第4章GRE协议配置.doc

通用路由平台VRP 操作手册 VPN分册目 录目 录第4章 GRE协议配置4-14.1 简介4-14.1.1 GRE协议概述4-24.1.2 GRE协议应用4-34.1.3 采用GRE隧道接入MPLS VPN4-64.1.4 支持Keepalive特性4-64.1.5 参考信息4-74.2 配置普通GRE隧道4-84.2.1 建立配置GRE的任务4-84.2.2 配置Tunnel接口4-94.2.3 配置Tunnel的路由4-104.2.4 配置GRE的安全选项4-114.2.5 检查配置结果4-124.3 配置CE-PE间的GRE隧道4-124.3.1 建立配置任务4-124.3.2 在CE配置Tunnel接口4-134.3.3 在PE配置Tunnel接口4-144.3.4 在PE上将GRE Tunnel与CE所在的VPN进行绑定4-144.3.5 检查配置结果4-144.4 配置GRE支持Keepalive特性4-154.4.1 建立配置任务4-154.4.2 配置源端和对端的GRE隧道4-164.4.3 使能GRE隧道源端的Linkalive功能4-174.4.4 检查配置结果4-174.5 典型配置举例4-184.5.1 配置GRE使用静态路由示例4-184.5.2 配置GRE使用动态路由协议示例4-234.5.3 在CE-PE间配置穿过公网的GRE隧道，使CE的用户接入MPLS VPN4-274.5.4 在CE-PE间配置穿过VPN的GRE隧道，使CE的用户接入MPLS VPN4-344.5.5 配置GRE支持Keepalive特性示例4-414.6 故障处理4-44i通用路由平台VRP 操作手册 VPN分册第4章 GRE协议配置第4章 GRE协议配置通用路由封装GRE（Generic Routing Encapsulation）是对使用某些网络层协议封装的报文能够在另一网络层协议中传输。下表列出了本章所包含的内容。如果您需要请阅读了解GRE的基本原理和概念简介配置普通的、较简单的GRE隧道配置任务：配置普通GRE隧道配置举例1：配置GRE使用静态路由示例配置举例2：配置GRE使用动态路由协议示例配置私网用户边缘设备CE使用GRE隧道接入公网配置任务：配置CE-PE间的GRE隧道配置举例1：在CE-PE间配置穿过公网的GRE隧道，使CE的用户接入MPLS VPN配置举例2：在CE-PE间配置穿过VPN的GRE隧道，使CE的用户接入MPLS VPN配置具有Keepalive特性的GRE隧道配置任务：配置GRE支持Keepalive特性配置举例：配置GRE支持Keepalive特性示例检测和排除GRE的运行故障故障处理4.1 简介本节介绍配置GRE所需理解的基本知识，具体包括：l GRE协议概述l GRE协议应用l 采用GRE隧道接入MPLS VPNl 支持Keepalive特性l 参考信息4.1.1 GRE协议概述1. GRE协议通用路由封装GRE（Generic Routing Encapsulation）是对某些网络层协议（如IP和IPX）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输。GRE可以作为VPN的第三层隧道协议，在协议层之间采用隧道（Tunnel）技术。Tunnel是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并在一个Tunnel的两端分别对数据报进行封装及解封装。2. 报文封装及解封装(1) 报文的传输报文在Tunnel中传输包括加封装与解封装两个过程，下面以图4-1的网络为例说明这两个过程：图4-1 IPX网络通过GRE隧道互连l 加封装过程连接Novell group1的接口收到IPX数据报后，首先交由IPX协议处理。IPX协议检查IPX报头中的目的地址域来确定如何路由此包。如果发现报文的目的地址要经过网号为1f的网络（Tunnel的虚拟网号），则将此报文发给网号为1f的Tunnel接口。Tunnel接口收到此报文后进行GRE封装，封装完成后交给IP模块处理，在封装IP报文头后，根据报文目的地址及路由表交由相应的网络接口处理。l 解封装过程解封装过程和加封装过程相反。从Tunnel接口收到IP报文，检查目的地址，当发现目的地就是此路由器时，系统去掉此报文的IP报头，交给GRE协议模块处理；GRE协议模块完成相应的处理后，去掉GRE报头，再交由IPX协议模块处理，IPX协议模块象对待一般数据报一样对此数据报进行处理。(2) 基本概念系统收到的需要封装和路由的数据报称为净荷（Payload），净荷首先被加上GRE封装，成为GRE报文；再被封装在IP报文中，这样IP层就可以完全负责此报文的转发（forward）。负责转发的IP协议被称为传输协议（Delivery Protocol或者Transport Protocol）。封装好的报文的形式如图4-2所示：图4-2 封装好的Tunnel报文格式举例来说，一个封装在IP Tunnel中的IPX报文的格式可以表示为：Passenger Protocol：乘客协议Carrier Protocol / Encapsulation Protocol：运载协议/封装协议Transport Protocol：传输协议图4-3 Tunnel中传输报文的格式4.1.2 GRE协议应用GRE主要可用于实现以下几种服务类型：1. 