了解快速网络工程师常用技术。什么是GRE虚拟专用网络?
网络工程师CCNP CCIE考试常见问题解答虚拟专用网详情
IPSec虚拟专用网用于在两个端点之间提供安全的IP通信,但只能加密和分发单播数据,包括语音、视频和动态路由协议信息等多播数据流量
通用路由打包协议GRE提供了将一个协议的消息封装在另一协议消息中的机制,并且是隧道技术。
GRE封装组播数据,可以与IPSec结合使用,确保语音、视频等组播服务的安全。
GRE可用于封装某些网络层协议(如IPX )的消息,并允许其他网络层协议传输封装的消息。
GRE是虚拟专用网的第3层隧道协议,在协议层之间采用隧道技术。
因为GRE本身不支持加密,所以通过GRE隧道传输的通信不会被加密。
将IPSec技术与GRE相结合,可以首先建立GRE隧道对消息进行GRE封装,然后建立IPSec隧道对消息进行加密以保证消息传输的完整性和隐私性。
当GRE封装消息时,封装前的消息称为有效载荷,封装前的消息协议称为乘客协议,然后GRE封装GRE报头,GRE成为封装协议,传输协议
GRE封装和封装消息的过程如下。
设备从与互连接口接收到消息后,检查消息头中的目标IP地址字段,在路由表中查找接口,如果接口为隧道接口
隧道模块接收到消息后,首先根据乘客协议类型和当前GRE隧道部署的校验和参数,对消息进行GRE封装,即添加GRE报头。
设备在消息中添加传输协议报头,即IP报头。
该p报头的发送源地址是隧道发送源地址,目的地址是隧道目的地址。
设备根据新增加的IP消息读取器的地址,在路由表中查找相应的出接口,并发送消息。
然后,封装的消息在公共网络上传输。
接收方设备从与公网连接的接口接收到消息后,首先分析IP报头,如果协议类型字段的值为47,则表示协议为GRE,输出接口将消息传递给GRE模块
GRE的Keepalive检测机制:
Keepalive检测功能用于检测隧道链路是否处于Keepalive状态,即隧道端点是否可到达。
如果不能到达,隧道连接将立即关闭,避免形成数据黑洞。
打开Keepalive发现功能后,GRE隧道的本地端会定期向对方发送Keepalive探测消息。
如果对方能到达,则从对方接收响应消息。 如果对方达不到,就不能接受来自对方的应答消息。
打开keepalive发现功能后,GRE隧道会创建计数器并定期发送keepalive探测消息。
如果源在计数器值达到预设值之前收到回复消息,则指示对方可以到达,否则不可以到达。
如果不可访问,则关闭源系统上的隧道连接。
GRE安全选项:
为了提高GRE隧道的安全性,GRE还支持用户选择并设置Tunnel接口的标识关键字或密钥,以对封装在隧道中的消息进行端到端验证。
Key验证是一种通过验证隧道接口来防止意外接收来自其他设备的消息的安全机制。
如果GRE头部中的Key标志位置为1,则发送和接收双方验证信道标识密钥,只有在Tunnel的两端设置的标识密钥完全匹配时,该验证通过,并且在不匹配时丢弃该消息。
如果GRE报头中的Checksum标志位置是1,则校验和是有效的。
发送方根据GRE报头和Payload消息计算校验和,将包含校验和的消息发送到对方。
接收方对接收到的信息计算校验和,与信息中的校验和进行比较,如果一致则进一步处理信息,如果不一致则废弃。
IELAB网络实验室技术共享,转载需注明出处
学习互联网位于IELAB网络实验室,国内知名的网络工程师培养基地。
在平时的学习中,你对哪个技术感兴趣?
欢迎在评论区交流。 我们也选择大家感兴趣的技术要点进行分享。
