GRE路由协议.ppt

起始页面,gre,gre-3,课程学习要求,通过对本课程的学习希望学员能达到以下要求： 理解gre 的原理和应用范围 掌握gre 的功能和配置 了解gre的报文格式,gre-4,gre原理,gre（generic routing encapsulation）：通用路由封装协议。 gre是vpn的第三层隧道协议，采用了隧道（tunnel）技术。 tunnel是虚拟的点对点连接，即点对点连接的虚拟接口。,b协议 例如：ip,a协议 例如：ipx,a协议 例如：ipx,隧道,注：a、b协议可以是相同或不同的协议,gre-5,封装过程,gre-6,ip in ip的报文格式,乘客协议 运载协议或封装协议 运输协议,新ip头部的长度为20字节 gre头部的长度为420字节（根据实际配置而定）。,原ip数据包（含ip头和数据）,gre-7,解封装过程,网络层发现ip头的协议号为47，剥离新ip头部并提交gre模块。 gre模块剥离gre头部后，数据包由网络层继续处理。 网络层剥离ip头部，将数据提交上层进行处理。,gre-8,gre协议应用范围,1、多协议、多业务本地网通过单一骨干网传输 。 2、扩大了包含步跳数限制协议（rip）的应用范围 。 3、组建vpn。,gre-9,配置gre创建tunnel端口,interface tunnel tunnel_number,创建虚拟tunnel接口,no interface tunnel tunnel_number,删除一个tunnel接口,gre-10,配置gre配置tunnel接口,ip address ip_addr mask,定义tunnel接口的ip地址,tunnel source source_ip,定义tunnel通道的源地址,tunnel destination dest_ip,定义tunnel通道的目的地址,gre-11,配置gre配置tunnel接口（可选）,tunnel mode gre,定义tunnel接口报文的封装模式,tunnel key key_number,定义tunnel接口的密钥,gre-12,配置gre配置tunnel接口（可选）,tunnel checksum,定义tunnel接口使用校验和校验,tunnel sequence-datagrams,定义tunnel接口进行数据报文序列号同步,gre-13,举例一 直连设备间的gre,确保10.1.1.1和20.1.1.1可以通过以太口ping通 修改路由配置、添加tunnel口 验证10.1.1.1和20.1.1.1可以通过tunnel口ping通,gre-14,举例一（配置a）,hostname a ! interface loopback0 ip address 10.1.1.1 255.255.255.0 ! interface fastethernet0/0 ip address 1.1.1.1 255.255.255.0 !,gre-15,举例一（配置a 续）,interface tunnel1 ip address 100.1.1.1 255.255.255.0 tunnel source 1.1.1.1 tunnel destination 1.1.1.2 ! ip route 20.1.1.0 255.255.255.0 100.1.1.2 !,t0 100.1.1.1,f0/0 1.1.1.1,f0/0 1.1.1.2,l0 10.1.1.1,l0 20.1.1.1,a,b,t0 100.1.1.2,gre-16,举例一（配置b）,t0 100.1.1.1,f0/0 1.1.1.1,f0/0 1.1.1.2,l0 10.1.1.1,l0 20.1.1.1,a,b,t0 100.1.1.2,hostname b ! interface loopback0 ip address 20.1.1.1 255.255.255.0 ! interface fastethernet0/0 ip address 1.1.1.1 255.255.255.0 !,gre-17,举例一（配置b 续）,interface tunnel1 ip address 100.1.1.2 255.255.255.0 tunnel source 1.1.1.2 tunnel destination 1.1.1.1 ! ip route 10.1.1.0 255.255.255.0 100.1.1.1 !,gre-18,2002-1-1 04:58:07 ip fastethernet0/0: tx - src=1.1.1.1, dst=1.1.1.2, len=108, gate=1.1.1.2 45 00 00 6c 03 d4 00 00 ff 2f b3 8a 01 01 01 0101 01 01 02 00 00 08 00 45 00 00 54 03 d2 00 00 ff 01 97 d3 0a 01 01 01 -从接口发出去的数据包经过gre封装（协议号47） 2002-1-1 04:58:07 ip fastethernet0/0: rx - src=1.1.1.2, dst=1.1.1.1, len=108 45 00 00 6c 02 85 00 00 ff 2f b4 d9 01 01 01 02 01 01 01 01 00 00 08 00 45 00 00 54 02 83 00 00 ff 01 99 22 14 01 01 01 -从接口收到的数据包经过gre封装（协议号47）,举例一（debug信息）,debug ip raw ping 20.1.1.1 (20.1.1.1): 56 data bytes ! 