GRE over IPSec

多用在站点到站点,协议号47.
GRE是一种三层封装技术,可以对某些网络层协议(如IPX、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如ipv4)传输,从而解决了异种网络的报文传输问题,如图:
GRE over IPSecGRE优缺点:
1.GRE除了可以封装网络层协议报文外,支持多种上层协议,还可以封装组播报文
2.不支持加密,较弱的身份验证机制,较弱的数据完整性校验

IPSec优缺点:
1.支支持IP封装,不知持多种上层协议,不支持组播
2.支持加密,支持身份验证机制,支持数据完整性校验

GRE封装:新IP头中使用47标识GRE,交给tunnel解封装
| 新IP | GRE | IP | data |

GRE over IPSec:
IPSec隧道两端的IP网络需要通信,需要获得对端网络的私网路由协议,假设两端都是动态路由协议,IPSec不具备封装组播报文的能力,因此需要借助GRE,GRE将组播报文封装为单播报文,再由IPSec封装传输到对端,形成GRE over IPSec

GRE over IPSec可以扩大跳数受限的范围:
如RIP协议最大支持15跳,GRE可以隐藏一部分跳数

无论哪一种VPN封装技术,最基本的构成要素分为三个部分:乘客协议、封装协议、运输协议,GRE也不例外
乘客协议指的是用户在传输数据时所使用的原始协议,如ipv4、ipv6、mpls等
封装协议指的是用来包装乘客协议对应的报文,使原始报文能够在新的网络中传输,如GRE
运输协议指的是被封装以后的报文在新的网络中传输时使用的网络协议,如ipv4

实验:
拓扑图:
GRE over IPSec配置ospf(IGP)路由:
GRE over IPSec
GRE over IPSec
GRE over IPSec
GRE over IPSec
pc1 ping AR2通
GRE over IPSecpc2 ping AR4 通
GRE over IPSecAR2与AR4之间建立GRE隧道
GRE over IPSec
GRE over IPSec
配置隧道ip为1.1.1.1,隧道协议类型为GRE,source地址为g0/0/1(也可以写12.12.12.1),隧道终点为13.13.13.2
GRE over IPSec
GRE over IPSec
查看隧道建立情况
GRE over IPSec将隧道地址通告进ospf
GRE over IPSec
GRE over IPSec
配置ipsec加密GRE隧道

GRE over IPSecGRE over IPSec

上一篇:GRE Vocabulary: chicanery - antic


下一篇:华为防火墙GRE ***配置