多协议的本地网通过单一协议的骨干网传输图4-4 多协议本地网通过单一协议骨干网传输图4-4中，Group1和Group2是运行Novell IPX的本地网，Term1和Term2是运行IP的本地网。通过在Router A和Router B之间采用GRE协议封装的隧道（Tunnel），Group1和Group2、Team1和Team2可以互不影响地进行通信。2. 扩大了步跳数受限协议（如IPX）的网络的工作范围图4-5 扩大网络工作范围在图4-5中，如果两台终端之间的步跳数超过15，它们将无法通信。在网络中使用隧道（Tunnel）可以隐藏一部分步跳，从而扩大网络的工作范围。3. 将不连续的子网连接起来，用于组建VPN图4-6 Tunnel连接不连续子网运行Novell IPX协议的两个子网Group1和Group2分别在不同的城市，通过使用隧道可以实现跨越广域网的VPN。4. 与IPSec结合使用，弥补IPSec不能保护组播数据的缺陷图4-7 GRE-IPSec隧道应用GRE可以封装组播数据并在GRE隧道中传输，而IPSec目前只能对单播数据进行加密保护。对于组播数据需要在IPSec隧道中传输的情况，可以先建立GRE隧道，对组播数据进行GRE封装，再对封装后的报文进行IPSec加密，从而实现组播数据在IPSec隧道中的加密传输。5. 其他特性GRE本身提供两种比较弱的安全机制：校验和验证和识别关键字验证。前者对封装的报文进行端到端校验，后者对Tunnel接口进行校验。RFC1701（Generic Routing Encapsulation）中规定：如果GRE报文头中的Checksum位置位，则校验和有效。发送方将根据GRE头及payload信息计算校验和，并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃报文。隧道两端可以根据实际需要选择是否配置校验和，从而决定是否触发校验功能。如果本端配置了校验和而对端没有配置，则本端将不会对接收到的报文进行校验和检查；相反，如果本端没有配置校验和而对端已配置，本端将对从对端发来的报文进行校验和检查。RFC1701中还规定：若GRE报文头中的KEY位置位，则收发双方将进行通道识别关键字的验证。只有Tunnel两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。4.1.3 采用GRE隧道接入MPLS VPN在MPLS VPN中，为了让用户端设备CE接入VPN中往往需要CE与PE之间有直接的物理链路，即在同一个网络中。在这样的组网中，需要在PE上将VPN与PE到CE的物理接口进行绑定。在CE和PE不是直连的情况下，为了让CE也能接入到VPN中，可以考虑在CE和PE之间创建“逻辑上的直连”，也就是在CE与PE之间创建GRE隧道。在这样的组网中，就需要在PE上将VPN与PE-CE之间的GRE隧道进行绑定。其实就是把GRE隧道当作一个物理接口来看待。采用GRE隧道接入MPLS VPN时，在PE上的配置可按以下三种情形来划分：(1) GRE隧道的源接口绑定VPN实例，GRE隧道的目的地址也属于该VPN实例。(2) GRE隧道绑定VPN实例，GRE隧道的源地址和目的地址不属于VPN实例。(3) GRE隧道绑定一个VPN实例（例如VPN1），GRE隧道的源接口绑定了另一个VPN实例（例如VPN2），即GRE隧道需要穿过VPN2。由于在第1种情形中，GRE隧道的源和目的地址都属于私有网络，在实际的应用中在私有网络里再创建一个隧道到PE，没有什么价值。因此第1种情形不会在实际网络中存在。后面的配置过程和举例主要针对第2和第3种情况。4.1.4 支持Keepalive特性目前，GRE协议并不具备探测链路状态的功能。如果远端端口不可达，隧道并不能及时关闭该Tunnel连接。这样会造成源端会不断的向对端转发数据，而对端却因Tunnel不通而丢弃所有报文，由此就会形成数据发送的空洞。而GRE的Link-alive功能能够使Tunnel检测隧道状态。如果对端不可达，隧道连接就会及时关闭，避免形成数据空洞。在GRE隧道的源端使能link-alive功能后，就会周期地发送一个link-alive探测报文。Link-alive报文格式如图4-8。图4-8 Link-alive报文格式此报文包含两个IP头和两个GRE头。外层IP头（Outer IP header GRE header）的源地址为GRE隧道的源地址，目的地址为GRE隧道的目的地址。而内层IP头（Inner IP header）的源地址为GRE隧道的目的地址，目的地址为GRE隧道的源地址。紧跟在外层IP头字段后面的 GRE header的PT（Protocol Type）为IP协议。紧跟在内层IP头字段后面的GRE header的PT值为0。Linkalive报文的作用是为了探测对端Tunnel是否可达。故该报文不携带数据部分。另外，本端实现Linkalive功能并不要求对端也具备linkalive，对端只需实现转发功能。源端周期性的发送link-alive报文。每发送一个，不可达计数器加1。当此计数器到达预先设置的值还没收到回送报文，就认为对端不可达。接着该Tunnel连接就会被关闭。