GRE VPN技术.pptVIP

目标 学完本课程后，您将能够: 掌握GRE VPN的基本原理和实现方式 掌握GRE VPN的安全机制 掌握GRE VPN典型应用场景与配置方法 目录 GRE VPN概述 GRE VPN技术 GRE VPN应用场景分析 GRE协议概述 INTERNET 总部 GRE Tunnel 防火墙A 防火墙B IPX网络 IPX网络 GRE (Generic Routing Encapsulation): 是对某些网络层协议（如：IP, IPX, AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel 链路层 GRE IPX IP Payload GRE协议应用 IP/IPX GRE IP 链路层协议 乘客协议 封装协议 传输协议 不提供数据的加密，可以与IPSec结合使用 不提供流量控制 和QoS 原理机制简单， 配置与维护简便 1 2 3 GRE特点 目录 GRE VPN概述 GRE VPN技术 GRE VPN应用场景分析 GRE的实现-隧道接口 隧道接口（Tunnel接口）是为实现报文的封装而提供的一种点对点类型的虚拟接口，与Loopback接口类似，都是一种逻辑接口 目的地址 隧道接口IP地址 封装类型 源地址 GRE的实现-封装与解封装 封装过程： 路由原始数据包，进入tunnel接口后开始封装原始报文 将封装好的数据包转入IP模块进行处理 解封装过程： 报文的目的地址为本设备，且协议字段值为47 ，开始解封装 将解封装后的数据包转入IP模块进行处理 FW A FW B GRE TUNNEL Next hop: tunnel 协议字段: 47 GRE报头格式 C：校验和验证位。1表示插入了校验和字段；0 表示不包含校验和字段。 K：关键字位。1表示GRE 头插入了关键字字段；0表示GRE 头不包含关键字字段。 Recursion：用来表示GRE 报文被封装的层数。 Flags：预留字段。当前必须设为0。 Version：版本字段，必须置为0。Version 为1 是使用在RFC2637 的PPTP 中。 Protocol Type：乘客协议的协议类型。 Checksum：对GRE 头及其负载的校验和字段。 Key：关键字字段，隧道接收端用于对收到的报文进行验证。 C 位置为1校验和有效 … K位置为1，则需在GRE头中插入关键字字段 … GRE安全机制 校 验 和 验 证 识 别 关 键 字 C位为1 发送方计算校验和 接收方检查校验和 只有关键字完全一致，才可以通过验证 目录 GRE VPN概述 GRE VPN技术 GRE VPN应用场景分析 GRE VPN典型应用场景描述 运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙 B之间使用三层隧道协议GRE实现互联。 INTERNET 总部 GRE Tunnel E0/0/0 10.1.1.1/24 E1/0/0 192.13.2.1/24 E2/0/0 131.108.5.2/24 E0/0/0 10.1.3.1/24 防火墙A 防火墙B GRE VPN配置思路 基础配置（如配置接口IP地址） 配置tunnel逻辑接口，并指定GRE隧道使用的源地址及目的地址 配置到对端网络内网网段的路由，下一跳为tunnel口 放开相应的域间规则 开始 结束 GRE VPN配置注意事项 为保证数据流的正确转发，请将物理接口与其承载的Tunnel 接口加入到同一个安全区域中。 隧道两端设备正常转发GRE 封装的报文的前提是两端设备上均存在经过Tunnel 转发的路由。 如果配置通道识别关键字的验证，只有Tunnel 两端配置的识别关键字完全一致时才能通过验证，否则将报文丢弃。 如果配置校验和，发送方将根据GRE 头及payload 信息计算校验和，并将包含校验和的报文发送给对方。 总结 GRE VPN的基本原理和实现方式 GRE VPN的安全机制 GRE VPN典型应用场景与配置方法