![Jack](https://eastit.cn/zb_users/avatar/0.png)
在思科的VPN网络环境中,网站VPN最基本的协议是GRE通用路由包协议,可以在思科路由器和两条隧道之间创建虚拟的点对点隧道链接。Dimetage可以通过路由信息在公共IP网络环境中运行此隧道链路。
消息结构如下:
这里需要注意的是,GRE本身并没有任何数据加密机制,即图中的“数据”是以明文的形式在公网中传播的。
GRE配置是Cisco IPSec VPN的基础,所以我们需要了解它的配置方法。
GRE积分配置步骤:
1.路由潜在通信
2.规划隧道的IP地址空间(私有地址)
3.站点路由器配置隧道和路由协议。
我们来做一个GRE配置实验。实验结构平台正在搭建中。
1站点1配置:
接口隧道0。
IP地址123.1.1.1 255 . 255 . 255 . 0
隧道202.100.1.1
隧道目的地202.100.2.2
路由器OSPF 1
1.1.1.1 0 . 0 . 0 . 0面积0
网络123.1.0 0.0.0.255区域0
2站点2配置:
接口隧道0。
IP地址123.1.1.2 255 . 255 . 255 . 0
隧道202.100.2.2
隧道目的地202.100.1.1
路由器OSPF 1
2.2.2.2 0 . 0 . 0 . 0面积0
网络123.1.0 0.0.0.255区域0
GRE隧道的配置比较简单,所以我们在线创建一个公共隧道。在此隧道中,路由信息(本例中为OSPF),因此站点1和站点2的环回接口可以相互通信(LANPACK模拟网站LAN)。
让我们来看看站点1:
站点1 #上海ip int bri
接口IP地址确定了吗?方法状态协议
GigabitEthernet0/0202.100.1.1是手动升级。
GigabitEthernet0/1是未分配的,无需命令即可管理。
千兆以太网0/2未分配被管理性地向下取消。
千兆以太网0/3未分配是向下的缺失。
环回0 1.1.1.1是手动上升的
123.1.1.1 0号隧道人工启动。
站点1 #上海IP路由
代码:L-本地,C-连接,S-静态,R-RIP,M-移动,B-BGP
D-EIGRP,EX-EIGRP外部,O-OSPF,IA-OSPF国际阿达拉
N1-OSPF NSSA外部类型1,N2-OSPF NSSA外部类型2
E1-OSPF外部类型1,E2-OSPF外部类型2
我是是,苏是抽象的,是1,是2。
IA-IS-IS Inter,*-候选默认值,U-用户静态路由
O-ODR,P-定期下载静态路由,H-NHRP,L-Lisp
申请途径
-复制路由,%-下一跳覆盖率,P-PFR覆盖率
从202.100.1.10到网络的最后一个网关是0.0.0.0。
S * 0.0.0/0 [1/0]通过202.100.1.10
1.0.0.0/32是一个子网,1个子网。
1.1.1.1直接连接,环形库0
2.0.0.0/32是一个子网,1个子网。
2.2.2.2通过了123.1.1.2,01:49:33,隧道0
13.0.0.0/8是一个可变子网,有2个子网和2个掩码。
直接连接,隧道0
123.1.1.1.1/32直接连接,隧道0
202.100.1.0/24是一个可变子网,有2个子网和2个掩码。
C 202.100.1.0/24直连千兆以太网0/0
l 202.100.1.1/32直接连接,千兆以太网0/0
您可以看到,站点1通过隧道0获知了站点2的2.2.2.2环回接口地址。Site1和Site2之间的这条路由已经通过大众的GRE隧道开通。
让我们再次抓住这个包:
可以看出,OSPF和Ping缓存是清晰的,这也证明了GRE没有加密机制。所以一定不要直接应用GRE隧道向公网传输数据。