gre是什么层隧道协议.docx
《gre是什么层隧道协议.docx》由会员分享,可在线阅读,更多相关《gre是什么层隧道协议.docx(9页珍藏版)》请在冰点文库上搜索。
gre是什么层隧道协议
竭诚为您提供优质文档/双击可除
gre是什么层隧道协议
篇一:
cisco路由器配置gRe隧道
cisco路由器配置gRe隧道
路由封装(gRe)最早是由cisco提出的,而目前它已经成为了一种标准,被定义在RFc1701,RFc1702,以及RFc2784中。
简单来说,gRe就是一种隧道协议,用来从一个网络向另一个网络传输数据包。
gRe是一种Vpn隧道技术,其原理为本端路由器将3层报文封装到ip报文里,通过ip网络(例如internet)送到对端路由器后再解开还原。
可以把tunnel想象成一条ddn专线,tunnel口上配置的ip地址就相当于连接ddn专线的串口的ip地址。
这个地址一般是内部的ip,internet上是不认的。
如果你觉得它和虚拟专用网(Vpn)有些类似,那只是因为:
从技术上讲,gRe隧道是某一类型的Vpn,但是并不是一个安全隧道方式。
不过你也可以使用某种加密协议对gRe隧道进行加密,比如Vpn网络中常用的ipsec协议。
实际上,点到点隧道协议(pptp)就是使用了gRe来创建Vpn隧道。
比如,如果你要创建microsoftVpn隧道,默认情况下会使用pptp,这时就会用到gRe。
为什么要用gRe
为什么要使用gRe进行隧道传输呢?
原因如下:
有时你需要加密的多播传输。
gRe隧道可以像真实的网络接口那样传递多播数据包,而单独使用ipsec,则无法对多播传输进行加密。
多播传输的例子包括ospF,eigRp,以及RipV2。
另外,大量的视频、Voip以及音乐流程序使用多播。
你所采用的某种协议无法进行路由,比如netbios或在ip网络上进行非ip传输。
比如,你可以在ip网络中使用gRe支持ipx或appletalk协议。
你需要用一个ip地址不同的网络将另外两个类似的网络连接起来。
如何配置gRe隧道?
在cisco路由器上配置gRe隧道是一个简单的工作,只需要输入几行命令即可实现。
以下是一个简单的例子。
路由器a:
interfaceethernet0/1
ipaddress10.2.2.1255.255.255.0
interfaceserial0/0
ipaddress192.168.4.1255.255.255.0
interfacetunnel0
ipaddress1.1.1.2255.255.255.0
tunnelsourceserial0/0
tunneldestination192.168.4.2
路由器b:
interfaceFastethernet0/1
ipaddress10.1.1.1255.255.255.0
interfaceserial0/0
ipaddress192.168.4.2255.255.255.0
interfacetunnel0
ipaddress1.1.1.1255.255.255.0
tunnelsourceserial0/0
tunneldestination192.168.4.1
另外注意下路由配置情况,
而tunnelsource和tunneldestination地址是internet上可以路由的ip地址,用于建立tunnel。
例如,本端路由器地址规划为:
eth0:
10.1.1.1/24(连接内部局域网)
tunnel0:
10.2.1.1/30(tunnelsource:
202.38.160.1;tunneldestination:
192.15.135.80)serial0:
202.38.160.1/24(连接internet)
iproute10.3.1.0255.255.255.010.2.1.2(到对端以太网的路由)
对端路由器地址规划为:
eth0:
10.3.1.1/24(连接内部局域网)
tunnel0:
10.2.1.2/30(tunnelsource:
192.15.135.80;tunneldestination:
202.38.160.1)serial0:
192.15.135.80/24(连接internet)
iproute10.1.1.0255.255.255.010.2.1.1(到对端以太网的路由)
在这个例子中,两个路由器均拥有虚拟接口,即隧道接口。
这一接口属于各自的网络,就好像一个点到点的t1环路。
跨越隧道网络的数据采用串行网络方式传输。
对于每个路由器都有两种途径将数据传递到另一端,即通过串行接口以及通过隧道接口(通过隧道传递数据)。