若对端收到此报文，就会对该报文进行解封装去掉外层IP头字段，去掉并分析紧跟其后的GRE header字段，发现PT为IP协议，就将解封装后的报文交给IP 进程处理。由于该报文有内层IP头字段，IP进程就会直接转发该报文。由于内层IP头的目的地址为GRE隧道的源地址。这样，报文就回到了源端。源端接收到该回应报文，检查PT值，如果PT的值是0，则不可达计数器清零，丢弃该报文并接着发送link-alive报文。若对端不可达，则源端发送的link-alive报文后不会收到对端的回应报文，不可达报文计数器增1。& 说明：Linkalive报文的作用是为了探测对端Tunnel是否可达，故该报文不携带数据部分。另外，本端实现Linkalive功能并不要求对端也具备linkalive，对端只需要实现转发功能。4.1.5 参考信息如果要更详细了解GRE的原理，请参考以下文档。l RFC1701：Generic Routing Encapsulation（GRE）l RFC1702：Generic Routing Encapsulation over IPv4 networksl RFC2784：Generic Routing Encapsulation (GRE)4.2 配置普通GRE隧道4.2.1 建立配置GRE的任务1. 应用环境配置GRE需要创建Tunnel接口，在Tunnel接口上进行功能特性的配置。当删除Tunnel接口后，该接口上的所有配置也将被删除。2. 前置任务在配置GRE之前，需完成以下任务：l 配置源接口和目的接口的链路层协议l 配置源接口和目的接口的网络层协议3. 数据准备在配置GRE之前，需准备以下数据。序号数据1Tunnel接口的编号2Tunnel的源地址和目的地址3Tunnel接口的IP地址4Tunnel接口的识别关键字4. 配置过程序号过程1配置Tunnel接口2配置Tunnel的路由3配置GRE的安全选项4检查配置结果4.2.2 配置Tunnel接口& 说明：Tunnel两端的封装模式必须相同。当在分布式设备上创建Tunnel接口时，建议Tunnel接口的槽号与所设置的源端接口所在槽位保持一致，即，使用发出GRE报文的实际接口的槽位号，这样可以提高转发效率。步骤操作命令1进入系统视图system-view2创建Tunnel接口，并进入Tunnel接口视图interface tunnel interface-number3将Tunnel封装为GRE隧道tunnel-protocol gre4设置Tunnel接口的源端地址source source-ip-address | interface-type interface-number 5设置Tunnel接口的目的端地址destination vpn-instance vpn-instance-name ip-address6设置Tunnel接口的IP地址ip address ip-address mask | mask-length sub 或配置Tunnel接口借用IP地址ip address unnumbered interface interface-type interface-number当IP地址不够用或需要节约IP地址时，可以配置Tunnel接口借用其他接口的IP地址。& 说明：当配置Tunnel接口借用IP地址时，由于Tunnel接口本身没有IP地址，无法在此接口上启用动态路由协议，必须手工配置一条到对端网段的静态路由，指定下一跳的出口为对端的tunnel接口，才能实现路由器间的连通。在创建Tunnel接口后，还需要指定隧道的源端地址和目的端地址，前者是发出GRE报文的实际物理接口IP地址，后者是接收GRE报文的实际物理接口IP地址。如果使用接口类型和接口编号指定隧道源端，不能指定成本端Tunnel接口。Tunnel的源端地址与目的端地址唯一标识了一条隧道。这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。为使隧道支持动态路由协议，还要配置Tunnel接口的网络地址。Tunnel接口的网络地址可以不是公网地址。隧道两端的网络地址应该位于同一网段。缺省情况下，未设置Tunnel接口的网络地址。4.2.3 配置Tunnel的路由步骤操作命令1进入系统视图system-view2配置静态路由ip route-static dest-ip-address mask | mask-length tunnel tunnel-number3配置动态路由（略）& 说明：实际配置时，根据需要选择上述步骤2、3中的一种即可。在源端路由器和目的端路由器上都必须存在经过Tunnel转发的路由，这样，需要进行GRE封装的报文才能正确转发。可以配置静态路由或配置动态路由。在Tunnel的两端都要配置。配置静态路由时，需要注意：目的地址不是Tunnel的目的端地址，而是未进行GRE封装的报文的目的地址，下一跳是对端Tunnel接口的地址。配置动态路由协议时，在Tunnel接口和与私网相连的路由器接口上都要使能该动态路由协议。并且，为保证能够选到正确的路由，在配置动态路由协议时，应注意避免去往Tunnel目的端物理地址的路由下一跳被选为Tunnel接口。