GRE隧道的功能和实现.pptVIP

GRE隧道的功能和实现 测试部 马爱卿 2007年4月26日 提纲 GRE隧道简介 GRE的处理流程 GRE over IPSec GRE隧道的配置 FAQ GRE隧道简介 GRE（Generic Routing Encapsulation）是一种3层VPN技术，最初是由Cisco开发的，后被标准化为RFC 1701、1702和2784。两个具有IP可达性的场点间的GRE隧道可被称为VPN，因为场点间的私有数据被封装在GRE递送包头中。 GRE隧道可以用来连接企业的私有网点，但由于GRE本身缺乏足够强大的安全机制，所以很少被用来单独传输数据。 GRE通常和IPSec联合使用。IPSec是一种点对点的隧道协议，无法支持对多播报文的封装，而GRE可以，所以我们通常用GRE over IPSec，即先用GRE封装多播报文，再用IPSec封装GRE报文的方式来进行多播数据的加密传输。 TOS中GRE的处理流程 TOS中GRE的处理流程 GRE over IPSec GRE over IPSec的处理流程 在发送方，Pre_routing点不会先对此报文做处理，待原始IP（或其他报文如ARP）报文查找路由进行发送时，再由发送函数交由GRE协议处理函数处理，GRE封装完成后会重新返回Link_in处理，当查找路由时，匹配到IPSec口，然后又做一遍IPSec的处理，最后才从接口发送出去。 在接收端，因为IPSec封装在外层，报文会在Link_in上被解密，可以被正确识别为GRE报文，会送给Local_in进行GRE解封装处理（GRE报文的目的IP为本机地址），随后会当成普通的IP包重走HOOK点。 IPSec over GRE的处理流程 TOS 3.3目前不支持IPSec over GRE的封装方式。 按照前面的思维，如果要实现IPSec over GRE封装，那么在路由查找的过程中，需要依次匹配IPSec口，然后匹配GRE口；也就是，必须先建起隧道，然后再把路由指向GRE口，而这是无法实现的。（原因见备注） 换一种思路，考虑是否可以让IPSec协商报文走GRE隧道，这样建立成功后仍然是IPSec over GRE。但目前TOS的实现有一个限制，IPSec的协商必须在IPSec口的路径上进行，而IPSec口是无法绑定在GRE口上的。所以TOS上无法实现IPSec over GRE的方式。 可以预见，如果IPSec over GRE可以实现的话，在接收端，因为收到的报文外面是GRE封装，所以流程和GRE over IPSec时正好相反，报文会首先被Local-in上送Linux协议栈解封装，然后被当成普通IP包重走HOOK点，然后发现是一个IPSec加密报文，就走正常的IPSec解密流程了。 GRE隧道的配置 GRE的CLI配置 添加GRE隧道 Network Tunnle add name string local string remote string [ key number csum on|off seq on|off ttl number] local 通道本地端封装地址 remote 通道目的端封装地址 key 标示通道关键字 csum 是否开启校验和检查 on|off 是|否 seq 是否开启序列号检查 on|off 是|否 ttl 设置通道TTL GRE的CLI配置 添加到对方子网的路由 # network route add dst x.x.x.x/x dev gre-x 此处路由不做限制，可以配置为静态路由、默认路由或策略路由，不需要配置对端网关，只需要配置出接口为gre口。 需要注意的是，如果连接匹配了DPI策略，需要打开本地路由开关（network route local-policy on）。 对端GRE隧道配置 再对端设备上配置对应的GRE隧道和路由。 两端设备的GRE参数中，Key、TTL、Seq和Csum需一致，local和peer IP地址必须对应。 GRE的WebUI配置 配置GRE隧道 选择 网络链路 网络链路，进入“GRE”页面，点击“添加配置”，设置GRE通道参数。 GRE的WebUI配置 配置到达对端子网的路由 无论是AS还是AA模式，均需配置VRID组，主备状态是针对于给定的VRID组而言的。 选择网络管理 路由，进入“静态路由”页