北京思科CCNP和思科 CCIE考試常見問題GRE虛擬專用網絡詳解
IPSec虛擬專用網絡用於在兩個端點之間提供安全的IP通信,但只能加密並傳播單播數據,無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量。通用路由封裝協議GRE提供了將一種協議的報文封裝在另一種協議報文中的機制,是一種隧道封裝技術。GRE可以封裝組播數據,並可以和IPSec結合使用,從而保證語音、視頻等組播業務的安全。
GRE可以用來對某些網絡層協議如IPX的報文進行封裝,使這些被封裝的報文能夠在另一網絡層協議中傳輸。GRE是虛擬專用網絡的第三層隧道協議,即在協議層之間採用隧道技術。
GRE本身並不支持加密,因而通過GRE隧道傳輸的流量是不加密的。將IPSec技術與GRE相結合,可以先建立GRE隧道對報文進行GRE封裝,然後再建立IPSec隧道對報文進行加密,以保證報文傳輸的完整性和私密性。
GRE封裝報文時,封裝前的報文稱爲淨荷,封裝前的報文協議稱爲乘客協議,然後GRE會封裝GRE頭部,GRE成爲封裝協議,也叫運載協議,最後負責對封裝後的報文進行轉發的協議稱爲傳輸協議。北京思科CCNP和思科 CCIE考試常見問題GRE虛擬專用網絡詳解
GRE封裝和解封裝報文的過程如下:
- 設備從連接私網的接口接收到報文後,檢查報文頭中的目的IP地址字段,在路由表查找出接口,如果發現出接口是隧道接口,則將報文發送給隧道模塊進行處理。
- 隧道模塊接收到報文後首先根據乘客協議的類型和當前GRE隧道配置的校驗和參數,對報文進行GRE封裝,即添加GRE報文頭。
- 設備給報文添加傳輸協議報文頭,即IP報文頭。該P報文頭的源地址就是隧道源地址,目的地址就是隧道目的地址。
- 設備根據新添加的IP報文頭目的地址,在路由表中查找相應的出接口,併發送報文。之後,封裝後的報文將在公網中傳輸。
- 接收端設備從連接公網的接口收到報文後,首先分析IP報文頭,如果發現協議類型字段的值爲47,表示協議爲GRE,於是出接口將報文交給GRE模塊處理。北京思科CCNP和思科 CCIE考試常見問題GRE虛擬專用網絡詳解
GRE的Keepalive檢測機制:
Keepalive檢測功能用於檢測隧道鏈路是否處於Keepalive狀態,即檢測隧道對端是否可達。如果不可達,隧道連接就會及時關閉,避免形成數據黑洞。打開Keepalive檢測功能後, GRE隧道本端會定期向對端發送Keepalive探測報文。若對端可達,則本端會收到對端的迴應報文;若對端不可達,則收不到對端的迴應報文。
在打開keepalive檢測功能之後,GRE隧道會創建一個計數器,並且週期性的發送keepalive探測報文。如果源端在計數器數值達到預先設置的值之前收到回覆報文,則表明對端可達,否則則爲不可達。如果不可達,那麼源端的隧道連接會被關閉。
GRE的安全選項:
爲了提高GRE隧道的安全性,GRE還支持由用戶選擇設置Tunnel接口的識別關鍵字或稱密鑰,和對隧道封裝的報文進行端到端校驗。北京思科CCNP和思科 CCIE考試常見問題GRE虛擬專用網絡詳解
Key驗證是指對隧道接口進行校驗,這種安全機制可以防止錯誤接收到來自其他設備的報文。若GRE報文頭中的Key標識位置1,則收發雙方將進行通道識別關鍵字的驗證,只有Tunnel兩端設置的識別關鍵字完全一致時才能通過驗證,否則將報文丟棄。
若GRE報文頭中的Checksum標識位置1,則校驗和有效。發送方將根據GRE頭及Payload信息計算校驗和,並將包含校驗和的報文發送給對端。接收方對接收到的報文計算校驗和,並與報文中的校驗和比較,如果一致則對報文進一步處理,否則丟棄。