1 packets transmitted, 1 packets received, 0% packet loss a#2002-1-1 04:58:07 ip tunnel1: tx - src=10.1.1.1, dst=20.1.1.1, len=84, gate=100.1.1.2 45 00 00 54 03 d2 00 00 ff 01 97 d3 0a 01 01 0114 01 01 01 08 00 5d d3 00 1d 00 00 49 da 5b 26 04 05 06 07 08 09 0a 0b 2002-1-1 04:58:07 ip fastethernet0/0: tx - src=1.1.1.1, dst=1.1.1.2, len=108, gate=1.1.1.2 45 00 00 6c 03 d4 00 00 ff 2f b3 8a 01 01 01 0101 01 01 02 00 00 08 00 45 00 00 54 03 d2 00 00 ff 01 97 d3 0a 01 01 01 从接口发出去的数据包经过gre封装（协议号47） 2002-1-1 04:58:07 ip fastethernet0/0: rx - src=1.1.1.2, dst=1.1.1.1, len=108 45 00 00 6c 02 85 00 00 ff 2f b4 d9 01 01 01 02 01 01 01 01 00 00 08 00 45 00 00 54 02 83 00 00 ff 01 99 22 14 01 01 01 从接口收到的数据包经过gre封装（协议号47） 2002-1-1 04:58:07 ip tunnel1: rx - src=20.1.1.1, dst=10.1.1.1, len=84 45 00 00 54 02 83 00 00 ff 01 99 22 14 01 01 010a 01 01 01 00 00 65 d3 00 1d 00 00 49 da 5b 26 04 05 06 07 08 09 0a 0b,gre-19,举例二 跨设备间的gre,确保192.168.2.1和192.168.3.1可以通过以太口ping通 修改路由配置、添加tunnel口 验证192.168.2.1和192.168.3.1可以通过tunnel口ping通,gre-20,举例二（配置2750）,hostname 2750 ! interface loopback0 ip address 192.168.2.1 255.255.255.0 ! interface fastethernet0/0 ip address 1.1.1.1 255.255.255.0 ! ip route 2.2.2.0 255.255.255.0 1.1.1.2 !,gre-21,举例二（配置2750 续）,interface tunnel0 ip address 100.1.1.1 255.255.255.0 tunnel source 1.1.1.1 tunnel destination 2.2.2.1 tunnel key 123456 ! router rip network 192.168.2.0 255.255.255.0 network 100.1.1.0 255.255.255.0 version 2 !,gre-22,举例二（配置1750）,hostname 1750 ! interface fastethernet0/0 ip address 1.1.1.2 255.255.255.0 ! interface ethernet1/1 ip address 2.2.2.2 255.255.255.0 !,gre-23,举例二（配置a）,hostname a ! interface loopback0 ip address 192.168.3.1 255.255.255.0 ! interface fastethernet0/0 ip address 2.2.2.1 255.255.255.0 ! ip route 1.1.1.0 255.255.255.0 2.2.2.2 !,gre-24,举例二（配置a 续）,interface tunnel0 ip address 100.1.1.2 255.255.255.0 tunnel source 2.2.2.1 tunnel destination 1.1.1.1 tunnel key 123456 ! router rip network 100.1.1.0 255.255.255.0 network 192.168.3.0 255.255.255.0 version 2 !,gre-25,举例二（show 信息）,a#sh ip route codes: c - connected, s - static, r - rip, b - bgp d - beigrp, dex - external beigrp, o - ospf, oia - ospf inter area on1 - ospf nssa external type 1, on2 - ospf nssa external type 2 oe1 - ospf external type 1, oe2 - ospf external type 2 s 1.1.1.0/24 1,0 via 2.2.2.2 c 2.2.2.0/24 is directly connected, fastethernet0/0 c 100.1.1.0/24 is directly connected, tunnel0 r 192.168.2.0/24 120,1 via 100.1.1.1(on tunnel0) -网络实际拓扑有两跳，但通过gre隧道后隐藏了当中的部分 c 192.168.3.0/24 is directly connected, loopback0,gre-26,2003-1-28 14:46:20 ip fastethernet0/0: tx - s=2.2.2.1, d=1.1.1.1, g=2.2.2.2, len=112 45 00 00 70 00 89 00 00 ff 2f b4 d1 02 02 02 01 01 01 01 01 20 00 08 00 00 01 e2 40 45 00 00 54 02 98 00 00 ff 01 32 be -从接口发出去的数据包经过gre封装（协议号47） 2003-1-28 14:46:20 ip fastethernet0/0: rx - s=1.1.1.1, d=2.2.2.1, len=112 45 00 00 70 00 88 00 00 fe 2f b5 d2 01 01 01 0102 02 02 01 20 00 08 00 00 01 e2 40 45 00 00 54 01 c5 00 00 ff 01 33 91 -从接口收到的数据包经过gre封装（协议号47）,举例二（debug 信息）,a#ping 192.168.2.1 -i 192.168.3.1 -n 1 ping 192.168.2.1 (192.168.2.1): 56 data bytes ! 1 packets transmitted, 1 packets received, 0% packet loss 2003-1-28 14:46:20 ip tunnel0: tx - s=192.168.3.1, d=192.168.2.1, g=100.1.1.1, len=84 45 00 00 54 02 98 00 00 ff 01 32 be c0 a8 03 01c0 a8 02 01 08 00 6b 74 00 18 00 00 00 05 97 5f 04 05 06 07 08 09 0a 0b 2003-1-28 14:46:20 ip fastethernet0/0: tx - s=2.2.2.1, d=1.1.1.1, g=2.2.2.2, len=112 45 00 00 70 00 89 00 00 ff 2f b4 d1 02 02 02 01 01 01 01 01 20 00 08 00 00 01 e2 40 45 00 00 54 02 98 00 00 ff 01 32 be-从接口发出去的数据包经过gre封装（协议号47） 2003-1-28 14:46:20 ip fastethernet0/0: rx - s=1.1.1.1, d=2.2.2.1, len=112 45 00 00 70 00 88 00 00 fe 2f b5 d2 01 01 01 0102 02 02 01 20 00 08 00 00 01 e2 40 45 00 00 54 01 c5 00 00 ff 01 33 91-从接口收到的数据包经过gre封装（协议号47） 2003-1-28 14:46:20 ip tunnel0: rx - s=192.168.2.1, d=192.168.3.1, len=84 45 00 00 54 01 c5 00 00 ff 01 33 91 c0 a8 02 01c0 a8 03 01 00 00 73 74 00 18 00 00 00 05 97 5f 04 05 06 07 08 09 0a 0b,gre-27,举例三 grenat,f0/0 218.1.1.1,f0/0 218.1.1.2,f0/1 10.1.1.1,f0/1 20.1.1.1,t0 30.1.1.1,t0 30.1.1.2,a,b,确保10.1.1.1可以通过pat方式 ping通218.1.1.2 确保20.1.1.1可以通过pat方式 ping通218.1.1.1 添加tunnel口、添加路由 验证10.1.1.1和20.1.1.1可以通过tunnel口ping通,gre-28,举例三（配置a）,f0/0 218.1.1.1,f0/0 218.1.1.2,f0/1 10.1.1.1,f0/1 20.1.1.1,t0 30.1.1.1,a,b,t0 30.1.1.2,hostname a ! interface fastethernet0/0 ip address 218.1.1.1 255.255.255.0 ip nat outside ! interface fastethernet0/1 ip address 10.1.1.1 255.255.255.0 ip nat inside !,gre-29,举例三（配置a 续）,ip access-list standard nat permit any ! ip nat inside source list nat interface fastethernet0/0 ! interface tunnel1 ip address 30.1.1.1 255.255.255.0 tunnel source 218.1.1.1 tunnel destination 218.1.1.2 ! ip route 20.1.1.0 255.255.255.0 tunnel1 !,gre-30,举例三（配置b）,f0/0 218.1.1.1,f0/0 218.1.1.2,f0/1 10.1.1.1,f0/1 20.1.1.1,t0 30.1.1.1,a,b,t0 30.1.1.2,hostname b ! interface fastethernet0/0 ip address 218.1.1.2 255.255.255.0 ip nat outside ! interface fastethernet0/1 ip address 20.1.1.1 255.255.255.0 ip nat inside !,gre-31,举例三（ 配置b 续）,ip access-list standard nat permit any ! ip nat inside source list nat interface