久久免费一级国产电影,婷婷久久综合九色综合色多多

產(chǎn)品分類+

詳解GRE協(xié)議

發(fā)布時間：2020-07-08瀏覽：3186

GRE詳解

GRE定義：

通用路由封裝協(xié)議GRE（Generic Routing Encapsulation）可以對某些網(wǎng)絡(luò)層協(xié)議（如IPX、ATM、IPv6、AppleTalk等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一個網(wǎng)絡(luò)層協(xié)議（如IPv4）中傳輸。

GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，是一種三層隧道封裝技術(shù)，使報文可以通過GRE隧道透明的傳輸，解決異種網(wǎng)絡(luò)的傳輸問題。

GRE的優(yōu)點

?GRE實現(xiàn)機制簡單，對隧道兩端的設(shè)備負擔小。

?GRE隧道可以通過IPv4網(wǎng)絡(luò)連通多種網(wǎng)絡(luò)協(xié)議的本地網(wǎng)絡(luò)，有效利用了原有的網(wǎng)絡(luò)架構(gòu)，降低成本。

?GRE隧道擴展了跳數(shù)受限網(wǎng)絡(luò)協(xié)議的工作范圍，支持企業(yè)靈活設(shè)計網(wǎng)絡(luò)拓撲。

?GRE隧道可以封裝組播數(shù)據(jù)，和IPSec結(jié)合使用時可以保證語音、視頻等組播業(yè)務(wù)的安全。

?GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現(xiàn)MPLS骨干網(wǎng)的互通。

?GRE隧道將不連續(xù)的子網(wǎng)連接起來，用于組建VPN，實現(xiàn)企業(yè)總部和分支間安全的連接。

基本原理

實現(xiàn)過程

報文在GRE隧道中傳輸包括封裝和解封裝兩個過程。如圖1所示，如果X協(xié)議報文從Ingress PE向Egress PE傳輸，則封裝在Ingress PE上完成，而解封裝在Egress PE上進行。封裝后的數(shù)據(jù)報文在網(wǎng)絡(luò)中傳輸?shù)穆窂?，稱為GRE隧道。
通過GRE隧道實現(xiàn)X協(xié)議互通組網(wǎng)圖

?封裝

1.Ingress PE從連接X協(xié)議網(wǎng)絡(luò)的接口接收到X協(xié)議報文后，首先交由X協(xié)議處理。

2.X協(xié)議根據(jù)報文頭中的目的地址在路由表或轉(zhuǎn)發(fā)表中查找出接口，確定如何轉(zhuǎn)發(fā)此報文。如果發(fā)現(xiàn)出接口是GRE Tunnel接口，則對報文進行GRE封裝，即添加GRE頭。

3.根據(jù)骨干網(wǎng)傳輸協(xié)議為IP，給報文加上IP頭。IP頭的源地址就是隧道源地址，目的地址就是隧道目的地址。

4.根據(jù)該IP頭的目的地址（即隧道目的地址），在骨干網(wǎng)路由表中查找相應(yīng)的出接口并發(fā)送報文。之后，封裝后的報文將在該骨干網(wǎng)中傳輸。

?解封裝

解封裝過程和封裝過程相反。

1.Egress PE從GRE Tunnel接口收到該報文，分析IP頭發(fā)現(xiàn)報文的目的地址為本設(shè)備，則Egress PE去掉IP頭后交給GRE協(xié)議處理。

2.GRE協(xié)議剝掉GRE報頭，獲取X協(xié)議報文，再交由X協(xié)議對此數(shù)據(jù)報文進行后續(xù)的轉(zhuǎn)發(fā)處理。

報文格式

GRE封裝后的報文格式如圖2所示。
?乘客協(xié)議（Passenger Protocol）：封裝前的報文稱為凈荷，封裝前的報文協(xié)議稱為乘客協(xié)議。

?封裝協(xié)議（Encapsulation Protocol）：GRE Header是由封裝協(xié)議完成并填充的，封裝協(xié)議也稱為運載協(xié)議（Carrier Protocol）。

?傳輸協(xié)議（Transport Protocol或者Delivery Protocol）：負責對封裝后的報文進行轉(zhuǎn)發(fā)的協(xié)議稱為傳輸協(xié)議。