该隧道可以传输非路由协议的数据,如netbios或appletalk。
如果数据需要通过互联网,你可以使用ipsec对其进行加密。
从下面的信息反馈可以看出,路由器b上的隧道接口和其他网络接口没有什么不同:
Routerb#shipintbrie
interfaceip-addressokmethodstatusprotocol
ethernet010.1.1.1yesmanualupdown
serial0192.168.4.2yesmanualupup
serial1unassignedyesunsetadministrativelydowndown
tunnel01.1.1.1yesmanualupup
Routerb#
解决gRe隧道的问题
由于gRe是将一个数据包封装到另一个数据包中,因此你可能会遇到gRe的数据报大于网络接口所设定的数据包最大尺寸的情况。
接近这种问题的方法是在隧道接口上配置iptcpadjust-mss1436。
另外,虽然gRe并不支持加密,但是你可以通过tunnelkey命令在隧道的两头各设置一个密钥。
这个密钥其实就是一个明文的密码。
由于gRe隧道没有状态控制,可能隧道的一端已经关闭,而另一端仍然开启。
这一问题的解决方案就是在隧道两端开启keepalive数据包。
它可以让隧道一端定时向另一端发送keepalive数据,确认端口保持开启状态。
如果隧道的某一端没有按时收到keepalive数据,那么这一侧的隧道端口也会关闭。
篇二:
gRe、pptp、l2tp(l2)隧道协议
隧道技术是Vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有l2F、pptp、l2tp等。
l2tp协议是目前ietF的标准,由ietF融合pptp与l2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有Vtp、ipsec等。
ipsec(ipsecurity)是由一组RFc文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。
gRe、pptp、l2tp隧道协议
在ipsec和multiprotocollabelswitching(mpls)Vpn出现前,gRe被用来提供internet上的Vpn功能。
gRe将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,gRe仍然被使用。
在gRe隧道中,路由器会在封装数据包的ip头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接
passenger:
要封装的乘客协议(ipx,appletalk,ip,ipsec,dVmRp,etc.).
carrier:
封装passengerprotocol的gRe协议,插入到transport和passenger
包头之间,在gRe包头中定义了传输的协议
transport:
ip协议携带了封装的passengerprotocol.这个传输协议通常实施在
点对点的gRe连接中(gRe是无连接的
).
gRe的特点:
gRe是一个标准协议支持多种协议和多播能够用来创建弹性的Vpn支持多点隧道能够实施qos
gRe的缺点:
缺乏加密机制没有标准的控制协议来保持gRe隧道(通常使用协议和keepalive)隧道很消耗cpu出现问题要进行debug很困难mtu和ip分片是一个问题
配置:
这里配置对端的ip地址和tunnelid(tunnelkey2323)来进行简单的认证。
两端配置的tunnelid必须配置相同。
在ciscoiosversions12.2(8)t允许配置keepalive,定期发送报文检测对端是否还活着
gRe隧道
gRe建立的是简单的(不进行加密)Vpn隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用ipsec)的gRe隧道,这样可以为这些协议提供安全性。
(相关配置请参看gReoveripsec)网状连接(Full-mesh)
由于gRe是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种hub-and-spoke的拓扑形式
但是可以通过使用nhRp(next-hopResolutionprotocol)来自动建立全网状拓扑。
(相关配置请参看nhRp配置全网状互联gRe隧道)
Vpdn简介
