tunnelGRE隧道VN配置过程分析

1、tunnel（GRE隧道）+VPN配置过程分析tunnel ：指保留原始 IP 数据流的情况下封装成另一种带有新 IP 报头（注：新 IP 为 tunnel 中的source、destination ，这两个地址必须是UP状态的接口 IP （包括虚接口），且两者能 够通讯（包括路由可达、VPN等。VPN原始IP数据流协议为GRE寸，两者ping不通，但也能 够通讯的）的数据流，从而以新 IP 数据流路由转发出去；接收端通过 tunnel 解封装，得 到原始IP的数据流。tunnel封装模式有多种，默认情况下指 GRE莫式。GRE（Generic routing encapsulation）通用

2、路由封装是一中隧道协议，能够在 IP 隧道中封装各种网络层协议的分组，从而创建虚拟点到点链路。GR魄道并不提供加密服务，默认情况下以明文方式离开，所以通常使用 GRE!过IPsec vpn隧道传输动态路由协议数据流。 封装过程：1、原数据流根据路由表转发进入 tunnel 中。2、根据tunnel的配置被封装为GRE数据流，之后GRS数据流与tunnel所指定的source、 destination 地址组成新的IP报头GRE数据流。3、新IP报头的GRE数据流再根据路由表转发到适应的出接口。4、在出接口时，新IP报头的GRE数据流匹配了 VPN的加密映射表的ACL所以新IP报头的 GRE数据

3、流被封装进了 VPN隧道中，之后形成的VPN数据流转发出接口。解封装过程：1路由器接收到数据流后判断为 VPN数据流，从而进行vpn解封装，之后得到带有”新IP 报头“的GRE数据流。2、”新IP报头的GRE数据流被转到tunnel中，去掉”新ip报头”再进行GRE解封装，得 到原始数据流。3、 原始数据流根据路由表转到目标出口，期间经过从tunnel 中出来。tunnel （GRE隧道）与 IPsec VPN 隧道异同：1、两者都可以保留原始 IP 数据流情况下进行封装，并异地传输。2、tunnel 在异地的两端建立虚拟隧道接口，相当于异地是直连关系（可以建立邻居关系）， 从而能传输动态协议

4、等数据流，tunnel数据流以明文方式传输；IPsec VPN隧道没有虚接口， 只传输单播而不能传输多播和广播， 从而使众多路由协议无法建立邻居关系和传输路由更新， 由于VPN封装是加密的，所以数据流以密文方式传输。3、两者可以独立使用不相影响。 但通常将两者组合使用， 达到支持所有数据传输格式与安全， 即tunnel被封装进IPSec VPN中。实验目录：1配置GRE并观察传输GRES程。2）配置 IPSec VPN3）配置将GRE隧道封装到VPN里边。实验拓扑：实验配置：1各接口 IP配置如上图，并在 R3 R2上配置GRE隧道。R3#sh runinterface Tunnel3? 虚接

5、口地址? 作为GRE封装后新的IP报头。interface FastEthernet0/0?duplex auto?speed auto!in terface FastEther netO/1?speed auto?full-duplex!router eigrp 100?R3#R2#sh runin terface Tunn el2?与上面的 R3 的 tunn el3 对应。?duplex auto?speed auto!in terface FastEther net0/1?duplex auto?speed auto!router eigrp 100?R2#1.1 ）查看路由? 目标地

6、址的出口为 tunnel3? ? ?C ? ? ? ?目标地址的出口为tunnel3C ? ?1.2 ）检测连通性及路由跟踪?!Success rate is 100 perce nt （5/5）, ro un d-trip mi n/avg/max = 68/90/100 msR3#R3#已通表明GR魄道正常，此时异地之间如同处于一个局域网内且可以进行动态路由的更新。3）由于GRE隧道通讯是不安全的，所以将 GRE数据流封装进VPN隧道，此时VPN原封不动的 加密新IP报头的GRE数据流，并将其传输到异地。注：加密并保留原始 IP数据流是VPN的 特征，而本次被VPN封装的原始IP数据流指的

7、是新IP报头的GRE隧道。IPsec VPN配置，R3与R2相对应。R3#sh runcrypto isakmp policy 1?encr aes? ?这几步都是配置isakmp!crypto ipsec transform-set gre_vpn esp-3des esp-sha-hmac? ? ? 配置 ipsec!crypto map gre_map 10 ipsec-isakmp ?酉己置 map?set tran sform-set gre_vp n ?match address 100? ?将新IP报头的GR或据流标为VPN封装的感兴趣流。in terface FastEther

8、 netO/O?duplex auto?speed auto?crypto map gre_map ? ? 将加密映射表应用于接口R3#查看VPN!道建立情况R3#sh crypto sessi on ?Crypto sessi on curre nt statusIn terface: FastEther netO/OSession status: UP-ACTIVE ? ?IPSEC FLOW: permit?47? ?VPN数据流的原始IP (这里指GRE新报头的IP)。红色标注的” 47”很重要，它指出了 VPN的原始IP数据流协议为GRE如果是IP协议，那么” 47 “会变为ip，这

9、些协议在定义VPN感兴趣流ACL时已经指出来了。? ? ? ? Active SAs: 2, origin: crypto mapR3#查看路由与建立GR魄道时路由表一样。更加说明 VPN隧道不会影响路由的转发。检测链路连通R3#pi ng ?到此GRE隧道+VPN隧道组合建立成功。识扩知展：在虚接口上建立tunnel隧道，实际中比较稳定，在IPV6过渡中应用很多。in terface Tunn el3?VPN的感兴趣流设置为在R2做相应配置，查看结果R3(co nfig)#do sh?cry se ?Crypto sessi on curre nt statusIn terface: Fas

10、tEther netO/OSession status: UP-ACTIVE ? ? ? ? ? Active SAs: 2, origin: crypto mapR3(co nfig)#所以在各自路由器上建立虚接口R3#in terface Loopback20R2#in terface Loopback20结果R3(c on fig-if)#do sh ip rou ? 表明动态路由EIGRP与异地路由器建立成功。也说明tunnel建 立成功。?这就是文章前面提到过tunnel建立的条件：tunnel中的source、destination ，这两个地址 必须是UP状态的接口 IP （包括虚接口），且两者保证能够通讯（包括路由可达、VPN等。VPN 原始IP数据流协议为GRE时，两者ping不通，但也能够通讯的）。现在tunnel已建立成功了，表明source、destination 之间肯定能够通讯了，但两者之间却 Ping通，这是为什么？ ？Success rate is 0 perce nt (0/5)R3#因为使用ping针对的是数据流协议为ip才行，而本例中对于VPN来说所封装的原始IP数据 流协议为GRE所以不能用ping来测试这两个IP。R3#sh crypto sessi on ?Crypto sessi on curre n