图4-9 GRE动态路由协议配置图在图4-9中，以RouterA为例，Tunnel1/0/1的源端物理接口为RouterA的POS1/0/0，目的端物理接口为RouterC的POS2/0/0。如果使用动态路由协议，则Tunnel接口和接入PC的GigabitEthernet接口上都需要配置动态路由协议，并且，路由表中去往RouterC的POS2/0/0网段地址的出接口不能是Tunnel1/0/1。实际配置时，可以采用多进程路由协议或改变Tunnel接口度量值，避免Tunnel接口被选为去往Tunnel目的端物理地址的路由出接口。4.2.4 配置GRE的安全选项步骤操作命令1进入系统视图system-view2进入Tunnel接口视图interface tunnel interface-number3设置Tunnel进行端到端校验gre checksum4设置Tunnel接口的识别关键字gre key key-number本节的配置都是可选配置，且步骤3和步骤4相互没有影响。缺省情况下，禁止Tunnel两端进行端到端校验；Tunnel不使用识别关键字。4.2.5 检查配置结果步骤操作命令1查看Tunnel接口的工作状态display interface tunnel interface-number 2查看路由表display ip routing-table3查看隧道两端是否能互通ping -a source-ip-address dest-ip-address在配置成功时，执行上面的命令，应能得到如下的结果：l Tunnel接口状态为Up，且链路层协议状态为Up。l 路由表中有“Interface”为此Tunnel接口，且“Destination”为所设置的Tunnel的目的端地址。l 从本端隧道接口地址ping目的端隧道接口地址，能ping通。4.3 配置CE-PE间的GRE隧道4.3.1 建立配置任务1. 应用环境如果CE不与PE直接连接，但CE所挂的用户需要接入到MPLS VPN中，这种需求可以通过在CE-PE间配置GRE隧道实现。通常，在如下2种情况下需要创建CE-PE之间的GRE隧道：l CE经过公网与PE互连l CE经过二级运营商的VPN与PE互连2. 前置任务在配置CE-PE间的GRE隧道之前，需完成以下任务：l 配置CE与PE上接口的IP地址l 配置CE-PE间的路由l 如果CE-PE间的GRE隧道穿过另外的VPN，还需要完成该VPN的配置。3. 数据准备在配置CE-PE间的GRE隧道之前，需准备以下数据。序号数据1CE上GRE Tunnel接口的编号2CE上GRE Tunnel的源地址和目的地址3PE上GRE Tunnel接口的编号4PE上GRE Tunnel接口的源地址和目的地址5如果GRE Tunnel穿过另外的VPN，还需知道该VPN的名字4. 配置过程序号过程1在CE配置Tunnel接口2在PE配置Tunnel接口3在PE上将GRE Tunnel与CE所在的VPN进行绑定4检查配置结果& 说明：要让CE所挂的用户接入到MPLS VPN中，还需在配置PE上的MPLS VPN，以及PE与CE间的路由。4.3.2 在CE配置Tunnel接口步骤操作命令1进入系统视图system-view2创建Tunnel接口，并进入Tunnel接口视图interface tunnel interface-number3将Tunnel封装为GRE隧道tunnel-protocol gre4设置Tunnel接口的源端地址source source-ip-address | interface-type interface-number 5设置Tunnel接口的目的端地址destination vpn-instance vpn-instance-name ip-address6设置Tunnel接口的IP地址ip address ip-address mask | mask-length CE上隧道的源地址与PE上隧道的目的地址相同，CE上隧道的目的地址与PE上隧道的源地址相同。4.3.3 在PE配置Tunnel接口步骤操作命令1进入系统视图system-view2创建Tunnel接口，并进入Tunnel接口视图interface tunnel interface-number3将Tunnel封装为GRE隧道tunnel-protocol gre4设置Tunnel接口的源端地址source source-ip-address | interface-type interface-number 5设置Tunnel接口的目的端地址destination vpn-instance vpn-instance-name ip-address6设置Tunnel接口的IP地址ip address ip-address mask | mask-length PE上隧道的源地址与CE上隧道的目的地址相同，PE上隧道的目的地址与CE上隧道的源地址相同。在PE上配置隧道的目的地址时，如果隧道需要穿过另外的VPN，则要指定参数vpn-instance vpn-instance-name，如果隧道穿过公网，则不需要指定参数vpn-instance vpn-instance-name。