Vpdn(Virtualprivatedialnetwork,虚拟私有拨号网)是指利用公共网络(如isdn和pstn)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型isp、移动办公人员提供接入服务。
Vpdn采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
Vpdn有下列两种实现方式:
1.网络接入服务器(nas)通过隧道协议,与Vpdn网关建立通道的方式。
这种方式将客户的ppp连接直接连到企业的网关上,目前可使用的协议有l2F与l2tp。
其好处在于:
对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。
这种方式需要nas支持Vpdn协议,需要认证系统支持Vpdn属性,网关一般使用路由器或Vpn专用服务器。
2.客户机与Vpdn网关建立隧道的方式。
这种方式由客户机先建立与internet的连接,再通过专用的客户软件(如win2000支持的l2tp客户端)与网关建立通道连接。
其好处在于:
用户上网的方式和地点没有限制,不需isp介入。
缺点是:
用户需要安装专用的软件(一般都是win2000平台),限制了用户使用的平台。
Vpdn隧道协议可分为pptp、l2F和l2tp三种pointtopointtunnelingprotocol(pptp)
点对点隧道协议(pptp)是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。
通过该协议,远程用户能够通过microsoftwindowsnt工作站、windows95和windows98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地isp,通过internet安全链接到公司网络。
pptp协议假定在pptp客户机和pptp服务器之间有连通并且可用的ip网络。
因此如果pptp客户机本身已经是ip网络的组成部分,那么即可通过该ip网络与pptp服务器取得连接;而如果pptp客户机尚未连入网络,譬如在internet拨号用户的情形下,pptp客户机必须首先拨打nas以建立ip连接。
这里所说的pptp客户机也就是使用pptp协议的Vpn客户机,而pptp服务器亦即使用
pptp协议的Vpn服务器。
pptpaccessconcentrator(pac):
接入服务商,允许拨号接入连接(通常是
由isp担任,而且不需要isp的协助来建立隧道)
pptpnetworkserver(pns):
通常是pptp服务器或者路由器用来建立pptp隧道
microsoftpoint-to-pointencryption(mppe):
和ipsec一样,是一种数据加密协议,用来为ppp拨号连接传输的数据进行加密。
mppe使用Rsa算法来进行加密,支持40-bit和128-bit的会话密钥
pptp只能通过pac和pns来实施,其它系统没有必要知道pptp。
拨号网络可与pac相连接而无需知道pptp。
标准的ppp客户机软件可继续在隧道ppp链接上操作。
pptpVpn协商过程:
1.客户端(笔记本)通过ppp建立到ispnas的连接
2.客户端建立到pns(在这里是cisco路由器)的pptp连接
3.客户端和pns之间建立了一个2层的隧道。
多种协议能够在这个隧道上传输
4.使用mppe加密ppp数据包,这些数据包接下来通过enhancedgRe封装,并在ip网络上传输
5.在客户端和pptp服务器之间建立第二个pppovergRe会话
篇三:
gRe、pptp、l2tp隧道协议对比介绍
gRe、pptp、l2tp隧道协议介绍(转)在ipsec和multiprotocollabelswitching(mpls)Vpn出现前,gRe被用来提供internet上的Vpn功能。
gRe将用户数据包封装到携带数据包中。
因为支持多种协议,多播,点到点或点到多点协议,如今,gRe仍然被使用。
在gRe隧道中,路由器会在封装数据包的ip头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接
passenger:
要封装的乘客协议(ipx,appletalk,ip,ipsec,dVmRp,etc.).carrier:
封装passengerprotocol的gRe协议,插入到transport和passenger包头之间,在gRe包头中定义了传输的协议
transport:
ip协议携带了封装的passengerprotocol.这个传输协议通常实施在点对点的gRe连接中(gRe是无连接的).
