GRE路由协议PPT课件.ppt
42页
起始页面起始页面 GRE 课程学习要求课程学习要求通过对本课程的学习希望学员能到达以下要求: 理解GRE 的原理和应用范围 掌握GRE 的功能和配置 了解GRE的报文格式3 GRE原理原理•GRE〔〔Generic Routing Encapsulation〕:通用路由封装协议〕:通用路由封装协议•GRE是是VPN的第三层隧道协议,采用了隧道〔的第三层隧道协议,采用了隧道〔Tunnel〕技术•Tunnel是虚拟的点对点连接,即点对点连接的虚拟接口是虚拟的点对点连接,即点对点连接的虚拟接口B协议例如:IPA协议例如:IPXA协议例如:IPX隧道注:A、B协议可以是相同或不同的协议4 封装过程封装过程网络层网络层数据数据IP头头网络层网络层GRE模块模块GRE头头数据数据IP头头网络层网络层新新IP头头GRE头头数据数据IP头头•经经GRE模块处理后,原模块处理后,原IP头部已经被封装在新头部已经被封装在新IP头部和头部和GRE头部之后头部之后•新新IP数据包的数据包的IP头部的协议号为头部的协议号为47•新新IP数据包可视为如下的封装结构数据包可视为如下的封装结构IP头头数据数据5 IP in IP的报文格式的报文格式•乘客协议乘客协议•运载协议或封装协议运载协议或封装协议•运输协议运输协议•新新IP头部的长度为头部的长度为20字节字节•GRE头部的长度为头部的长度为4~~20字节〔根据实际配置而定〕。
字节〔根据实际配置而定〕新新IP头头GRE头头原原IP数据包〔含数据包〔含IP头和数据〕头和数据〕6 解封装过程解封装过程•网络层发现网络层发现IP头的协议号为头的协议号为47,剥离新,剥离新IP头部并提交头部并提交GRE模块•GRE模块剥离模块剥离GRE头部后,数据包由网络层继续处理头部后,数据包由网络层继续处理•网络层剥离网络层剥离IP头部,将数据提交上层进行处理头部,将数据提交上层进行处理网络层网络层IP头头数据数据网络层网络层GRE模块模块GRE头头数据数据IP头头网络层网络层数据数据IP头头上层上层数据数据7 GRE协议应用范围协议应用范围•1、多协议、多业务本地网通过单一骨干网传输、多协议、多业务本地网通过单一骨干网传输 •2、扩大了包含步跳数限制协议〔、扩大了包含步跳数限制协议〔RIP〕的应用范围〕的应用范围 •3、组建、组建VPN8 配置配置GRE—创立创立Tunnel端口端口interface tunnel tunnel_number创立虚拟创立虚拟TunnelTunnel接口接口no interface tunnel tunnel_number删除一个删除一个TunnelTunnel接口接口9 配置配置GRE—配置配置Tunnel接口接口 ip address ip_addr mask定义定义TunnelTunnel接口的接口的IPIP地址地址tunnel source source_ip 定义定义TunnelTunnel通道的源地址通道的源地址tunnel destination dest_ip 定义定义TunnelTunnel通道的目的地址通道的目的地址10 配置配置GRE—配置配置Tunnel接口〔可选〕接口〔可选〕 tunnel mode gre定义定义Tunnel接口报文的封装模式接口报文的封装模式tunnel key key_number 定义定义Tunnel接口的密钥接口的密钥11 配置配置GRE—配置配置Tunnel接口〔可选〕接口〔可选〕 tunnel checksum定义定义Tunnel接口使用校验和校验接口使用校验和校验tunnel sequence-datagrams 定义定义Tunnel接口进行数据报文序列号同步接口进行数据报文序列号同步12 举例一举例一 直连设备间的直连设备间的GRE•确保确保10.1.1.1和和20.1.1.1可以通过以太口可以通过以太口PING通通•修改路由配置、添加修改路由配置、添加Tunnel口口•验证验证10.1.1.1和和20.1.1.1可以通过可以通过Tunnel口口PING通通T0 100.1.1.1F0/0 1.1.1.1F0/0 1.1.1.2L0 10.1.1.1L0 20.1.1.1 AT0 100.1.1.2 B13 举例一〔配置举例一〔配置A〕〕T0 100.1.1.1F0/0 1.1.1.1F0/0 1.1.1.2L0 10.1.1.1L0 20.1.1.1 A BT0 100.1.1.2hostname A!interface Loopback0 ip!interface FastEthernet0/0 ip! 14 举例一〔配置举例一〔配置A 续〕续〕interface Tunnel1 ip! ip! A B15 举例一〔配置举例一〔配置B〕〕 A Bhostname B!interface Loopback0 ip!interface FastEthernet0/0 ip! 16 举例一〔配置举例一〔配置B 续〕续〕interface Tunnel1 ip! ip!T0 100.1.1.1F0/0 1.1.1.1F0/0 1.1.1.2L0 10.1.1.1L0 20.1.1.1 A BT0 100.1.1.217 45 00 00 6C 03 D4 00 00 FF 2F B3 8A 01 01 01 0101 01 01 02 00 00 08 00 45 00 00 54 03 D2 00 00 FF 01 97 D3 0A 01 01 01 --------从接口发出去的数据包经过从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕 2002-1-1 04:58:07 IP FastEthernet0/0: RX <- src=1.1.1.2, dst=1.1.1.1, len=10845 00 00 6C 02 85 00 00 FF 2F B4 D9 01 01 01 02 01 01 01 01 00 00 08 00 45 00 00 54 02 83 00 00 FF 01 99 22 14 01 01 01 --------从接口收到的数据包经过从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕举例一〔举例一〔debug信息〕信息〕 debug ip rawPING 20.1.1.1 (20.1.1.1): 56 data bytes!1 packets transmitted, 1 packets received, 0% packet lossA#2002-1-1 04:58:07 IP Tunnel1: TX -> src=10.1.1.1, dst=20.1.1.1, len45 00 00 54 03 D2 00 00 FF 01 97 D3 0A 01 01 0114 01 01 01 08 00 5D D3 00 1D 00 00 49 DA 5B 2604 05 06 07 08 09 0A 0B2002-1-1 04:58:07 IP FastEthernet0/0: TX -> src=1.1.1.1, dst=1.1.1.2, len45 00 00 6C 03 D4 00 00 FF 2F B3 8A 01 01 01 0101 01 01 02 00 00 08 00 45 00 00 54 03 D2 00 00 FF 01 97 D3 0A 01 01 01 -----从接口发出去的数据包经过-----从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕 2002-1-1 04:58:07 IP FastEthernet0/0: RX <- src=1.1.1.2, dst=1.1.1.1, len=10845 00 00 6C 02 85 00 00 FF 2F B4 D9 01 01 01 02 01 01 01 01 00 00 08 00 45 00 00 54 02 83 00 00 FF 01 99 22 14 01 01 01 -----从接口收到的数据包经过-----从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕 2002-1-1 04:58:07 IP Tunnel1: RX <- src=20.1.1.1, dst=10.1.1.1, len=8445 00 00 54 02 83 00 00 FF 01 99 22 14 01 01 010A 01 01 01 00 00 65 D3 00 1D 00 00 49 DA 5B 26 04 05 06 07 08 09 0A 0B18 举例二举例二 跨设备间的跨设备间的GRET0 100.1.1.1T0 100.1.1.2F0/0 1.1.1.2F0/0 2.2.2.1L0 192.168.3.1E1/1 2.2.2.2L0 192.168.2.1 2750 1750 AF0/0 1.1.1.1•确保确保192.168.2.1和和192.168.3.1可以通过以太口可以通过以太口PING通通•修改路由配置、添加修改路由配置、添加Tunnel口口•验证验证192.168.2.1和和192.168.3.1可以通过可以通过Tunnel口口PING通通19 举例二〔配置举例二〔配置2750〕〕F0/0 1.1.1.2T0 100.1.1.1F0/0 1.1.1.1F0/0 2.2.2.1L0 192.168.2.1L0 192.168.3.1 2750 AT0 100.1.1.2E1/1 2.2.2.2 1750hostname 2750!interface Loopback0 ip!interface FastEthernet0/0 ip!!20 举例二〔配置举例二〔配置2750 续〕续〕interface Tunnel0 tunnel key 123456!router rip version 2!21 举例二〔配置举例二〔配置1750〕〕F0/0 1.1.1.2T0 100.1.1.1F0/0 1.1.1.1F0/0 2.2.2.1L0 192.168.2.1L0 192.168.3.1 2750 AT0 100.1.1.2E1/1 2.2.2.2 1750hostname 1750!interface FastEthernet0/0!interface Ethernet1/1!22 举例二〔配置举例二〔配置A〕〕F0/0 1.1.1.2T0 100.1.1.1F0/0 1.1.1.1F0/0 2.2.2.1L0 192.168.2.1L0 192.168.3.1 2750 AT0 100.1.1.2E1/1 2.2.2.2 1750hostname A!interface Loopback0!interface FastEthernet0/0!!23 举例二〔配置举例二〔配置A 续〕续〕interface