GRE-通用路由封装
是一种简单的三层VPN封装技术,属于虚拟的点到点网络类型
优点:支持IP 网络作为承载网络、支持多种协议、支持IP 组播,配置简单,容易布署。
缺点:缺少保护功能,不能执行如认证、加密、以及数据完整性检查这些任务。
VPN---虚拟专用网络两个网络穿越中间网络直接通讯
GRE报文格式
乘客协议:报文封装之前所属的协议称为乘客协议
封装协议: 用来封装乘客协议的协议称为封装协议,这里的GRE便是一个封装协议
传输协议:负责对封装后的报文进行转发的协议称为传输协议 不同于传输层协议
GRE封装和解封装过程
- 设备从私网接口收到数据包后,先检查报文头部的ip地址,查找路由表,如果是隧道接口,则将该报文转发给隧道模块处理
- 隧道模块根据乘客协议和当前GRE隧道配置,对报文进行GRE封装
- 隧道模块给报文添加新的传输协议,该协议的源为隧道源,目为隧道目
- 最后,设备根据新的ip头部查表进行转发
- 接收端收到报文后,先分析最外层的ip头部,如果协议字段类型值为47(GRE协议号),会将该数据部分交给GRE模块处理,GRE模块去除最外层的ip头部,根据GRE报文头部的乘客协议内容,交给对应模块处理
实验:
配置接口ip(这里省略)
配置默认路由
[r1]ip route-static 0.0.0.0 0 12.1.1.2
[r3]ip route-static 0.0.0.0 0 23.1.1.1
测试公网之间的通信
私网之间不能ping通,因为运营商R2路由表没有私网
在R1和R3之间做隧道接口
配置GRE后,还要在本地路由补充去私网的路由
测试私网连通性,并抓包
MGRE---多点GRE属于NBMA网路类型
NBMA网络,仅有伪广播
Hub-spoke架构--中心到节点架构
NHRP---下一跳解析协议
在所有的tunnel接口上运行NHRP,并且手动配置NHRP-Sever
spoke分支点通信:分支点向NHRP-Sever进行查询,NHRP-Sever给出应答,分支通过NHRP-Sever给的tunnel地址和物理地址通信,所有的设备最终都要学习到达MGRE网络中所有的用户的tunnel地址和物理地址的映射关系
MGRE实验:
实验背景:A公司扩建到拥有两个子公司,要搭三个VPN,若是n个公式,则要搭建[n(n-1)]/2个VPN,不符合实际情况-----引出点对多点(实质也是点对点)
配置接口ip和配缺省(此处省略)
Hub中心节点配置和spoke节点配置
Hub中心节点:R1
spoke节点配置:R3,R4
注意:source后面必须写接口
[r1]display nhrp peer all----查看nhrp映射表
在本地补充路由
[r1]ip route-static 192.168.3.0 24 10.1.1.2
[r1]ip route-static 192.168.3.0 24 10.1.1.3
[r3]ip route-static 192.168.1.0 24 10.1.1.1
[r3]ip route-static 192.168.3.0 24 10.1.1.3
[r4]ip route-static 192.168.1.0 24 10.1.1.1
[r4]ip route-static 192.168.2.0 24 10.1.1.2
测试tunnel连通性
MGRE环境下的RIP网络搭建
基于上一个实验相同,但是不在本地配静态
[r1-rip-100]ver 2
[r1-rip-100]net 192.168.1.0
[r1-rip-100]net 10.0.0.0
[r3-rip-100]ver 2
[r3-rip-100]net 192.168.2.0
[r3-rip-100]net 10.0.0.0
[r4-rip-100]ver 2
[r4-rip-100]net 192.168.3.0
[r4-rip-100]net 10.0.0.0
MGRE环境下是点到点通讯,不支持组播(广播),R1无法通过发广播让分支学习路由,所有要开启伪广播
[r1-Tunnel0/0/0]nhrp entry multicast dynamic
学习成功!再查看分支的路由表
只学习到R1的路由,原因:水平分割-->从tunnel口学到路由不能从该口转发
关闭水平分割
[r1-Tunnel0/0/0]undo rip split-horizon
再次查看分支路由表
学习成功!
测试连通性
