GRE协议简介

GRE协议简介1.协议简介gre（genericroutingencapsulation，通用路由封装）协议是对某些网络层协议（如ip和ipx）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如ip）中传输。gre是vpn（virtualprivatenetwork）的第三层隧道协议，在协议层之间采用了一种被称之为tunnel（隧道）的技术。tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个tunnel的两端分别对数据报进行封装及解封装。一个报文要想在tunnel中传输，必须要经过加封装与解封装两个过程，下面以图3-1的网络为例说明这两个过程：(1)加封装过程连接novellgroup1的接口收到ipx数据报后首先交由ipx协议处理，ipx协议检查ipx报头中的目的地址域来确定如何路由此包。若报文的目的地址被发现要路由经过网号为1f的网络（tunnel的虚拟网号），则将此报文发给网号为1f的tunnel端口。tunnel口收到此包后进行gre封装，封装完成后交给ip模块处理，在封装ip报文头后，根据此包的目的地址及路由表交由相应的网络接口处理。(2)解封装的过程解封装过程和加封装的过程相反。从tunnel接口收到的ip报文，通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的ip报头，交给gre协议模块处理（进行检验密钥、检查校验和及报文的序列号等）；gre协议模块完成相应的处理后，剥掉gre报头，再交由ipx协议模块处理，ipx协议模块象对待一般数据报一样对此数据报进行处理。系统收到一个需要封装和路由的数据报，称之为净荷（payload），这个净荷首先被加上gre封装，成为gre报文；再被封装在ip报文中，这样就可完全由ip层负责此报文的向前传输（forwarded）。人们常把这个负责向前传输ip协议称为传输协议（deliveryprotocol或者transportprotocol）。封装好的报文的形式如下图所示：举例来说，一个封装在iptunnel中的ipx传输报文的格式如下：2.应用范围gre主要能实现以下几种服务类型：(1)多协议的本地网通过单一协议的骨干网传输上图中，group1和group2是运行novellipx协议的本地网，term1和term2是运行ip协议的本地网。通过在routera和routerb之间采用gre协议封装的隧道（tunnel），group1和group2、team1和team2可以互不影响地进行通信。(2)扩大了步跳数受限协议（如ipx）的网络的工作范围若上图中的两台终端之间的步跳数超过15，它们将无法通信。而通过在网络中使用隧道（tunnel）可以隐藏一部分步跳，从而扩大网络的工作范围。(3)将一些不能连续的子网连接起来，用于组建vpn运行novellipx协议的两个子网group1和group2分别在不同的城市，通过使用隧道可以实现跨越广域网的vpn。(4)与ipsec结合使用对于诸如路由协议、语音、视频等数据先进行gre封装，然后再对封装后的报文进行ipsec的加密处理。另外，gre还支持由用户选择记录tunnel接口的识别关键字，和对封装的报文进行端到端校验。由于gre收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用gre会造成路由器的数据转发效率有一定程度的下降。GRE配置在各项配置中，必须先创建虚拟Tunnel接口，才能在虚拟Tunnel接口上进行其它功能特性的配置。当删除虚拟Tunnel接口后，该接口上的所有配置也将被删除。GRE主要配置包括：l创建虚拟Tunnel接口（必选）l设置Tunnel接口报文的封装模式（可选）l指定Tunnel的源端（必选）l指定Tunnel的目的端（必选）l设置Tunnel接口的网络地址（必选）l设置Tunnel两端进行端到端校验（可选）l设置Tunnel接口的识别关键字（可选）l配置通过Tunnel的路由（可选）3.2.1创建虚拟Tunnel接口创建虚拟Tunnel接口，从而在该接口上进行GRE其它参数的配置。