Tunnel0ip tunnel key 123456!router rip version 2!24 举例二〔举例二〔show 信息〕信息〕A#sh ip routeCodes: C - connected, S - static, R - RIP, B - BGP D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 C 2.2.2.0/24 is directly connected, FastEthernet0/0C 100.1.1.0/24 is directly connected, Tunnel0R 192.168.2.0/24 [120,1] via 100.1.1.1(on Tunnel0) --网络实际拓扑有两跳,但通过网络实际拓扑有两跳,但通过GRE隧道后隐藏了当中的局部隧道后隐藏了当中的局部C 192.168.3.0/24 is directly connected, Loopback025 2003-1-28 14:46:20 IP FastEthernet0/0: TX -> s=2.2.2.1, d=1.1.1.1, g=2.2.2.2, len=11245 00 00 70 00 89 00 00 FF 2F B4 D1 02 02 02 01 01 01 01 01 20 00 08 00 00 01 E2 40 45 00 00 54 02 98 00 00 FF 01 32 BE ------------------从接口发出去的数据包经过从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕 2003-1-28 14:46:20 IP FastEthernet0/0: RX <- s=1.1.1.1, d=2.2.2.1, len=11245 00 00 70 00 88 00 00 FE 2F B5 D2 01 01 01 0102 02 02 01 20 00 08 00 00 01 E2 40 45 00 00 54 01 C5 00 00 FF 01 33 91 ---------------------从接口收到的数据包经过从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕举例二〔举例二〔debug 信息〕信息〕A#ping 192.168.2.1 -i 192.168.3.1 -n 1PING 192.168.2.1 (192.168.2.1): 56 data bytes!1 packets transmitted, 1 packets received, 0% packet loss2003-1-28 14:46:20 IP Tunnel0: TX -> s=192.168.3.1, d=192.168.2.1, g=100.1.1.1, len=8445 00 00 54 02 98 00 00 FF 01 32 BE C0 A8 03 01C0 A8 02 01 08 00 6B 74 00 18 00 00 00 05 97 5F04 05 06 07 08 09 0A 0B2003-1-28 14:46:20 IP FastEthernet0/0: TX -> s=2.2.2.1, d=1.1.1.1, g=2.2.2.2, len=11245 00 00 70 00 89 00 00 FF 2F B4 D1 02 02 02 01 01 01 01 01 20 00 08 00 00 01 E2 40 45 00 00 5402 98 00 00 FF 01 32 BE-------------------------------从接口发出去的数据包经过从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕 2003-1-28 14:46:20 IP FastEthernet0/0: RX <- s=1.1.1.1, d=2.2.2.1, len=11245 00 00 70 00 88 00 00 FE 2F B5 D2 01 01 01 0102 02 02 01 20 00 08 00 00 01 E2 40 45 00 00 5401 C5 00 00 FF 01 33 91--------------------------------从接口收到的数据包经过从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕2003-1-28 14:46:20 IP Tunnel0: RX <- s=192.168.2.1, d=192.168.3.1, len=8445 00 00 54 01 C5 00 00 FF 01 33 91 C0 A8 02 01C0 A8 03 01 00 00 73 74 00 18 00 00 00 05 97 5F 04 05 06 07 08 09 0A 0B26 举例三举例三 GRE++NAT A B•确保确保10.1.1.1可以通过可以通过PAT方式方式 PING•确保确保20.1.1.1可以通过可以通过PAT方式方式 PING•添加添加Tunnel口、添加路由口、添加路由•验证验证10.1.1.1和和20.1.1.1可以通过可以通过Tunnel口口PING通通27 举例三〔配置举例三〔配置A〕〕 A Bhostname