asavpn配置完整版.doc

此文档收集于网络，仅供学习与交流，如有侵权请联系网站删除ASA VPN配置完整版目录简述3隧道技术（Tunnel）5GRE（Generic Routing Encapsulation）8概述8配置GRE11GRE keepalive27配置GRE keepalive28加密技术41加密算法41HMAC（Hashed Message Authentication Code）44IPsec（IP Security）45概述45IKE（Internet Key Exchange）47SA（Security Association）50IKE Phase One52IKE Phase Two53IPsec Mode54ESP（Encapsulating Security Protocol）58AH（Authentication Header）60Transform Set62Crypto Map62隧道分离（Split Tunneling）63IPsec LAN-to-LAN VPN（LAN-to-LAN VPN）63概述63Router-to-Router LAN-to-LAN VPN66Router-to-PIX LAN-to-LAN VPN93Router-to-ASA LAN-to-LAN VPN116IPsec Dynamic LAN-to-LAN VPN（DyVPN）138概述138Router-to-Router Dynamic LAN-to-LAN VPN141Router-to-PIX Dynamic LAN-to-LAN VPN180Router-to-ASA Dynamic LAN-to-LAN VPN182Point-to-Point (p2p) GRE over IPsec185概述185Static p2p GRE over IPsec189Dynamic p2p GRE over IPsec230Dynamic Multipoint VPN（DMVPN）256概述256multipoint GRE (mGRE)257Next Hop Resolution Protocol (NHRP)260配置DMVPN267IPsec VPN Feature320IPsec Dead Peer Detection（IPsec DPD）320IPsec SA Idle Timer351IPsec Preferred Peer373Reverse route injection (RRI)393IPsec VPN High Availability410Stateful Failover for IPsec445NAT Traversal（NAT-T）484Easy VPN（EzVPN）520概述520EzVPN over Router525EzVPN over PIX562EzVPN over ASA587SSL VPN（WebVPN）615概述615SSL VPN over Router619SSL VPN over ASA661PPTP VPN695概述695PPTP VPN over Router697PPTP VPN over PIX739L2TP VPN760概述760L2TP VPN over Router762L2TP over IPsec on PIX788L2TP over IPsec on ASA817简述当不同的远程网络通过Internet连接时，比如上海和北京的两个分公司通过Internet连接时，网络之间的互访将会出现一些局限性，如下拓朴所示：在上图中，由于上海和北京的两个分公司内部网络分别使用了私有IP网段10.1.1.0和192.168.1.0，而私有IP网段是不能传递到Internet上进行路由的，所以两个分公司无法直接通过私网地址10.1.1.0和192.168.1.0互访，如R2无法直接通过访问私网地址192.168.1.4来访问R4。在正常情况下，上图中两个分公司要互访，可以在连接Internet的边界路由器上配置NAT来将私网地址转换为公网地址，从而实现两个私有网络的互访。但是在某些特殊需求下，两个分公司需要直接通过对方私有地址来访问对方网络，而不希望通过NAT映射后的地址来访问，比如银行的业务系统，某银行在全国都有分行，而所有的分行都需要访问总行的业务主机系统，但这些业务主机地址并不希望被NAT转换成公网地址，因为银行的主机不可能愿意暴露在公网之中，所以分行都需要直接通过私网地址访问总行业务主机；在此类需求的网络环境中，我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。请再看如下拓朴的网络环境：在上图的网络环境中，上海与北京两个分公司网络通过路由器直接互连，虽然两个公司的网络都是私有网段，但是两个网络是直连的，比如上海分公司的数据从本地路由器发出后，数据包直接就丢到了北京分公司的路由器，中间并没有经过任何第三方网络和设备，所以两个分公司直接通过对方私有地址互访没有任何问题。由上图环境可知，只要两个网络直接互连而不经过任何第三方网络，那么互连的网络之间可以通过真实地址互访，而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访，要在公司之间自行铺设网络电缆或光纤是完全不可能的，可以选择的替代方法就是向ISP申请租用线路，这样的租用线路称为专线，专线是ISP直接将两个公司连接起来的线路，完全是公司与公司的路由器直连，用户不会感觉到Internet的存在，所以通过租用ISP专线连接的网络之间可以直接通过对方私有地址进行互访。至于ISP的专线是如何实现的，您不必担忧，通常是使用二层技术实现的，但是专线的租用价格是相当昂贵的，有时是根据距离和带宽收费的，所以在某些时候，在公司之间通过租用ISP专线连接的成本可能无法承受，因此，人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果，这种技术，就是隧道技术（Tunnel），也是当前很常见的VPN（Virtual Private Network）技术，本文将全力解述VPN技术，需要强烈说明，如果不能实现隧道功能的VPN，不能称为VPN。 