4.3.4 在PE上将GRE Tunnel与CE所在的VPN进行绑定步骤操作命令1进入系统视图system-view2创建Tunnel接口，并进入Tunnel接口视图interface tunnel interface-number3将Tunnel与VPN实例进行绑定ip binding vpn-instance vpn-instance-name4.3.5 检查配置结果步骤操作命令1查看Tunnel接口的工作状态display interface tunnel interface-number 2在PE上查看VPN路由表display ip routing-table vpn-instance vpn-instance-name3在CE上查看路由表display ip routing-table4查看隧道两端是否能互通ping -a source-ip-address dest-ip-address在配置成功时，执行上面的命令，应能得到如下的结果：l Tunnel接口状态为Up，且链路层协议状态为Up。l PE的VPN路由表中有“Interface”项为此Tunnel接口，且“Destination”为所设置的Tunnel的目的端地址。l CE的路由表中有“Interface”项为此Tunnel接口，且“Destination”为所设置的Tunnel的目的端地址。l CE能ping通PE上的Tunnel接口IP地址。4.4 配置GRE支持Keepalive特性4.4.1 建立配置任务1. 应用环境图4-10 支持Keepalive的GRE隧道目前，GRE协议并不具备探测链路状态的功能。如果远端端口不可达，隧道并不能及时关闭该Tunnel连接。这样会造成源端会不断的向对端转发数据，而对端却因Tunnel不通而丢弃所有报文，由此就会形成数据发送的空洞。这时，若在源端配置支持Keepalive 特性的GRE，就能够检测隧道状态。如果对端不可达，隧道连接就会及时关闭，避免形成数据空洞。& 说明：目前，本功能只能应用在NE05、NE08E、NE16E、NE20和NE20E上。2. 前置任务在配置Link-alive的基本功能之前，需完成以下任务： l 配置接口的链路层属性l 配置接口的IP地址l 建立GRE隧道，且隧道状态为Up3. 数据准备在配置Link-alive的基本功能之前，需准备以下数据。序号数据1源端GRE Tunnel接口的IP地址2源端GRE Tunnel的源地址和目的地址3对端GRE Tunnel接口的IP地址4对端GRE Tunnel的源地址和目的地址4. 配置过程序号过程1配置源端和对端的GRE Tunnel2使能GRE隧道源端的Linkalive功能3检查配置结果4.4.2 配置源端和对端的GRE隧道步骤操作命令1进入系统视图system-view2创建Tunnel接口，并进入Tunnel接口视图interface tunnel interface-number3将Tunnel封装为GRE隧道tunnel-protocol gre4设置Tunnel接口的源端地址source source-ip-address | interface-type interface-number 5设置Tunnel接口的目的端地址destination vpn-instance vpn-instance-name ip-address6设置Tunnel接口的IP地址ip address ip-address mask | mask-length 7使能Tunnel的Linkalive功能link-alive period period retry-times retry-times 4.4.3 使能GRE隧道源端的Linkalive功能步骤操作命令1进入系统视图system-view2进入Tunnel接口视图interface tunnel interface-number3使能GRE的Linkalive功能link-alive period period retry-times retry-times & 说明：源端实现Linkalive功能并不要求对端也具备link-alive功能，对端只需实现转发功能。所以不需要在对端配置命令link-alive period period retry-times retry-times 。4.4.4 检查配置结果步骤操作命令1查看GRE Tunnel 的Link-alive功能debugging tunnel在配置成功时，执行上面的命令，可以得到表4-1类似的显示消息。表4-1 debugging tunnel命令的显示信息及其解释消息*0.3054010 RouterA TUNNEL/8/ATKDBG:Slot=3;Preparing linkalive frame successfully解释完成了link-alive报文的内层IP头和GRE头的封装。消息*0.3054192 RouterA TUNNEL/8/ATKDBG:Slot=3;Tunnel3/0/0-Out: GRE/IP encapsulated 172.16.1.1-172.16.1.2(len = 48).解释在Tunnel口中完成了GRE报文封装消息*0.3054320 RouterA TUNNEL/8/ATKDBG:Slot=5;Tunnel-In: Get packet,the tunnel is src(172.16.1.2)/dest(172.16.1.1),length = 24 .