普通GRE协议隧道配置:GRE隧道与IPsec 隧道的异同

首先,我们了解下四种常见的隧道协议:

1.第二层转发(L2F)

思科专用,为支持虚拟专用拨号网络(VPDN)开发的隧道协议 ,拨号连接安全地访问公司网络,已被L2TP取代。

2.点到点隧道协议(PPTP)

微软等厂商开发,让远程网络能够安全地将数据传输到公司网络。

3.第2层隧道协议(L2TP)

思科和微软联合开发,取代L2F和PPTP(功能集于一身)

4.通用路由选择封装(GRE)

思科专用,建立虚拟点到点链路,使得IP隧道中封装各种协议分组。

GRE(Generic routing encapsulation)通用路由封装是一种隧道协议,能够在IP隧道中封装各种网络层协议的分组,从而创建虚拟点到点链路。GRE隧道并不提供加密服务,默认情况下以明文方式离开,所以通常使用GRE通过IPsec 隧道传输动态路由协议数据流。

GRE隧道特点

1.传输(IP)报头

2.GRE报头

3.乘客协议(IP)分组

GRE报头包含一个协议类型字段,因此可通过隧道传输任意第3层协议的数据。GRE是无状态的,也没有流量控制机制。GRE不提供任何安全机制。GRE会带来额外开销,每个分组至少24字节。

封装过程:

1.原数据流根据路由表转发进入tunnel中。

2.根据tunnel的配置被封装为GRE数据流,之后GRE数据流与tunnel所指定的source、destination地址组成新的IP报头GRE数据流。

3.新IP报头的GRE数据流再根据路由表转发到适应的出接口。

4.在出接口时,新IP报头的GRE数据流匹配了的加密映射表的ACL,所以新IP报头的GRE数据流被封装进了隧道中,之后形成的数据流转发出接口。

解封装过程:

1.路由器接收到数据流后判断为数据流,从而进行解封装,之后得到带有”新IP报头“的GRE数据流。

2.”新IP报头"的GRE数据流被转到tunnel中,去掉”新ip报头”再进行GRE解封装,得到原始数据流。

3.原始数据流根据路由表转到目标出口,期间经过从tunnel中出来。

tunnel(GRE隧道)与IPsec 隧道异同

1.两者都可以保留原始IP数据流情况下进行封装,并异地传输。

2.tunnel在异地的两端建立虚拟隧道接口,相当于异地是直连关系(可以建立邻居关系),从而能传输动态协议等数据流,tunnel数据流以明文方式传输;IPsec 隧道没有虚接口,只传输单播而不能传输多播和广播,从而使众多路由协议无法建立邻居关系和传输路由更新,由于封装是加密的,所以数据流以密文方式传输。

3.两者可以独立使用不相影响。但通常将两者组合使用,达到支持所有数据传输格式与安全,即tunnel被封装进IPSec 中。

补充:

GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。

GRE首部各字段解释如下:

undefined

大概总结:GRE隧道大概就是一个根据路由表传输的支持多协议的明文隧道传输方式。

IPSec是现网中常用的VPN技术,也经常和GRE隧道用来互相嵌套,详细可见下文。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