【HCIP学习】GRE和MGRE

一、VPN（virtual private network）--- 虚拟专用网

1、技术背景：

     通过专线连接分支机构成本高；

     PSTN拨号成本高，速率低；

2、作用：利用共享公网构建专有私网---跨越公网，能访问私网主机

3、优势：

    部署简单快捷;
    与私有网络一样提供安全性、可靠性和可管理性;
    通过Internet互连，不受地理位置限制，成本低;
    简化用户侧的配置和维护工作

VPN工作过程：

4、隧道技术

定义：使用一种协议去封装另一种协议

相关概念：

载荷数据：被封装的原始数据

载荷协议：被封装在内层的协议

封装协议：对载荷协议的封装方式（标识用哪种VPN）

承载协议：再次封装的外层协议

5、分类

按使用场景：

（1）site-to-site vpn：站点到站点的VPN,用于连接不同分支机构的VPN

         LAN-TO-LAN VPN： 双方的公网地址必须是静态的。

         IPsec VPN：一种网络层的安全保障技术，在公网上为两个私有网络提   供安全通信通道,通过加密通道保证连接的安全。

        GRE VPN: 最简单的VPN，一般和 IPsec VPN搭配使用

（2）access vpn:用于把单个移动用户接入到公司内网

         L2TP VPN：隧道到传送PPP网络，二层VPN,用 L2TP VPN构建 access VPN----此技术被淘汰

         SSL VPN：SSL VPN是解决远程用户访问公司敏感数据最简单最安全的技术

按工作层次：

       二层VPN：L2TP VPN

       三层VPN：

                   IPSEC  VPN

                   GRE  VPN

       七层VPN：SSL VPN

二、GRE

1、GRE简介：

 Genric Routing Encapsulation，通用路由封装，标准的三层隧道技术，是一种点对点的隧道，在任意一种网络协议上传送任意一种其他网络协议的封装方法。

2、GRE  VPN：

直接使用GRE封装建立GRE隧道，在一种协议的网络上传送其他协议；虚拟的隧道接口（Tunnel）

3、GRE报文结构

载荷数据：被封装的原始数据

载荷协议：被封装在内层的协议

封装协议：对载荷协议封装的方式---GRE头

承载协议：再次封装的外层协议

4、GRE VPN工作过程

隧道起点找到私网路由，数据包发往Tunel口；
数据包在Tunel口进行封装公网IP头部；
根据公网IP头部查找路由表，并转发；
数据包在公网进行传输；
查找公网路由并解除公网IP头部封装；
隧道终点查找私网路由并转发至目的主机；

5、GRE VPN的优缺点：

（1）优点：

可以用当前最为普遍的IP网络作为承载网络；

支持多种协议；

支持组播和动态路由协议；

配置简单、部署容易；

（2）缺点：

点对点隧道；

静态配置隧道参数；

布置复杂连接关系时代巨大；

缺乏安全性；

不能分割地址空间（不能解决私网地址冲突的问题）

6、多Tunnel口冗余

作用：主隧道转发数据，备用隧道处于空间状态；需要开启Keepalive来检测隧道运行状态

（1）Tunnel接口虚假状态与静态路由

（2）Tunnel接口Keepalive

[h3c-tunnel]keepalive "interval time"配置隧道保活

7、GRE  VPN配置----课堂小实验

GRE VPN配置方法：

发送端：

[r1]interface Tunnel 0/0/0 --- 创建GRE随道接口

[r1-Tunnel0/0/0]ip address 192.168.3.1 24  ---- 配置隧道IP地址

[r1-Tunnel0/0/0]tunnel-protocol gre  ---- 定义封装方式

[r1-Tunnel0/0/0]source 100.1.1.1 ---- 定义隧道被封装的源地址

[r1-Tunnel0/0/0]destination 100.2.2.3---- 定义隧道被封装的目标地址

两边配置一样，配置完了注意添加路由。之后内网之间便可以ping通了，可以用ping -a测试。

三、MGRE（Multi Genric Routing Encapsulation）

1、简介

定义：多点通用路由封装协议，适合多个分公司需要和总部连接的情况

特点：通过构建公共隧道实现总部和分部、分部与分部之间的通信

           所有私网中，有一方的公网地址必须固定，其他私网公网地址可以不固定

2、NHRP协议 --- 下一跳解析协议

工作原理：

• NHRP中心站点，其出口的公网IP必须是固定的；

1. 中心站点要求所有分支都需要将自己物理接口IP和隧道IP发给中心站点。（发生变化就需要重新发送。）
2. 中心会将所有的分支的地址映射关系动态的记录在本地。发送信息时查询即可

• NHRP中心站点要。

3、MGRE VPN配置方法

[r1]interface Tunnel 0/0/0 --- 创建GRE随道接口

[r1-Tunnel0/0/0]ip address 192.168.3.1 24  ---- 配置隧道IP地址

[r1-Tunnel0/0/0]tunnel-protocol gre p2mp  ---- 定义封装方式

[r1-Tunnel0/0/0]source 100.1.1.1 ---- 定义隧道被封装的源地址

4、NHRP的配置

中心站点配置：

[R1-Tunnel0/0/0]nhrp network-id 100  创建NHRP域

分支站点配置：

[R2]int Tunnel 0/0/0

[R2-Tunnel0/0/0]ip add 192.168.5.2 24

[R2-Tunnel0/0/0]tunnel-protocol gre p2mp

[R2-Tunnel0/0/0]source GigabitEthernet 0/0/0

[R2-Tunnel0/0/0]nhrp network-id 100   //分支加入中心站点域100

[R2-Tunnel0/0/0]nhrp entry 中心隧道地址 中心公网接口地址 register  // 分支找中心注册自己的信息

5、MGRE环境下的RIP网络

在MGRE环境下使用RIP来获取未知网段的路由信息

1、只有中心获取到分支的路由信息，但是分支并没有获取到中心的路由信息；

解决方法：在中心上开启伪广播

2、分支在中心开启伪广播后，分支只能获取到中心的路由信息，但是无法获取分支之间的路由信息；

解决方案：关闭接口的水平分割

四、综合实验

实验配置见下一篇文章：）