fastethernet0/0 ! interface tunnel1 ip address 30.1.1.2 255.255.255.0 tunnel source 218.1.1.2 tunnel destination 218.1.1.1 ! ip route 10.1.1.0 255.255.255.0 tunnel1 !,gre-32,举例三（show 信息）,a#sh ip rou c 10.1.1.0/24 is directly connected, fastethernet0/1 s 20.1.1.0/24 is directly connected, tunnel1 c 30.1.1.0/24 is directly connected, tunnel1 c 218.1.1.0/24 is directly connected, fastethernet0/0 b#sh ip rou s 10.1.1.0/24 is directly connected, tunnel1 c 20.1.1.0/24 is directly connected, fastethernet0/1 c 30.1.1.0/24 is directly connected, tunnel1 c 218.1.1.0/24 is directly connected, fastethernet0/0,gre-33,举例三（debug 信息）,a#ping 20.1.1.1 -i 10.1.1.1 -n 1 ping 20.1.1.1 (20.1.1.1): 56 data bytes ! 1 packets transmitted, 1 packets received, 0% packet loss a#2002-1-1 00:38:08 ip tunnel1: tx - src=10.1.1.1, dst=20.1.1.1, len=84, gate=20.1.1.1 45 00 00 54 01 3c 00 00 ff 01 9a 69 0a 01 01 0114 01 01 01 08 00 84 d9 00 13 00 00 00 03 7e 01 04 05 06 07 08 09 0a 0b 2002-1-1 00:38:08 ip fastethernet0/0: tx - src=218.1.1.1, dst=218.1.1.2, len=108, gate=218.1.1.2 45 00 00 6c 01 3e 00 00 ff 2f 04 1f da 01 01 01da 01 01 02 00 00 08 00 45 00 00 54 01 3c 00 00 ff 01 9a 69 0a 01 01 01 -从接口发出去的数据包经过gre封装（协议号47） 2002-1-1 00:38:08 ip fastethernet0/0: rx - src=218.1.1.2, dst=218.1.1.1, len=108 45 00 00 6c 00 e7 00 00 ff 2f 04 76 da 01 01 02 da 01 01 01 00 00 08 00 45 00 00 54 00 e5 00 00 ff 01 9a c0 14 01 01 01 -从接口收到的数据包经过gre封装（协议号47） 2002-1-1 00:38:08 ip tunnel1: rx - src=20.1.1.1, dst=10.1.1.1, len=84 45 00 00 54 00 e5 00 00 ff 01 9a c0 14 01 01 010a 01 01 01 00 00 8c d9 00 13 00 00 00 03 7e 01 04 05 06 07 08 09 0a 0b,2002-1-1 00:38:08 ip fastethernet0/0: tx - src=218.1.1.1, dst=218.1.1.2, len=108, gate=218.1.1.2 45 00 00 6c 01 3e 00 00 ff 2f 04 1f da 01 01 01da 01 01 02 00 00 08 00 45 00 00 54 01 3c 00 00 ff 01 9a 69 0a 01 01 01 -从接口发出去的数据包经过gre封装（协议号47） 2002-1-1 00:38:08 ip fastethernet0/0: rx - src=218.1.1.2, dst=218.1.1.1, len=108 45 00 00 6c 00 e7 00 00 ff 2f 04 76 da 01 01 02 da 01 01 01 00 00 08 00 45 00 00 54 00 e5 00 00 ff 01 9a c0 14 01 01 01 -从接口收到的数据包经过gre封装（协议号47）,gre-34,实验一,实验要求： 1、建立tunnel，使得10.1.1.1通过隧道ping通20.1.1.1 2、记录路由器上的跟踪报文 3、修改tunnel配置，分别使得tunnel的key、checksum、 sequence-datagrams不一致。观察隧道的情况以及10.1.1.1和20.1.1.1是否可以ping通,gre-35,实验二,实验要求： 1、运行rip路由协议 2、建立tunnel，使得192.168.2.1通过隧道ping通192.168.3.1 3、记录路由器上的跟踪报文,gre-36,gre报文格式详解,gre头部的长度为420字节 (gre头部结构参照rfc1701定义),1、前4 字节是必须出现的 2、第520字节将根据第1字节的相关bit位信息，可选出现。 3、gre头部的长度将影响tunnel口的mtu值,gre-37,gre报文格式详解（续）,t0 100.1.1.1,f0/0 1.1.1.1,f0/0 1.1.1.2,l0 10