VPN封装技术之GRE
发布时间:2017-08-01
一、简介
GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。在大多数常规情况下,系统拥有一个有效载荷(或负载)包,需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中,然后将此 GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议。Tunnel 是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel 的两端分别对数据报进行封装及解封装。
二、为什么要使用GRE进行隧道传输呢?
GRE是最初由CISCO开发出来的隧道协议,它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,比如,如果我们需要在IP网络上进行非IP传输,这时采用GRE进行数据传输就可以很好的解决这个问题,在比如,你可以使用GRE隧道传输多播数据包和IPv6数据包,有时你需要加密的多播传输,GRE隧道可以像真实的网络接口那样传递多播数据包,另外,大量的视频、VoIP以及音乐流程序使用多播。目前企业内部的计算机之间一般都是使用私网IP.当一个企业及其在外地的一个分支机构需要通过 Internet进行互连时,就必须解决私网 IP穿越公网的问题。一个很简单的解决办法就是:在 Intemet中打一条 “隧道”,企业和外地分支机构间通过该隧道透传 Internet而实现互 。GRE技术可以有效解决此问题。
三、GRE的优点
无论是PPTP,还是L2TP,它们对现代安全需求的支持都不够完善,应用范围也不够广泛。就拿PPTP来说,它不支持QOS,认证性和加密性都比较脆弱,除此以外每个用户一条隧道,这样从用户的角度来说就很大程度上的浪费资源,还要花费大量的资金。事实上,它们都缺乏PKI技术所支持的数字证书,VPN 也就缺少了最重要的安全特性。GRE是第三层隧道,配置简单,容易操作,而且它的安全性、可扩展性及可靠性都比第二次隧道的协议强。而我们的GRE可以配合IPSec一起用,由 IPSec 提供用户数据的加密,从而给用户提供更好的安全性。它可以为路由器之间、防火墙之间或其他通信过程中提供经过加密和认证的通信,其安全性比其他协议都完善得多。由于GRE是IP层上的协议,因此很容易在全世界范围内形成一种规范,具有非常好的通用性。在相对较为安全的公司或企业的 Intranet内部 如果能够单独灵活运用GRE,往往能够很好的满足各种业务需求,收到事半功倍的效果,甚至比其它技术更胜一筹。
四、GRE的特点
(1)机制简单 .对隧道两端设备的 CPU负担小。
(2)容易压缩非 IP协议的数据包,如 IPX或 AppleTalk类型的数据包。
(3)数据通信限制在单个专用网络中进行。
(4)支持多种协议和多播 。
(5)能够用来创建弹性的VPN。
(6) 支持多点隧道 。
(7) 能够实施QOS。
五、设备的基本配置
设备1设置如下:
设备2设置如下:
六、总结
GRE提出较早,有很强的封装能力,GRE发展到今天已经比较成熟了,它已经不是只限于某个特定的“X over B”的应用了,而是一种通用的封装形式,它和IPSec一起使用,为用户提供了更加安全可靠的环境。在实际的组网中,GRE可以更加灵活的运用。
返回列表