这些配置在Tunnel两端必须配置。请在系统视图下进行下列配置。表3-1创建虚拟Tunnel接口操作命令创建虚拟Tunnel接口interfacetunnelnumber删除虚拟Tunnel接口undointerfacetunnelnumber缺省情况下，不创建虚拟Tunnel接口。number为设定的接口号，范围0～1023，但实际可建的Tunnel数目将受到接口总数及内存状况的限制。3.2.2设置Tunnel接口报文的封装模式设置Tunnel接口的封装协议和传输协议。这些配置在Tunnel两端为可选配置，如果配置则必须确保Tunnel两端的封装模式相同。请在Tunnel视图下进行下列配置。表3-2设置Tunnel接口报文的封装模式操作命令设置Tunnel接口报文的封装模式tunnel-protocolgre删除Tunnel接口报文的封装模式undotunnel-protocol缺省情况下，Tunnel接口报文的封装模式为GRE。3.2.3指定Tunnel的源端在创建Tunnel接口后，还要指明Tunnel通道的源端地址，即发出GRE报文的实际物理接口地址。Tunnel的源端地址与目的端地址唯一标识了一个通道。这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。请在Tunnel接口视图下进行下列配置。表3-3设置Tunnel接口的源端地址或源端接口操作命令设置Tunnel接口的源端地址或源端接口source{ip-addr|interface-typeinterface-num}删除Tunnel接口的源端地址或源端接口undosource&说明：l不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。l使用命令source设置的是实际的物理接口地址或实际物理接口，另外还需要设置Tunnel接口的网络地址。在Tunnel接口视图下通过命令ipaddress可完成这一设置。3.2.4指定Tunnel的目的端在创建Tunnel接口后，还要指明Tunnel通道的目的端地址，即接收GRE报文的实际物理接口的IP地址。Tunnel的源端地址与目的端地址唯一标识了一个通道。这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。请在Tunnel接口视图下进行下列配置。表3-4设置Tunnel接口的目的端地址操作命令设置Tunnel接口的目的端地址destinationip-addr删除Tunnel接口的目的端地址undodestination&说明：使用命令destination设置的是实际的物理接口的IP地址，为支持动态路由协议，还需要设置tunnel接口的网络地址。3.2.5设置Tunnel接口的网络地址Tunnel接口的网络地址可以不是申请得到的网络地址。用户设置通道两端的网络地址应该位于同一网段上。这些配置在Tunnel两端都必须配置，并且确保地址在同一网段。请在Tunnel接口视图下进行下列设置。表3-5设置Tunnel接口的网络地址操作命令设置Tunnel接口的IP地址ipaddressip-addrmask删除Tunnel接口的IP地址undoipaddress缺省情况下，未设置Tunnel接口的网络地址。3.2.6设置Tunnel两端进行端到端校验在RFC1701中规定：若GRE报文头中的Checksum位置位，则校验和有效。发送方将根据GRE头及payload信息计算校验和，并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃。隧道两端可以根据实际应用需要，配置校验和或禁止校验和。如果本端配置了校验和而对端没有配置，则本端将不会对接收到的报文进行校验和检查，但对发送的报文计算校验和；相反，如果本端没有配置校验和而对端已配置，则本端将对从对端发来的报文进行校验和检查，但对发送的报文不计算校验和。请在Tunnel接口视图下进行下列配置。表3-6设置Tunnel两端进行端到端校验操作命令设置Tunnel两端进行端到端校验grechecksum禁止Tunnel两端进行端到端校验undogrechecksum缺省情况下，禁止Tunnel两端进行端到端校验。