A!interface FastEthernet0/0 ip ip nat outside!interface FastEthernet0/1 ip ip nat inside!28 举例三〔配置举例三〔配置A 续〕续〕ip access-list standard nat permit any !ip nat inside source list nat interface FastEthernet0/0!interface Tunnel1ip!ip route 20.1.1.0 255.255.255.0 Tunnel1!29 举例三〔配置举例三〔配置B〕〕 A Bhostname B! interface FastEthernet0/0 ip ip nat outside!interface FastEthernet0/1 ip ip nat inside!30 举例三〔举例三〔 配置配置B 续〕续〕ip access-list standard nat permit any !ip nat inside source list nat interface FastEthernet0/0 ! interface Tunnel1 ip!ip route 10.1.1.0 255.255.255.0 Tunnel1!31 举例三〔举例三〔show 信息〕信息〕A#sh ip rouC 10.1.1.0/24 is directly connected, FastEthernet0/1S 20.1.1.0/24 is directly connected, Tunnel1C 30.1.1.0/24 is directly connected, Tunnel1C 218.1.1.0/24 is directly connected, FastEthernet0/0B#sh ip rouS 10.1.1.0/24 is directly connected, Tunnel1C 20.1.1.0/24 is directly connected, FastEthernet0/1C 30.1.1.0/24 is directly connected, Tunnel1C 218.1.1.0/24 is directly connected, FastEthernet0/032 举例三〔举例三〔debug 信息〕信息〕A#ping 20.1.1.1 -i 10.1.1.1 -n 1PING 20.1.1.1 (20.1.1.1): 56 data bytes!1 packets transmitted, 1 packets received, 0% packet lossA#2002-1-1 00:38:08 IP Tunnel1: TX -> src=10.1.1.1, dst=20.1.1.1, len45 00 00 54 01 3C 00 00 FF 01 9A 69 0A 01 01 0114 01 01 01 08 00 84 D9 00 13 00 00 00 03 7E 0104 05 06 07 08 09 0A 0B 2002-1-1 00:38:08 IP FastEthernet0/0: TX -> src=218.1.1.1, dst=218.1.1.2, len45 00 00 6C 01 3E 00 00 FF 2F 04 1F DA 01 01 01DA 01 01 02 00 00 08 00 45 00 00 54 01 3C 00 00FF 01 9A 69 0A 01 01 01 -------------------------------从接口发出去的数据包经过从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕2002-1-1 00:38:08 IP FastEthernet0/0: RX <- src=218.1.1.2, dst=218.1.1.1, len=10845 00 00 6C 00 E7 00 00 FF 2F 04 76 DA 01 01 02 DA 01 01 01 00 00 08 00 45 00 00 54 00 E5 00 00FF 01 9A C0 14 01 01 01 --------------------------------从接口收到的数据包经过从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕2002-1-1 00:38:08 IP Tunnel1: RX <- src=20.1.1.1, dst=10.1.1.1, len=8445 00 00 54 00 E5 00 00 FF 01 9A C0 14 01 01 010A 01 01 01 00 00 8C D9 00 13 00 00 00 03 7E 0104 05 06 07 08 09 0A 0B 45 00 00 6C 01 3E 00 00 FF 2F 04 1F DA 01 01 01DA 01 01 02 00 00 08 00 45 00 00 54 01 3C 00 00 FF 01 9A 69 0A 01 01 01 -------------------从接口发出去的数据包经过从接口发出去的数据包经过GRE封装〔协议号封装〔协议号47〕〕2002-1-1 00:38:08 IP FastEthernet0/0: RX <- src=218.1.1.2, dst=218.1.1.1, len=10845 00 00 6C 00 E7 00 00 FF 2F 04 76 DA 01 01 02 DA 01 01 01 00 00 08 00 45 00 00 54 00 E5 00 00 FF 01 9A C0 14 01 01 01 ----------------------从接口收到的数据包经过从接口收到的数据包经过GRE封装〔协议号封装〔协议号47〕〕33 实验一实验一实验要求实验要求::1、建立、建立Tunnel,,使得使得10.1.1.1通过隧道通过隧道PING2、记录路由器上的跟踪报文、记录路由器上的跟踪报文3、修改、修改tunnel配置,分别使得配置,分别使得Tunnel的的key、、checksum、、 sequence-datagrams不一致。
观察隧道的情况以及不一致观察隧道的情况以及10.1.1.1和和20.1.1.1是否可以是否可以PING通通T0 100.1.1.1F0/0 1.1.1.1F0/0 1.1.1.2L0 10.1.1.1L0 20.1.1.1 AT0 100.1.1.2 B34 实验二实验二实验要求实验要求::1、运行、运行RIP路由协议路由协议2、建立、建立Tunnel,,使得使得192.168.2.1通过隧道通过隧道PING通通192.168.3.1 3、记录路由器上的跟踪报文、记录路由器上的跟踪报文T0 100.1.1.1T0 100.1.1.2F0/0 1.1.1.2F0/0 2.2.2.1L0 192.168.3.1E1/1 2.2.2.2L0 192.168.2.1 2750 1750 AF0/0 1.1.1.135 GRE报文格式详解报文格式详解GRE头部的长度为头部的长度为4~~20字节字节 (GRE头部结构参照头部结构参照RFC1701定义定义)1、前、前4 字节是必须出现的字节是必须出现的2、第、第5~~20字节将根据第字节将根据第1字节的相关字节的相关bit位信息,可选出现。
位信息,可选出现 3、、GRE头部的长度将影响头部的长度将影响Tunnel口的口的mtu值值36 GRE报文格式详解〔续〕报文格式详解〔续〕 A B相关配置请参考相关配置请参考 举例举例1 在路由器在路由器A上上选取选取debug信息如下:信息如下:2002-1-1 04:58:07 IP FastEthernet0/0: TX -> src=1.1.1.1, dst=1.1.1.2, len45 00 00 6C 03 D4 00 00 FF 2F B3 8A 01 01 01 0101 01 01 02 00 00 08 00 45 00 00 54 03 D2 00 00 FF 01 97 D3 0A 01 01 0100::0 0 0 0 0 000 ------无校验和、无路由、无密钥、无序列号、无严格源路由、无校验和、无路由、无密钥、无序列号、无严格源路由、00000::00000 000 ------00000、版本、版本00008 00 ::IP协议协议37 GRE报文格式详解〔续〕报文格式详解〔续〕保持上图的网络结构,并在路由器保持上图的网络结构,并在路由器A的的Tunnel口内添加口内添加 tunnel key 1 tunnel sequence-datagrams tunnel checksum A B38 GRE报文格式详解〔续〕报文格式详解〔续〕在路由器在路由器A上上选取选取debug信息如下:信息如下:2002-1-1 01:32:04 IP FastEthernet0/0: TX -> src=1.1.1.1, dst=1.1.1.2, len45 00 00 78 00 70 00 00 FF 2F B6 E2 01 01 01 01 01 01 01 02 B0 00 08 00 1A 7B 2D 69 00 00 00 01 00 00 00 1A 45 00 00 54B0::1 0 1 1 0 000 ------有校验和、无路由、有密钥、有序列号、无严格源路由、有校验和、无路由、有密钥、有序列号、无严格源路由、00000::00000 000 ------00000、版本、版本00008 00 :协议,此处为:协议,此处为IP协议协议1A 7B:校验和:校验和2D 69:偏离量:偏离量00 00 00 01:密码〔:密码〔1〕〕00 00 00 1A:序列号〔递增排序〕:序列号〔递增排序〕39 局限性局限性只提供了数据包的封装只提供了数据包的封装密钥是以明文方式传递密钥是以明文方式传递无法防止网络侦听和攻击无法防止网络侦听和攻击40 总结总结GRE 的原理和应用范围的原理和应用范围GRE 的功能和配置的功能和配置GRE的报文格式的报文格式41 结束页面结束页面 bdcom 42 。
数学好玩2《搭配中的学问》课件 北师大三年级数学上册.pptx讲课资料以法治为保障铸牢中华民族共同体意识红色党政风深入学习中央民族工作会议党课PPT课件.pptx苍南县马站镇库下村生活污水处理工程施工组织设计.docx南宁大桥钢结构设计.ppt水利工程竣工验收资料编制顺序大全.doc合并财务报表分步合并与一次合并的差异探析.docx合同履约评价表模板.docx气体引射器的试验研究及应用.pdf浅谈中西医差异的根源及相关不同点.docx机器人协作与集成-洞察研究.docx双电源智能控制器 ATS022(new).pdf高中英语2025届高考完形填空高频短语(共308个).doc