在這里插入圖片描述

GRE頭的各字段解釋如下所示。

表1 GRE頭的各字段解釋

GRE頭字段

字段解釋

C

校驗和驗證位。?該位置1，表示GRE頭插入了校驗和（Checksum）字段。
?該位置0，表示GRE頭不包含校驗和字段。

K

關(guān)鍵字位。?該位置1，表示GRE頭插入了關(guān)鍵字（Key）字段。
?該位置0，表示GRE頭不包含關(guān)鍵字字段。

Recursion

表示GRE報文被封裝的層數(shù)。完成一次GRE封裝后將該字段加1。如果封裝層數(shù)大于3，則丟棄該報文。該字段的作用是防止報文被無限次的封裝。

說明：

?RFC1701規(guī)定該字段默認值為0。

?RFC2784規(guī)定當發(fā)送和接收端該字段不一致時不會引起異常，且接收端必須忽略該字段。

?設(shè)備實現(xiàn)時該字段僅在加封裝報文時用作標記隧道嵌套層數(shù)，GRE解封裝報文時不感知該字段，不會影響報文的處理。

Flags

預(yù)留字段。當前必須置為0。

Version

版本字段。必須置為0。

Protocol Type

標識乘客協(xié)議的協(xié)議類型。常見的乘客協(xié)議為IPv4協(xié)議，協(xié)議代碼為0800。

Ethernet over GRE協(xié)議的協(xié)議代碼為0x6558。

Checksum

對GRE頭及其負載的校驗和字段。

Key

關(guān)鍵字字段，隧道接收端用于對收到的報文進行驗證。

GRE的安全機制

GRE本身提供兩種基本的安全機制：

?校驗和驗證

?識別關(guān)鍵字

GRE的安全機制

校驗和驗證

校驗和驗證是指對封裝的報文進行端到端校驗。

若GRE報文頭中的C位標識位置1，則校驗和有效。發(fā)送方將根據(jù)GRE頭及Payload信息計算校驗和，并將包含校驗和的報文發(fā)送給對端。接收方對接收到的報文計算校驗和，并與報文中的校驗和比較，如果一致則對報文進一步處理，否則丟棄。

隧道兩端可以根據(jù)實際應(yīng)用的需要決定配置校驗和或禁止校驗和。如果本端配置了校驗和而對端沒有配置，則本端將不會對接收到的報文進行校驗和檢查，但對發(fā)送的報文計算校驗和；相反，如果本端沒有配置校驗和而對端已配置，則本端將對從對端發(fā)來的報文進行校驗和檢查，但對發(fā)送的報文不計算校驗和。

識別關(guān)鍵字

識別關(guān)鍵字（Key）驗證是指對Tunnel接口進行校驗。通過這種弱安全機制，可以防止錯誤識別、接收其它地方來的報文。

RFC1701中規(guī)定：若GRE報文頭中的K位為1，則在GRE頭中插入一個四字節(jié)長關(guān)鍵字字段，收發(fā)雙方將進行識別關(guān)鍵字的驗證。

關(guān)鍵字的作用是標志隧道中的流量，屬于同一流量的報文使用相同的關(guān)鍵字。在報文解封裝時，GRE將基于關(guān)鍵字來識別屬于相同流量的數(shù)據(jù)報文。只有Tunnel兩端設(shè)置的識別關(guān)鍵字完全一致時才能通過驗證，否則將報文丟棄。這里的“完全一致”是指兩端都不設(shè)置識別關(guān)鍵字，或者兩端都設(shè)置相同的關(guān)鍵字。

GRE的keepalive檢測

由于GRE協(xié)議并不具備檢測鏈路狀態(tài)的功能，如果對端接口不可達，隧道并不能及時關(guān)閉該Tunnel連接，這樣會造成源端會不斷的向?qū)Χ宿D(zhuǎn)發(fā)數(shù)據(jù)，而對端卻因隧道不通接收不到報文，由此就會形成數(shù)據(jù)空洞。

GRE的Keepalive檢測功能可以檢測隧道狀態(tài)，即檢測隧道對端是否可達。如果對端不可達，隧道連接就會及時關(guān)閉，避免因?qū)Χ瞬豢蛇_而造成的數(shù)據(jù)丟失，有效防止數(shù)據(jù)空洞，保證數(shù)據(jù)傳輸?shù)目煽啃浴?/span>

