paquete para determinar cómo enrutar este paquete;
  • Si la dirección de destino del paquete solo se puede alcanzar a través del túnel, el dispositivo envía el paquete a la interfaz de túnel correspondiente ;
  • Después de recibir el paquete, la interfaz del túnel realiza la encapsulación GRE . Después de encapsular el encabezado del paquete IP, el dispositivo reenvía el paquete de acuerdo con la dirección de destino y la tabla de enrutamiento del paquete IP y lo envía desde la interfaz de red correspondiente.

3.2 Decapsulación de paquetes

  • El enrutador B recibe paquetes IP de la interfaz del túnel y verifica la dirección de destino;
  • Si se encuentra que el destino es este enrutador, el enrutador B elimina el encabezado IP del paquete y lo entrega al protocolo GRE para su procesamiento (clave de verificación, suma de verificación y número de secuencia del paquete, etc.);
  • Después de que el protocolo GRE completa el procesamiento correspondiente, el encabezado GRE se elimina y luego el protocolo X reenvía el datagrama para el procesamiento posterior.
  • A medida que los paquetes se encapsulan y desencapsulan, la eficiencia efectiva de transmisión de datos se reducirá, lo que hará que el dispositivo reduzca la velocidad de reenvío de datos GRE.

4. Opciones de seguridad de GRE

Para mejorar la seguridad del túnel GRE, GRE también permite al usuario elegir establecer la palabra clave (o clave) de identificación de la interfaz del túnel y realizar una verificación de extremo a extremo ( suma de verificación ) de los paquetes encapsulados en el túnel .
De acuerdo con RFC 1701:

  • Si el identificador de clave en el encabezado del paquete GRE se establece en 1, el emisor y el receptor verificarán la palabra clave de identificación del canal. Solo cuando las palabras clave de identificación establecidas en ambos extremos del túnel sean completamente iguales, la verificación se puede pasar, de lo contrario el paquete se descarta.
  • Si el indicador de suma de control en el encabezado GRE se establece en 1, la suma de control es válida. El remitente calculará la suma de verificación basada en el encabezado GRE y la información de carga útil , y enviará el paquete que contiene la suma de verificación al igual. El receptor calcula la suma de comprobación del mensaje recibido y la compara con la suma de comprobación del mensaje. Si coinciden, el mensaje se procesa más, de lo contrario se descarta.

5. Ámbito de aplicación.

GRE (tipo punto a punto ) se utiliza principalmente en los siguientes entornos:

5.1 Las redes locales multiprotocolo se transmiten a través de una red troncal de un solo protocolo

Inserte la descripción de la imagen aquí
En la figura anterior: el Grupo 1 y el Grupo 2 son redes locales que ejecutan el protocolo IPX de Novell , y el Equipo 1 y el Equipo 2 son redes locales que ejecutan el protocolo IP . A través del túnel encapsulado por el protocolo GRE entre el enrutador A y el enrutador B , grupo 1 y grupo 2, el equipo 1 y el equipo 2 pueden comunicarse sin afectarse entre sí

5.2 Se amplió el rango de trabajo del protocolo de salto limitado (como RIP)

Inserte la descripción de la imagen aquí
Si el número de saltos entre dos terminales excede 15 (protocolo de enrutamiento RIP), no podrán comunicarse. Al usar un túnel en la red, se puede ocultar una parte del conteo de saltos, expandiendo así el rango de trabajo de la red

5.3 Conecte algunas subredes no continuas para formar una VPN

Inserte la descripción de la imagen aquí
Las dos subredes, Grupo 1 y Grupo 2, que ejecutan el protocolo IPX de Novell se encuentran en diferentes ciudades, y las VPN a través de la WAN se pueden lograr mediante el uso de túneles.

5.4 Uso con IPsec

Inserte la descripción de la imagen aquí
GRE se puede usar en combinación con IPsec, es decir, el protocolo de enrutamiento, voz, video y otros datos primero se encapsulan con GRE, y luego los paquetes encapsulados se cifran con IPsec para mejorar la seguridad de la transmisión de datos en el túnel.

