IPSec VPN用於在兩個端點之間提供安全的IP通信,但只能加密並傳播
單播數據,無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量。通用路由封裝協議GRE(Generic Routing Encapsulation)提供了將一種協議的報文封裝在另一種協議報文中的機制,是一種隧道封裝技術。GRE可以封裝組播數據,並可以和IPSec結合使用,從而保證語音、視頻等組播業務的安全。
一、GRE應用場景
1、GRE可以解決異種網絡的傳輸問題。
GRE用來對某些網絡層協議如IPX(Internet Packet Exchange)的報文進行封裝,使這些被封裝的報文能夠在另一網絡層協議(如IP)中傳輸。
IPSec VPN技術可以創建一條跨越共享公網的隧道,從而實現私網互聯。IPSec VPN能夠安全傳輸IP報文,但是無法在隧道的兩個端點之間運行RIP和OSPF等路由協議。GRE可以將路由協議信息封裝在另一種協議報文(例如IP)中進行傳輸。
2、GRE隧道擴展了受跳數限制的路由協議(RIP)的工作範圍,支持企業靈活設計網絡拓撲。
使用GRE可以克服IGP協議的一些侷限性。
例如,RIP路由協議是一種距離矢量路由協議, 最大跳數為15。如果網絡直徑超過15,設備將無法通信。這種情況下,可以使用GRE技術在兩個網絡節點之間搭建隧道,隱藏它們之間的跳數,擴大網絡的工作範圍。
3、首先通過GRE對報文進行封裝,然後再由IPSec對封裝後的報文進行加密和傳輸。
GRE本身並不支持加密,因而通過GRE隧道傳輸的流量是不加密的。將IPSec技術與GRE相結合,可以先建立GRE隧道對報文進行GRE封裝,然後再建立IPSec隧道對報文進行加密, 以保證報文傳輸的完整性和私密性。
二、GRE報文結構
GRE在封裝數據時,會添加GRE頭部信息,還會添加新的傳輸協議頭部信息。
三、GRE關鍵字驗證
隧道兩端設備通過關鍵字字段( Key )來驗證對端是否合法。
四、Keepalive檢測
Keepalive檢測功能用於檢測隧道對端是否可達。
五、GRE配置
六、配置Keepalive檢測
閱讀更多 ThunderMoon 的文章