解释收到对端发出的link-alive回应报文消息*0.3054464 RouterA TUNNEL/8/ATKDBG:Slot=5;-In: Judge the whether it is linkalive packet finished解释判断该报文是否为link-alive报文消息*0.3054945 RouterA TUNNEL/8/ATKDBG:Slot=3;Tunnel-In: Enter Tunnel Input and GRE mode found.解释进入Tunnel-Input模块进行相应处理。消息*0.3055040 RouterA TUNNEL/8/ATKDBG:Slot=3;Tunnel3/0/0-In: Receive linkalive response Successfully解释收到对端的link-alive回应报文。4.5 典型配置举例本章的配置举例包括以下案例。l 配置GRE使用静态路由示例l 配置GRE使用动态路由协议示例l 在CE-PE间配置穿过公网的GRE隧道，使CE的用户接入MPLS VPNl 在CE-PE间配置穿过VPN的GRE隧道，使CE的用户接入MPLS VPNl 配置GRE支持Keepalive特性示例4.5.1 配置GRE使用静态路由示例1. 组网需求如图4-11，RouterA、RouterB、RouterC属于VPN骨干网，它们之间运行OSPF。RouterA和RouterC之间使用三层隧道协议GRE，实现PC1和PC2互联。PC1和PC2上分别指定RouterA、RouterC为自己的缺省网关。图4-11 GRE静态路由配置组网图2. 配置思路(1) 路由器需要运行IGP协议实现互通，这里用OSPF。(2) 路由器RouterA和RouterC之间需建立GRE隧道。因此在RouterA和RouterB上创建Tunnel接口，指定Tunnel接口的源地址目的地址。注意Tunnel的源地址是发出报文的实际物理接口IP地址，Tunnel的目的地址是接收报文的实际物理接口IP地址。(3) 为使隧道支持动态路由协议，还要配置Tunnel接口的网络地址。(4) 为了使PC1和PC2之间通讯的流量通过GRE隧道，RouterA和RouterC上需配置到各自相连的PC的静态路由，出接口为本端的Tunnel接口。3. 数据准备为完成此配置例，需准备如下的数据：l 路由器上运行OSPF，其区域为area 0。l RouterA上GRE隧道的源地址为发出报文的实际物理接口IP地址（20.1.1.1）；目的地址为接收报文的实际物理接口IP地址（30.1.1.2）。l RouterC上GRE隧道源地址为发出报文的实际物理接口IP地址（30.1.1.2）；目的地址为接收报文的实际物理接口IP地址（20.1.1.1）。l 本端GRE隧道端口地址为接收报文的实际物理接口IP地址（40.1.1.2），掩码为255.255.255.0。4. 配置步骤(1) 配置各接口IP地址按照图4-11配置各接口的IP地址，具体配置过程略。(2) 配置VPN骨干网的IGP# 配置RouterA。RouterA ospf 1RouterA-ospf-1 area 0RouterA-ospf-1-area-0.0.0.0 network 20.1.1.0 0.0.0.255RouterA-ospf-1-area-0.0.0.0 quitRouterA-ospf-1 quit# 配置RouterB。RouterB ospf 1RouterB-ospf-1 area 0RouterB-ospf-1-area-0.0.0.0 network 20.1.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.0 network 30.1.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.0 quitRouterB-ospf-1 quit# 配置RouterC。RouterC ospf 1RouterC-ospf-1 area 0RouterC-ospf-1-area-0.0.0.0 network 30.1.1.0 0.0.0.255RouterC-ospf-1-area-0.0.0.0 quitRouterC-ospf-1 quit配置完成后，在RouterA和RouterC上执行display ip routing-table命令，可以看到它们能够学到去往对端接口网段地址的OSPF路由。以RouterA的显示为例。RouterA display ip routing-tableRouting Tables: Public Destinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface 10.1.1.0/24 Direct 0 0 10.1.1.2 GigabitEthernet2/0/0 10.1.1.2/32 Direct 0 0 127.0.0.1 InLoopBack0 20.1.1.0/24 Direct 0 0 20.1.1.1 Pos1/0/0 20.