竭诚为您提供优质文档/双击可除gre是什么层隧道协议篇一:cisco路由器配置gRe隧道cisco路由器配置gRe隧道路由封装(gRe)最早是由cisco提出的,而目前它已经成为了一种标准,被定义在RFc1701,RFc1702,以及RFc2784中。
简单来说,gRe就是一种隧道协议,用来从一个网络向另一个网络传输数据包。
gRe是一种Vpn隧道技术,其原理为本端路由器将3层报文封装到ip报文里,通过ip网络(例如internet)送到对端路由器后再解开还原。
可以把tunnel想象成一条ddn 专线,tunnel口上配置的ip地址就相当于连接ddn专线的串口的ip地址。
这个地址一般是内部的ip,internet上是不认的。
如果你觉得它和虚拟专用网(Vpn)有些类似,那只是因为:从技术上讲,gRe隧道是某一类型的Vpn,但是并不是一个安全隧道方式。
不过你也可以使用某种加密协议对gRe隧道进行加密,比如Vpn网络中常用的ipsec协议。
实际上,点到点隧道协议(pptp)就是使用了gRe来创建Vpn隧道。
比如,如果你要创建microsoftVpn隧道,默认情况下会使用pptp,这时就会用到gRe。
为什么要用gRe为什么要使用gRe进行隧道传输呢?原因如下:有时你需要加密的多播传输。
gRe隧道可以像真实的网络接口那样传递多播数据包,而单独使用ipsec,则无法对多播传输进行加密。
多播传输的例子包括ospF,eigRp,以及RipV2。
另外,大量的视频、Voip以及音乐流程序使用多播。
你所采用的某种协议无法进行路由,比如netbios或在ip网络上进行非ip传输。
比如,你可以在ip网络中使用gRe支持ipx或appletalk协议。
你需要用一个ip地址不同的网络将另外两个类似的网络连接起来。
如何配置gRe隧道?在cisco路由器上配置gRe隧道是一个简单的工作,只需要输入几行命令即可实现。
以下是一个简单的例子。
路由器a:interfaceethernet0/1ipaddress10.2.2.1255.255.255.0interfaceserial0/0ipaddress192.168.4.1255.255.255.0interfacetunnel0ipaddress1.1.1.2255.255.255.0tunnelsourceserial0/0tunneldestination192.168.4.2路由器b:interfaceFastethernet0/1ipaddress10.1.1.1255.255.255.0interfaceserial0/0ipaddress192.168.4.2255.255.255.0interfacetunnel0ipaddress1.1.1.1255.255.255.0tunnelsourceserial0/0tunneldestination192.168.4.1另外注意下路由配置情况,而tunnelsource和tunneldestination地址是internet上可以路由的ip地址,用于建立tunnel。
例如,本端路由器地址规划为:eth0:10.1.1.1/24(连接内部局域网)tunnel0:10.2.1.1/30(tunnelsource:202.38.160.1;tunneldestination:192.15.135.80)serial0:202.38.160.1/24(连接internet)iproute10.3.1.0255.255.255.010.2.1.2(到对端以太网的路由)对端路由器地址规划为:eth0:10.3.1.1/24(连接内部局域网)tunnel0:10.2.1.2/30(tunnelsource:192.15.135.80;tunneldestination:202.38.160.1)serial0:192.15.135.80/24(连接internet)iproute10.1.1.0255.255.255.010.2.1.1(到对端以太网的路由)在这个例子中,两个路由器均拥有虚拟接口,即隧道接口。
这一接口属于各自的网络,就好像一个点到点的t1环路。
跨越隧道网络的数据采用串行网络方式传输。
对于每个路由器都有两种途径将数据传递到另一端,即通过串行接口以及通过隧道接口(通过隧道传递数据)。
该隧道可以传输非路由协议的数据,如netbios或appletalk。
如果数据需要通过互联网,你可以使用ipsec对其进行加密。
从下面的信息反馈可以看出,路由器b上的隧道接口和其他网络接口没有什么不同:Routerb#shipintbrie interfaceip-addressokmethodstatusprotocolethernet010.1.1.1yesmanualupdownserial0192.168.4.2yesmanualupupserial1unassignedyesunsetadministrativelydowndown tunnel01.1.1.1yesmanualupupRouterb#解决gRe隧道的问题由于gRe是将一个数据包封装到另一个数据包中,因此你可能会遇到gRe的数据报大于网络接口所设定的数据包最大尺寸的情况。
接近这种问题的方法是在隧道接口上配置iptcpadjust-mss1436。
另外,虽然gRe并不支持加密,但是你可以通过tunnelkey命令在隧道的两头各设置一个密钥。
这个密钥其实就是一个明文的密码。
由于gRe隧道没有状态控制,可能隧道的一端已经关闭,而另一端仍然开启。
这一问题的解决方案就是在隧道两端开启keepalive数据包。
它可以让隧道一端定时向另一端发送keepalive数据,确认端口保持开启状态。
如果隧道的某一端没有按时收到keepalive数据,那么这一侧的隧道端口也会关闭。
篇二:gRe、pptp、l2tp(l2)隧道协议隧道技术是Vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有l2F、pptp、l2tp等。
l2tp协议是目前ietF的标准,由ietF融合pptp 与l2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有Vtp、ipsec等。
ipsec(ipsecurity)是由一组RFc文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。
gRe、pptp、l2tp隧道协议在ipsec和multiprotocollabelswitching(mpls)Vpn出现前,gRe被用来提供internet上的Vpn功能。
gRe将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,gRe仍然被使用。
在gRe隧道中,路由器会在封装数据包的ip头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接passenger:要封装的乘客协议(ipx,appletalk,ip,ipsec,dVmRp,etc.).carrier:封装passengerprotocol的gRe协议,插入到transport和passenger包头之间,在gRe包头中定义了传输的协议transport:ip协议携带了封装的passengerprotocol.这个传输协议通常实施在点对点的gRe连接中(gRe是无连接的).gRe的特点:gRe是一个标准协议支持多种协议和多播能够用来创建弹性的Vpn支持多点隧道能够实施qosgRe的缺点:缺乏加密机制没有标准的控制协议来保持gRe隧道(通常使用协议和keepalive)隧道很消耗cpu出现问题要进行debug很困难mtu和ip分片是一个问题配置:这里配置对端的ip地址和tunnelid(tunnelkey2323)来进行简单的认证。
两端配置的tunnelid必须配置相同。
在ciscoiosversions12.2(8)t允许配置keepalive,定期发送报文检测对端是否还活着gRe隧道gRe建立的是简单的(不进行加密)Vpn隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用ipsec)的gRe隧道,这样可以为这些协议提供安全性。
(相关配置请参看gReoveripsec)网状连接(Full-mesh)由于gRe是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种hub-and-spoke的拓扑形式但是可以通过使用nhRp(next-hopResolutionprotocol)来自动建立全网状拓扑。
(相关配置请参看nhRp配置全网状互联gRe隧道)Vpdn简介Vpdn(Virtualprivatedialnetwork,虚拟私有拨号网)是指利用公共网络(如isdn和pstn)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型isp、移动办公人员提供接入服务。
Vpdn采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企。