Keepalive檢測功能的實現(xiàn)過程如下：
1.當GRE隧道的源端使能Keepalive檢測功能后，就創(chuàng)建一個定時器，周期地發(fā)送Keepalive探測報文，同時通過計數(shù)器進行不可達計數(shù)。每發(fā)送一個探測報文，不可達計數(shù)加1。

2.對端每收到一個探測報文，就給源端發(fā)送一個回應(yīng)報文。

3.如果源端的計數(shù)器值未達到預(yù)先設(shè)置的值就收到回應(yīng)報文，就表明對端可達。如果源端的計數(shù)器值到達預(yù)先設(shè)置的值——重試次數(shù)（Retry Times）時，還沒收到回送報文，就認為對端不可達。此時，源端將關(guān)閉隧道連接。但是源端口仍會繼續(xù)發(fā)送Keepalive報文，若對端Up，則源端口也會Up，建立隧道鏈接。

說明：（對于設(shè)備實現(xiàn)的GRE Keepalive檢測功能，只要在隧道一端配置Keepalive，該端就具備Keepalive功能，而不要求隧道對端也具備該功能。隧道對端收到報文，如果是Keepalive探測報文，無論是否配置Keepalive，都會給源端發(fā)送一個回應(yīng)報文。）
Ethernet over GRE

Ethernet over GRE

通用路由封裝協(xié)議GRE（Generic Routing Encapsulation）提供了將一種協(xié)議報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳輸，這種在異種網(wǎng)絡(luò)中傳輸報文的通道稱為隧道（Tunnel）。

目前，GRE隧道可以通過兩種隧道接口建立：
?GRE隧道接口

GRE隧道接口是為實現(xiàn)報文的封裝而提供的一種點對點類型的邏輯接口，包含源地址、目的地址和隧道接口IP地址。

?mGRE隧道接口

mGRE隧道接口是為實現(xiàn)DSVPN而提供的一種點到多點類型的邏輯接口，包含源地址、目的地址和隧道接口IP地址。

與GRE隧道接口手工指定目的地址不同，mGRE隧道接口的目的地址來自于NHRP地址解析協(xié)議，一個mGRE隧道接口上，可以存在多條GRE隧道，有多個GRE對端。

在這里插入圖片描述
如圖1所示，分支與總部的網(wǎng)絡(luò)都是以太網(wǎng)絡(luò)，分支與總部之間通過IP骨干網(wǎng)相連，如果用戶希望分支與總部之間能夠互通，可以部署Ethernet over GRE功能，實現(xiàn)以太報文通過GRE隧道進行透傳。
Ethernet over GRE是將以太網(wǎng)協(xié)議的報文通過GRE封裝后，在另一個網(wǎng)絡(luò)層協(xié)議（如IPv4）的網(wǎng)絡(luò)中傳輸，具體工作原理如下：
1.在設(shè)備LAN側(cè)的物理以太網(wǎng)接口GE2/0/0上綁定二層VE接口VE0/0/2，在設(shè)備WAN側(cè)的Tunnel接口Tunnel0/0/1上綁定二層VE接口VE0/0/1。
2.Router_1的LAN側(cè)物理以太網(wǎng)接口GE2/0/0收到分支網(wǎng)絡(luò)的以太報文，以太報文中攜帶了VLAN Tag信息。
3.GE2/0/0收到的以太報文轉(zhuǎn)發(fā)到VE0/0/2后，在VE0/0/2上進行入接口VLAN處理，然后在設(shè)備內(nèi)基于MAC和VLAN進行二層轉(zhuǎn)發(fā)，找到出接口VE0/0/1。
4.以太報文在VE0/0/1上進行出接口VLAN處理后，將轉(zhuǎn)發(fā)到VE0/0/1綁定的Tunnel0/0/1接口，經(jīng)過GRE封裝（協(xié)議代碼為0x6558）后，進行后續(xù)的GRE轉(zhuǎn)發(fā)處理。
5.Router_2的Tunnel0/0/1接口上對收到的報文進行GRE解封裝，檢查到協(xié)議代碼為0x6558后，將以太報文轉(zhuǎn)發(fā)給入接口VE0/0/1。
6.在VE0/0/1上進行入接口VLAN處理后，二層轉(zhuǎn)發(fā)給VE0/0/2進行出接口VLAN處理。