Túnel GRE de 6 puntos a multipunto

6.1 Antecedentes del túnel GRE de punto a multipunto

Inserte la descripción de la imagen aquí
El túnel GRE tradicional es una conexión punto a punto . Cuando se aplica GRE a la red empresarial como se muestra en la figura anterior, debe establecerse entre el nodo central de la empresa y cada sucursalMúltiples túneles GRE punto a punto. Cuando hay muchas sucursales en una empresa, la carga de trabajo de configuración es enorme; además, si se agrega una nueva sucursal, la configuración debe agregarse en el nodo central, lo que aumenta la carga del mantenimiento de la red; además, cuando la sucursal usa ADSL y otros métodos para marcar Internet La incertidumbre de la dirección de red pública también aumenta la complejidad de la configuración del nodo central.

Aunque la tecnología VPN dinámica, como DVPN (Red privada virtual dinámica, red privada virtual dinámica), puede aprender la correspondencia entre las direcciones de red públicas y las direcciones de red privadas, y establecer dinámicamente un túnel entre el nodo central y las sucursales, diferentes sucursales, Sin embargo, actualmente no existe un estándar unificado para la tecnología VPN dinámica , y varios fabricantes usan protocolos privados para implementar VPN dinámica y no pueden comunicarse entre sí.

Los túneles GRE de punto a multipunto resuelven bien los problemas anteriores y son muy adecuados para redes empresariales con muchas sucursales . En la red de túnel GRE punto a multipunto, debe configurar la interfaz de túnel GRE punto a multipunto (en adelante, la interfaz de túnel GRE punto a multipunto) en el nodo central y el GRE punto a punto tradicional sobre IPv4 en la rama Interfaz de túnel (en adelante, la interfaz de túnel GRE punto a punto), de modo que el túnel se pueda establecer dinámicamente entre el nodo central y múltiples ramas

6.2 Principio de funcionamiento del túnel GRE punto a multipunto

Inserte la descripción de la imagen aquí
Y las interfaces de túnel GRE punto son diferentes , interfaz de túnel GRE multipunto de la configuración manual no es la dirección de destino del túnel , pero la raíz de acuerdo a los paquetes GRE recibidas de forma dinámica aprendido dirección de destino del túnel . Como se muestra en la Figura 2-2, un dispositivo configurado con una interfaz de túnel GRE de punto a multipunto (enrutador A) recibe el paquete GRE enviado por el dispositivo par (enrutador B) y obtiene el protocolo de transmisión (IPv4) del paquete La dirección de origen del encabezado del paquete y la dirección de origen del encabezado del paquete del protocolo del pasajero (IPv4) se utilizan como la dirección de destino del túnel y la dirección de destino del paquete (es decir, la dirección de red privada de la red de sucursal) para establecer una entrada de túnel.

Al reenviar un paquete a través de un túnel GRE de punto a multipunto, el dispositivo busca la dirección de destino del túnel correspondiente en la entrada del túnel de acuerdo con la dirección de destino del paquete, y utiliza esta dirección como la dirección de destino del encabezado del protocolo de transporte encapsulado GRE (IPv4). Inicialmente, no hay entrada de dirección de destino. Debe aprender antes de poder comunicarse con ambas partes. Anteriormente, solo podía comunicarse con una de las partes .

6.3 Escenarios de aplicación

6.3.1 GRE túnel de respaldo de ramas

Inserte la descripción de la imagen aquí
Para mejorar la confiabilidad de la red, las sucursales pueden implementar múltiples dispositivos de puerta de enlace para establecer túneles GRE entre el nodo central y múltiples dispositivos de puerta de enlace para formar una copia de seguridad.

Al crear un túnel GRE en el dispositivo de puerta de enlace de la sucursal, puede configurar la clave GRE . Cuando el nodo central crea una entrada de túnel basada en el mensaje GRE enviado por la rama, obtiene la clave GRE del mensaje GRE y la registra en la entrada del túnel. El nodo central juzga la prioridad de la entrada del túnel de acuerdo con la tecla GRE , y reenvía el paquete de acuerdo con la entrada del túnel con la prioridad más alta , y la entrada del túnel con la prioridad más baja se utiliza como respaldo. Las entradas que no registran la clave GRE tienen la máxima prioridad; las entradas que registran la clave GRE tienen menor prioridad y mayor prioridad .

