安全与VPN-GRE技术介绍-D.docx

， ， 安全与VPN-GRE技术介绍 技术介绍 安全和 VPN 技术介绍 安全和 VPN 目 录 i i 目 录 GRE 1 GRE简介 1 协议简介 1 GRE的安全选项 3 应用范围 3 技术介绍 安全和 VPN 技术介绍 安全和 VPN GRE PAGE PAGE 1 GRE GRE 简介 协议简介 GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议 （如 IP 和 IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如 IP）中传输。GRE 采用了 Tunnel（隧道）技术，是 VPN（Virtual Private Network）的第三层隧道协议。 Tunnel 是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个 Tunnel 的两端分别对数据报进行封装及解封装。 图1 X 协议网络通过 GRE 隧道互连一个X协议的报文要想穿越IP网络在Tunnel中传输，必须要经过加封装与解封装两个过程，下面以 图 1 图1 X 协议网络通过 GRE 隧道互连 加封装过程 Router A 连接 Group 1 的接口收到 X 协议报文后，首先交由 X 协议处理； X 协议检查报文头中的目的地址域来确定如何路由此包； 若报文的目的地址要经过 Tunnel 才能到达，则设备将此报文发给相应的 Tunnel 接口； Tunnel 口收到此报文后进行 GRE 封装，在封装 IP 报文头后，设备根据此 IP 包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。 GRE 封装后的报文格式 封装好的报文的形式如下图所示： 图 图2 封装好的Tunnel 报文格式 举例来说，一个封装在 IP Tunnel 中的 X 协议报文的格式如下： 图3 Tunnel 中传输报文的格式 需要封装和传输的数据报文，称之为净荷（Payload），净荷的协议类型为乘客协议 （Passenger Protocol）。系统收到一个净荷后，首先使用封装协议（Encapsulation Protocol）对这个净荷进行 GRE 封装，即把乘客协议报文进行了“包装”，加上了一个 GRE 头部成为 GRE 报文；然后再把封装好的原始报文和 GRE 头部封装在 IP 报文中，这样就可完全由 IP 层负责此报文的前向转发（Forwarding）。通常把这个负责前向转发的 IP 协议称为传输协议（Delivery Protocol 或者 Transport Protocol）。 根据传输协议的不同，可以分为 GRE over IPv4 和 GRE over IPv6 两种隧道模式。 解封装的过程 解封装过程和加封装的过程相反。 Router B 从 Tunnel 接口收到 IP 报文，检查目的地址； 如果发现目的地是本路由器，则 Router B 剥掉此报文的 IP 报头，交给 GRE 协议处理（进行检验密钥、检查校验和及报文的序列号等）； GRE 协议完成相应的处理后，剥掉 GRE 报头，再交由 X 协议对此数据报进行后续的转发处理。 ］ 说明： GRE 收发双方的加封装、解封装处理，以及由于封装造成的数据量增加，会导致使用 GRE 后设备的数据转发效率有一定程度的下降。 GRE 的安全选项 为了提高 GRE 隧道的安全性，GRE 还支持由用户选择设置 Tunnel 接口的识别关键字（或称密钥），和对隧道封装的报文进行端到端校验。 在 RFC1701 中规定： 若 GRE 报文头中的 Key 标识位置 1，则收发双方将进行通道识别关键字的验证，只有 Tunnel 两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。 若 GRE 报文头中的Checksum 标识位置 1，则校验和有效。发送方将根据 GRE头及 Payload 信息计算校验和，并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃。 应用范围 GRE 主要能实现以下几种服务类型： 多协议的本地网通过单一协议的骨干网传输 Novell IPX protocol Group 1 Novell IPX protocol Group 1 Novell IPX protocol Group 2 Router A Internet GRE tunnel Router B IP protocol Team 1 IP protocol Team 2 图4 多协议本地网通过单一协议骨干网传输 上图中，Group 1 和 Group 2 是运行 Novell IPX 协议的本地网，Te