gRe的特点:
gRe是一个标准协议支持多种协议和多播能够用来创建弹性的Vpn支持多点隧道能够实施qos
gRe的缺点:
缺乏加密机制没有标准的控制协议来保持gRe隧道(通常使用协议和keepalive)隧道很消耗cpu出现问题要进行debug很困难mtu和ip分片是一个问题
配置:
这里配置对端的ip地址和tunnelid(tunnelkey2323)来进行简单的认证。
两端配置的tunnelid必须配置相同。
在ciscoiosversions12.2(8)t允许配置keepalive,定期发送报文检测对端是否还活着
gRe隧道
gRe建立的是简单的(不进行加密)Vpn隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用ipsec)的gRe隧道,这样可以为这些协议提供安全性。
(相关配置请参看gReoveripsec)网状连接(Full-mesh)
由于gRe是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种hub-and-spoke的拓扑形式
但是可以通过使用nhRp(next-hopResolutionprotocol)来自动建立全网状拓扑。
(相关配置请参看nhRp配置全网状互联gRe隧道)
Vpdn简介
Vpdn(Virtualprivatedialnetwork,虚拟私有拨号网)是指利用公共网络(如isdn和pstn)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型isp、移动办公人员提供接入服务。
Vpdn采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
Vpdn有下列两种实现方式:
1.网络接入服务器(nas)通过隧道协议,与Vpdn网关建立通道的方式。
这种方式将客户的ppp连接直接连到企业的网关上,目前可使用的协议有l2F与l2tp。
其好处在于:
对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。
这种方式需要nas支持Vpdn协议,需要认证系统支持Vpdn属性,网关一般使用路由器或Vpn专用服务器。
2.客户机与Vpdn网关建立隧道的方式。
这种方式由客户机先建立与internet的连接,再通过专用的客户软件(如win2000支持的l2tp客户端)与网关建立通道连接。
其好处在于:
用户上网的方式和地点没有限制,不需isp介入。
缺点是:
用户需要安装专用的软件(一般都是win2000平台),限制了用户使用的平台。
Vpdn隧道协议可分为pptp、l2F和l2tp三种pointtopointtunnelingprotocol(pptp)
点对点隧道协议(pptp)是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。
通过该协议,远程用户能够通过microsoftwindowsnt工作站、windows95和windows98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地
isp,通过internet安全链接到公司网络。
pptp协议假定在pptp客户机和pptp服务器之间有连通并且可用的ip网络。
因此如果pptp客户机本身已经是ip网络的组成部分,那么即可通过该ip网络与pptp服务器取得连接;而如果pptp客户机尚未连入网络,譬如在internet拨号用户的情形下,pptp客户机必须首先拨打nas以建立ip连接。
这里所说的pptp客户机也就是使用pptp协议的Vpn客户机,而pptp服务器亦即使用pptp协议的Vpn服务器。
pptpaccessconcentrator(pac):
接入服务商,允(gre是什么层隧道协议)许拨号接入连接(通常是由isp担任,而且不需要isp的协助来建立隧道)
pptpnetworkserver(pns):
通常是pptp服务器或者路由器用来建立pptp隧道
microsoftpoint-to-pointencryption(mppe):
和ipsec一样,是一种数据加密协议,用来为ppp拨号连接传输的数据进行加密。
mppe使用Rsa算法来进行加密,支持40-bit和128-bit的会话密钥
pptp只能通过pac和pns来实施,其它系统没有必要知道pptp。
拨号网络可与pac相连接而无需知道pptp。
标准的ppp客户机软件可继续在隧道ppp链接上操作。
pptpVpn协商过程:
1.客户端(笔记本)通过ppp建立到ispnas的连接
2.客户端建立到pns(在这里是cisco路由器)的pptp连接
3.客户端和pns之间建立了一个2层的隧道。
多种协议能够在这个隧道上传输
4.使用mppe加密ppp数据包,这些数据包接下来通过enhancedgRe封装,并在ip网络上传输
5.在客户端和pptp服务器之间建立第二个pppovergRe会话
6.数据能够在这个ip/gRe/ppp上传输
7.pptp隧道使用不同的tcp连接来控制会话
pptp使用gRe的扩展版本来传输用户ppp包。
这些增强允许为在pac和pns之间传输用户数据的隧道提供低层拥塞控制和流控制。
这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。
pptp没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。