3.2.7设置Tunnel接口的识别关键字在RFC1701中规定：若GRE报文头中的KEY字段置位，则收发双方将进行通道识别关键字的验证，只有Tunnel两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。请在Tunnel接口视图下进行配置。表3-7设置Tunnel接口的识别关键字操作命令设置Tunnel接口的识别关键字grekeykey-number删除Tunnel接口的识别关键字undogrekeykey-number可取值0～4294967295之间的整数。缺省情况下，Tunnel不使用KEY。3.2.8配置通过Tunnel的路由在源端路由器和目的端路由器上都必须存在经过Tunnel转发的路由，这样需要进行GRE封装的报文才能正确转发。可以配置静态路由，也可以配置动态路由。1.静态路由配置可以手工配置一条到达目的地址（不是Tunnel的目的端地址，而是未进行GRE封装的报文的目的地址）的路由，下一跳是对端Tunnel接口的地址。在Tunnel的两端都要进行此项配置。配置的详细情况请参见本手册的“静态路由配置”章节，配置命令的详细解释请参见相应的命令手册。2.动态路由配置如果路由器上运行了动态路由协议，只需在Tunnel接口上和与私网相连的路由器接口上使能该动态路由协议即可，在Tunnel的两端都必须进行此项配置。配置的详细情况请参见本手册的各个动态路由协议配置章节，配置命令的详细解释请参见相应的命令手册。3.2.9配置keepalive功能请在Tunnel接口视图下进行配置。表3-8配置keepalive功能操作命令使能GRE的keepalive功能keepaliveintervaltimes关闭GRE的keepalive功能undokeepalive[seconds][times]缺省情况下，不启用GRE的keepalive功能。seconds缺省为10秒。times缺省为3次。薃肀莂蒃袂肀肂虿袈聿芄薂螄肈莇螇蚀肇葿薀罿肆腿莃袅肅芁薈螁膄莃莁蚇膄肃薇薃膃芅荿羁膂莈蚅袇膁蒀蒈螃膀膀蚃虿腿节蒆羈芈莄蚁袄芈蒆蒄螀芇膆蚀蚆袃莈蒃蚂袂蒁螈羀袁膀薁袆袁芃螆螂袀莅蕿蚈衿蒇莂羇羈膇薇袃羇艿莀蝿羆蒂薆螅羅膁蒈蚁羅芄蚄罿羄莆蒇袅羃蒈蚂螁羂膈蒅蚇肁芀蚁薃肀莂蒃袂肀肂虿袈聿芄薂螄肈莇螇蚀肇葿薀罿肆腿莃袅肅芁薈螁膄莃莁蚇膄肃薇薃膃芅荿羁膂莈蚅袇膁蒀蒈螃膀膀蚃虿腿节蒆羈芈莄蚁袄芈蒆蒄螀芇膆蚀蚆袃莈蒃蚂袂蒁螈羀袁膀薁袆袁芃螆螂袀莅蕿蚈衿蒇莂羇羈膇薇袃羇艿莀蝿羆蒂薆螅羅膁蒈蚁羅芄蚄罿羄莆蒇袅羃蒈蚂螁羂膈蒅蚇肁芀蚁薃肀莂蒃袂肀肂虿袈聿芄薂螄肈莇螇蚀肇葿薀罿肆腿莃袅肅芁薈螁膄莃莁蚇膄肃薇薃膃芅荿螀羀膆蒃蚆肀芈芆薂聿羈蒂蒈肈肀芅袆肇芃薀螂肆莅莃蚈肅肅薈薄蚂膇莁蒀蚁艿薇蝿螀罿荿蚅蝿肁薅薁螈膄莈薇螈莆膀袆螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿袃肂蒃螈袂膄芅蚄袂芇蒁蚀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羁薇蚇袇肃莀薃羆膅薆葿羆芈荿螇羅羇膁螃羄膀莇虿羃节芀薅羂羂蒅蒁羁肄芈螀羀膆蒃蚆肀芈芆薂聿羈蒂蒈肈肀芅袆肇芃薀螂肆莅莃蚈肅肅薈薄蚂膇莁蒀蚁艿薇蝿螀罿荿蚅蝿肁薅薁螈膄莈薇螈莆膀袆螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿袃肂蒃螈袂膄芅蚄袂芇蒁蚀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羁薇蚇袇肃莀薃羆膅薆葿羆芈荿螇羅羇膁螃羄膀莇虿羃节芀薅羂羂蒅蒁羁肄芈螀羀膆蒃蚆肀芈芆薂聿羈蒂蒈肈肀芅袆肇芃薀螂肆莅莃蚈肅肅薈薄蚂膇莁蒀蚁艿薇蝿螀罿荿蚅蝿肁薅薁螈膄莈薇螈莆膀袆螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿袃肂蒃螈袂膄芅蚄袂芇蒁蚀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羁薇蚇袇肃莀薃羆膅薆葿羆芈荿