思科、华为:GRE vpn 介绍和配置

  • 一、GRE VPN(Generic Routing Encapsulation)即通用路由封装协议,是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。
    • GRE是VPN(Virtual Private Network)的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。
    • 是为了实现中间是公网,两边是公司的总部和分布通过gre vpn 隧道进行通信
  • 二、GRE VPN的配置:
    • 1.思科配置:
      • 思科、华为:GRE vpn 介绍和配置

      • 1.创建隧道
        • router0
          • Router(config)#interfacetunnel 1
          • Router(config-if)#tunnel source f0/1  (接口给本路由器的公网接口)
          • Router(config-if)#tunnel destination 110.110.110.2(给对方的公网地址)
        • router2
          • interface tunnel 1
          • tunnel source f0/0
          • tunnel destination 100.100.100.1
      • 2.给隧道配置IP地址
        • Router0
          • Router(config)#interface tunnel 1
          • Router(config-if)#ip address 1.1.1.1 255.255.255.0
        • Router2
          • Router(config)#interface tunnel 1
          • Router(config-if)#ip address 1.1.1.2 255.255.255.0
      • 3.将隧道接口所有的网段network 到总部与分部所有的路由协议里面去。
        • Router0
          • Router(config)#router ospf 1
          • Router(config-router)#network 1.1.1.0 0.0.0.255 area 0
        • Router2
          • Router(config)#router ospf 1
          • Router(config-router)#network 1.1.1.0 0.0.0.255 area 0
      • 上图中两边使用ospf协议互通。
    • 华为配置:
      • 1、创建Tunnel接口,并进入Tunnel接口视图
        • [Huawei]interface Tunnel ?
        • <0-0>  Tunnel interface slot number
        • [Huawei-Tunnel0/0/2]
      • 2、配置Tunnel接口的隧道协议为GRE
        • [Huawei-Tunnel0/0/2]tunnel-protocol ?
      • 3.配置Tunnel的源地址或源接口
        • 配置Tunnel的源接口时,有如下注意事项:
        • Tunnel的源接口不能指定为自身GRE隧道的Tunnel接口,但可以指定为其他隧道的Tunnel接口。Tunnel的源地址可以配置为VRRP备份组的虚地址。Bridge-if接口不可配置为Tunnel的源接口。
      • 4.、配置Tunnel的目的地址
        • [Huawei-Tunnel0/0/2]destination ?
      • 5.配置Tunnel接口的地址
        • [Huawei-Tunnel0/0/2]ip address ?
      • 6.把地址加入ospf
      • GRE通过静态路由实现IPv4互通
        • ip route-static 10.1.2.0 255.255.255.0 Tunnel0/0/1 配置经过Tunnel接口的静态路由,把Tunnel 当作下一跳。
      • 注意:华为的GRE VPN 要注意destination和description ,不要把detination输成description
  • 三、GRE的特点
    • GRE是一个标准协议
    • 支持多种协议和多播
    • 能够用来创建弹性的VPN
    • 支持多点隧道
    • 能够实施QOS
  • 四、GRE的缺点
    • 缺乏加密机制
    • 没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)
    • 隧道很消耗CPU
    • 出现问题要进行DEBUG很困难
    • MTU和IP分片是一个问题
  • 五、keeplive
    • Keepalive检测功能的实现过程如下:
    • 1、当GRE隧道的源端使能Keepalive检测功能后,就创建一个定时器,周期地发送Keepalive探测报文,同时通过计数器进行不可达计数。每发送一个探测报文,不可达计数加1。
    • 2、对端每收到一个探测报文,就给源端发送一个回应报文。
    • 3、如果源端的计数器值未达到预先设置的值就收到回应报文,就表明对端可达。如果源端的计数器值到达预先设置的值——重试次数(Retry Times)时,还没收到回送报文,就认为对端不可达。此时,源端将关闭隧道连接。但是源端口仍会继续发送Keepalive报文,若对端Up,则源端口也会Up,建立隧道链接。
  • 六、目的:
  • 通过配置VPN来使两个内网直接进行通信

 

上一篇:linux – CentOS网络接口Post-Up脚本不执行


下一篇:macos – 如何通过终端创建VPN连接?