GRE原理
GRE简介:
General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。
GRE报文封装:
图:GRE报文格式
其中:
净荷(Payload):系统收到的需要封装和路由的数据报称为净荷。
乘客协议(Passenger Protocol):封装前的报文协议称为乘客协议。
封装协议(Encapsulation Protocol):上述的GRE协议称为封装协议,也称为运载协议(Carrier Protocol)。
传输协议(Transport Protocol或者Delivery Protocol):负责对封装后的报文进行转发的协议称为传输协议。
GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。
GRE首部各字段解释如下:
图:GRE报文抓包示例
GRE的的上层协议是IP,协议号为47.
GRE的实现–隧道接口:
隧道接口(Tunnel接口)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。
隧道接口必须配置的四项:封装类型、隧道接口地址、源地址、目的地址。
GRE的应用场景:
GRE over IPSec
IPv6 over IPv4
扩大条数受限的网络工作范围
GRE的优缺点:
优点:
支持多种上层协议
支持组播,QoS
支持组播,就意味着可以运行组播类协议,如动态路由。
缺点:~薄弱的安全性
不支持加密
较弱的身份认证机制
GRE over IPSec
IPSec的优缺点分析:
IPSec缺点:
只支持IP协议的封装,不支持多层上层协议
不支持组播
IPSec的优点 —较强的安全性:
支持加密
支持身份验证机制
支持数据完整性校验
GRE over IPSec:
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如视频会议或动态路由协议消息等。
当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头,导致报文长度更长,更容易导致分片,所以推荐采用传输模式GRE over IPSec。
图:GRE over IPSec报文封装和隧道协商过程
IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用IPSec安全策略的接口地址。
IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址,目的地址为GRE隧道的目的端地址。
GER over IPSec的两种封装模式:
(1) 传输模式 -------建议采用
2个IP头部 原始IP头部 GRE头部
(2) 隧道模式
3个IP头部 原始IP头部 GRE头部 IPSEC头部
GRE over IPSec配置实验
实验拓扑图:
FW1和FW2之间建立GRE over IPSec隧道,使PC1网络好PC2网络用户可通过隧道互相访问。
图:GRE Over IPSec实验拓扑图
安全策略的放行:
图:安全策略的放行
注意:关于需不需要放行gre流量的问题。
因为gre头部是在esp头部或公网IP头部中封装的,实际流量会被esp加密传输。应该是不需要放行gre的,但是在实际测试中需要放行。
在华为防火墙实际测试中,放行gre流量后IPSec SA可以正常建立,双方的主机也可以互相通信。而不放行gre的话,IPSec SA可以正常建立,但是双方的主机不能互相通信。
检查测试:
图:PC1与PC2的连通性测试
注意:当在Tunnel口调用IPSec后,可以成功建立IPSec SA,需要流量的触发。但是在防火墙的Web管理界面的IPSec监控中看不到有关IPSec的信息,只能通过命令行查看。
在配置IPSec Profile(模板)的时候:
不能配置远端的IP地址
在Tunnel口上绑定IPSec策略时,放行gre的流量的方向是,从vpn --> local的方向的流量。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
转自:CSDN博主
代做工资流水公司湖州房贷银行流水 查询泰州转账银行流水办理银川贷款银行流水办理烟台银行流水账单样本东莞查询银行流水单嘉兴入职流水办理漳州入职银行流水报价佛山收入证明图片许昌办理银行对公流水洛阳对公流水模板昆明开薪资流水兰州银行流水账打印宁波工作收入证明制作信阳银行流水修改办理揭阳打印贷款流水青岛查询企业贷流水泰安个人流水代做济南企业对私流水开具绍兴查签证银行流水岳阳制作企业对公流水上海转账银行流水办理佛山车贷工资流水 价格邯郸车贷银行流水 价格临沂办背调工资流水湖州工资流水样本蚌埠开企业银行流水常德房贷流水图片临沂打印贷款流水台州对公账户流水价格扬州代做工作收入证明香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声卫健委通报少年有偿捐血浆16次猝死汪小菲曝离婚始末何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言男子被猫抓伤后确诊“猫抓病”周杰伦一审败诉网易中国拥有亿元资产的家庭达13.3万户315晚会后胖东来又人满为患了高校汽车撞人致3死16伤 司机系学生张家界的山上“长”满了韩国人?张立群任西安交通大学校长手机成瘾是影响睡眠质量重要因素网友洛杉矶偶遇贾玲“重生之我在北大当嫡校长”单亲妈妈陷入热恋 14岁儿子报警倪萍分享减重40斤方法杨倩无缘巴黎奥运考生莫言也上北大硕士复试名单了许家印被限制高消费奥巴马现身唐宁街 黑色着装引猜测专访95后高颜值猪保姆男孩8年未见母亲被告知被遗忘七年后宇文玥被薅头发捞上岸郑州一火锅店爆改成麻辣烫店西双版纳热带植物园回应蜉蝣大爆发沉迷短剧的人就像掉进了杀猪盘当地回应沈阳致3死车祸车主疑毒驾开除党籍5年后 原水城县长再被查凯特王妃现身!外出购物视频曝光初中生遭15人围殴自卫刺伤3人判无罪事业单位女子向同事水杯投不明物质男子被流浪猫绊倒 投喂者赔24万外国人感慨凌晨的中国很安全路边卖淀粉肠阿姨主动出示声明书胖东来员工每周单休无小长假王树国卸任西安交大校长 师生送别小米汽车超级工厂正式揭幕黑马情侣提车了妈妈回应孩子在校撞护栏坠楼校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变老人退休金被冒领16年 金额超20万西藏招商引资投资者子女可当地高考特朗普无法缴纳4.54亿美元罚金浙江一高校内汽车冲撞行人 多人受伤