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 20.1.1.2/32 Direct 0 0 20.1.1.2 Pos1/0/0 30.1.1.0/24 OSPF 10 3124 20.1.1.2 Pos1/0/0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0(3) 配置Tunnel接口# 配置RouterA。RouterA interface tunnel 1/0/1RouterA-Tunnel1/0/1 ip address 40.1.1.1 24RouterA-Tunnel1/0/1 source 20.1.1.1RouterA-Tunnel1/0/1 destination 30.1.1.2RouterA-Tunnel1/0/1 quit# 配置RouterC。RouterC interface tunnel 1/0/1RouterC-Tunnel1/0/1 ip address 40.1.1.2 24RouterC-Tunnel1/0/1 source 30.1.1.2RouterC-Tunnel1/0/1 destination 20.1.1.1RouterC-Tunnel1/0/1 quit配置完成后，Tunnel接口状态变为Up，Tunnel接口之间可以Ping通。RouterA ping -a 40.1.1.1 40.1.1.2 PING 40.1.1.2: 56 data bytes, press CTRL_C to break Reply from 40.1.1.2: bytes=56 Sequence=1 ttl=255 time=24 ms Reply from 40.1.1.2: bytes=56 Sequence=2 ttl=255 time=33 ms Reply from 40.1.1.2: bytes=56 Sequence=3 ttl=255 time=48 ms Reply from 40.1.1.2: bytes=56 Sequence=4 ttl=255 time=33 ms Reply from 40.1.1.2: bytes=56 Sequence=5 ttl=255 time=36 ms - 40.1.1.2 ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 24/34/48 ms(4) 配置静态路由# 配置RouterA。RouterA ip route-static 10.2.1.0 24 tunnel 1/0/1# 配置RouterC。RouterC ip route-static 10.1.1.0 24 tunnel 1/0/1配置完成后，在RouterA和RouterC上执行display ip routing-table命令，可以看到使用Tunnel接口去往对端用户侧网段的静态路由。以RouterA的显示为例。RouterA display ip routing-tableRouting Tables: Public Destinations : 11 Routes : 11Destination/Mask Proto Pre Cost NextHop Interface 10.1.1.0/24 Direct 0 0 10.1.1.2 GigabitEthernet2/0/0 10.1.1.2/32 Direct 0 0 127.0.0.1 InLoopBack0 10.2.1.0/24 Static 60 0 40.1.1.1 Tunnel1/0/1 20.1.1.0/24 Direct 0 0 20.1.1.1 POs1/0/0 20.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 20.1.1.2/32 Direct 0 0 20.1.1.2 Pos1/0/0 30.1.1.0/24 OSPF 10 3124 20.1.1.2 Pos1/0/0 40.1.1.0/24 Direct 0 0 40.1.1.1 Tunnel1/0/1 40.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0PC1和PC2可以相互Ping通。5. 配置文件(1) RouterA的配置文件# sysname RouterA#interface GigabitEthernet2/0/0 ip address 10.1.1.2 255.255.255.0#interface Pos1/0/0 link-protocol ppp ip address 20.1.1.1 255.255.255.0#interface Tunnel1/0/1 ip address 40.1.1.1 255.255.255.0 source 20.1.1.1 destination 30.1.1.2#ospf 1 area 0.0.0.0 network 20.1.1.0 0.0.0.255#ip route-static 10.2.1.0 255.255.255.0 Tunnel1/0/1#return(2) RouterB的配置文件# sysname RouterB#interface Pos1/0/0 link-protocol ppp ip addres