  • La clave GRE solo se puede configurar en la interfaz de túnel GRE punto a punto del nodo de bifurcación, pero no se puede configurar en la interfaz de túnel GRE punto a multipunto del nodo central

6.3.2 Copia de seguridad del túnel GRE del nodo central

Inserte la descripción de la imagen aquí
Para mejorar la confiabilidad de la red, se pueden implementar múltiples dispositivos de puerta de enlace en la red central. Al designar una interfaz de respaldo (interfaz Tunnel1) para el túnel GRE de punto a multipunto en el dispositivo principal (enrutador A), el dispositivo de red central y la ruta de transmisión pueden ser respaldados. Cuando falla el enlace entre el dispositivo principal y la rama, el paquete enviado a la rama no puede encontrar una entrada de túnel coincidente en el dispositivo principal, y el dispositivo principal envía el paquete al dispositivo de respaldo (Enrutador B a través de la interfaz de respaldo ), El dispositivo de respaldo envía el mensaje a la sucursal. La interfaz de respaldo debe configurarse como una interfaz de túnel en modo GRE sobre IPv4.

Cuando existe una entrada de túnel en el dispositivo maestro, la interfaz de respaldo también puede participar en la selección del túnel de reenvío y decidir si usar la interfaz de respaldo para reenviar paquetes en función de la prioridad. Si la clave GRE no está configurada para la interfaz de respaldo, su prioridad es menor que todas las entradas de túnel punto a multipunto; si la clave GRE está configurada para la interfaz de respaldo, se compara con la clave GRE registrada en la entrada de túnel punto a multipunto, El valor de clave pequeña tiene alta prioridad

6.4 Ventajas y desventajas de los túneles GRE de punto a multipunto

6.4.1 Ventajas:

  • La configuración es simple. Solo es necesario configurar un túnel GRE punto a multipunto en el nodo central, y no es necesario crear un túnel GRE punto a punto en el nodo central para llegar a cada rama.
  • El costo de mantenimiento es pequeño. Al agregar una rama, el nodo central aprenderá dinámicamente la dirección de la rama recién agregada y establecerá un túnel con ella sin configuración manual.
  • El método de acceso de sucursal es flexible. El nodo central aprende dinámicamente la dirección de destino del túnel, y si la sucursal obtiene dinámicamente una dirección de red pública (como acceder a la red utilizando métodos de acceso telefónico como ADSL) no afecta la configuración del nodo central.
  • Basado en el protocolo GRE estándar, no hay necesidad de protocolos especiales o protocolos privados para cooperar, y tiene una mejor interoperabilidad.
  • No hay requisitos especiales para el equipo de puerta de enlace utilizado por la sucursal, siempre que sea compatible con el protocolo GRE para evitar inversiones repetidas en equipos de red de usuario.
  • Admite respaldo de túnel GRE de sucursales y nodos centrales para mejorar la confiabilidad de la red.

6.4.2 Desventajas:

  • El protocolo de transmisión y el protocolo de pasajero del túnel GRE de punto a multipunto solo pueden ser IPv4 .
  • Redes de túnel GRE de punto a multipunto,La red central no puede enviar mensajes activamente a la red de sucursales. Solo después de que la red central recibe el paquete de la red de sucursal y establece una entrada de túnel en el nodo central, el paquete enviado por la red central a la red de sucursal se puede reenviar con éxito
  • En una red de túnel GRE de punto a multipunto, las redes de sucursales no pueden establecer túneles y no pueden comunicarse.
2603898260
81 artículos originales publicados · Me gusta 69 · Visitantes 50,000+
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/s2603898260/article/details/104201039
Recomendado
Clasificación
Diario
Más
2024-06-14(0)
2024-06-13(0)
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)

Code World

© 2018 codetd.com