防火墙——GRE隧道讲解
防火墙 讲解 隧道 GRE
2023-09-14 09:15:39 时间
目录
基本概念
简介
GRE(通用路由封装)是一种三层隧道封装技术,可以对某些网络层协议的报文进行封装。
解决了跨越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)
GRE的为网络层协议,其IP协议号为47
特点
两端设备配置简单,并且无需维持状态,对CPU的负担小
GRE隧道不支持加密,缺乏安全性——如果需要加密,可以结合IPSec使用
不提供流量控制和Qos
核心功能
建立隧道,打通私网
GRE封装
VPN封装三要素
无论哪一种VPN技术,其基本的构成要素可以分为三个部分
乘客协议
用户在传输数据时所使用的原始网络协议
封装协议
“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输
运输协议
封装后的报文在新网络中传输时所使用的网络协议
GRE头部报文
因为VRP中的GRE头不包含源路由字段,因此Bit 1、Bit 3和Bit 4都置为0
注意事项
tunnel 端口下的地址两端如果相同网段,则可以通过动态路由来建立隧道
如果两端不是相同网段,则只可以通过静态路由来建立隧道
使用动态路由建立隧道问题
使用动态路由协议宣告接口时不可以宣告公网接口
若宣告公网接口,会让对端设备从Tunnel口通过动态协议学习到此路由
当对端设备访问公网时,也会进行GRE封装(出现循环封装问题)
VPN隧道口虚假状态的问题
GRE隧道配置后,只要有到达隧道中配置的目的地址的路由(无论是否可达),隧道口都会激活
造成当对端设备、Tunnel口Down后(或者公网中有设备、端口故障),本端隧道还处于Up状态
解决方法——开启GRE的Keeplive检测
GRE实验配置_多谢思考的博客-CSDN博客
https://blog.csdn.net/m0_49864110/article/details/124945851