隧道技术（Tunnel）由于在某些环境下，通过Internet连接的远程网络之间，双方需要直接使用对方私有IP地址来互访，而私有IP网段是不能传递到Internet上进行路由的，在数据包封装为私有IP发到Internet之后，由于Internet的路由器没有私有IP网段，所以最终数据包将全部被丢弃而不能到达真正目的地。如下图： 上图中，上海分公司要访问北京分公司的R4，如果通过将数据包目的IP封装为192.168.1.4，该数据包到达Internet后是会被丢弃的，因为Internet没有192.168.1.0的路由，所以数据包也就不可能到达北京分公司的路由器；从图中我们不难发现，除非数据包的目的IP为200.1.1.1，才能到达北京分公司的路由器，否则别无它法，所以上海公司发出去的数据包的目标IP只有封装为200.1.1.1才能到达北京分公司的路由器R3，既然如此，我们就思考着想办法将数据包原来的私有IP地址先隐藏起来，在外部封装上公网IP，等数据包通过公网IP被路由到该IP的路由器后，再由该路由器剥除数据包外层的公网IP，从而发现数据包的私有IP后，再通过私有IP将数据包发到真正的目的地。可以肯定，完成数据包封装与解封装的路由器必须既能与Internet直接通信，也能与私有网络通信。在上图中，上海分公司的R2要想直接通过私有IP地址192.168.1.4与北京分公司的R4通信，在数据包的目标IP封装为192.168.1.4发到路由器R1之后，R1就必须将整个数据包当成数据，然后在该数据包的外层再次将北京分公司路由器R3的公网IP地址200.1.1.1写上，然后发到Internet，Internet根据数据包的公网IP地址200.1.1.1将数据包路由到R3，然后R3将数据包的公网IP剥除后，看见私有IP地址192.168.1.4，然后再根据该地址将数据包发到R4，最终实现了上海分公司通过私有IP地址192.168.1.4访问北京分公司网络的功能。 上个例子中，通过在目标IP为私有IP的数据包外面封装公网IP，从而实现远程网络之间使用私有IP通信的技术，称为隧道技术，由此可见，在隧道中传递的数据包至少包含着两个IP包头（两个IP地址），最外面的IP地址肯定是公网IP，以用作在Internet中路由该数据包，里面的IP应该是私有IP，就是目标主机的真实IP。通过隧道连接的两个远程网络就如同直连，隧道达到的效果，就是网络直连的效果。隧道就像一辆汽车，原本为私有IP的数据包就像是乘客，路途中只看汽车不看乘客，只要汽车能去哪个地方，汽车里的乘客就可以被送到哪个地方，在行驶过程中，车内的乘客不受干扰。被隧道再次封装公网IP的数据包协议称为乘客协议（Passenger protocol），不是所有类型协议的数据包能被隧道封装，所以对于隧道来说，乘客协议（Passenger protocol）是有范围限制的，但本文只谈IP协议。隧道中传输的数据包格式如下图： 就隧道技术有多种实现方式，也就存在多种隧道协议，隧道可以实现远程网络之间通过私有IP地址互访，隧道技术，就是VPN技术，要实现VPN，就是实现隧道，不能实现隧道，就不叫VPN。下文将全力解述最有用的隧道技术与VPN技术。隧道协议目前共有：GRE（Generic Routing Encapsulation）IP Security (IPsec)Secure Sockets Layer/Transport Layer Security (SSL/TLS)VPN (WebVPN)Point-to-Point Tunneling Protocol (PPTP)Layer Two Tunneling Protocol (L2TP) GRE（Generic Routing Encapsulation）概述 GRE是一种最传统的隧道协议，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果，为此，GRE需要完成多次封装，总共有3次，换句话说，就是在GRE隧道中传输的数据包都有3个包头，因为我们只谈IP协议，所以GRE中的IP数据包是一层套一层，总共有3个IP地址。GRE在实现隧道时，需要创建虚拟直连链路，GRE实现的虚拟直连链路可以认为是隧道，隧道是模拟链路，所以隧道两端也有IP地址，但隧道需要在公网中找到起点和终点，所以隧道的源和终点分别都以公网IP地址结尾，该链路是通过GRE协议来完成的，隧道传递数据包的过程分为3步：1接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。 2将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。3将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。GRE隧道中传输的数据包格式如下：注：其中公网IP包头部分也称为传输协议（Transport Protocol）GRE会在原始IP数据包之外，额外多封装24字节或28字节，具体视GRE模式而定。以下图为例，解释GRE传输数据过程：GRE要在远程路由器之间创建虚拟直连链路，也就是隧道（Tunnel），如果没有该隧道，GRE不能完成隧道功能，隧道是GRE最基本的功能，也是GRE所有功能；上图环境中，当上海分公司R2将数据包IP地址封装为192.168.1.4发往北京分公司的R4时，GRE操作过程如下：1假设R1与R3的GRE虚拟直连链路（隧道）已经建立，隧道链路两端的地址分别为1.1.1.1和2.2.2.2，隧道两端的起源和终点分别为100.1.1.1和200.1.1.1。2R1收到目标IP为192.168.1.4的数据包后，将原始数据包当作乘客数据包封装进GRE协议中，并且添加GRE包头，包头中源IP为隧道本端地址1.1.1.1，包头中目标IP为隧道对端地址1.1.1.2，从而完成GRE数据包的封装。3在封装了GRE隧道地址的数据包外面封装GRE隧道起源IP地址，该IP地址为公网地址，即源IP为100.1.1.1，目标IP为隧道终点200.1.1.1，最后将数据包发出去。封装后的数据包如下：数据包被发到Internet之后，所有路由器只根据数据包最外面的公网IP进行转发，也就是只根据公网目标IP地址200.1.1.1来转发，直到数据包到达公网IP的真正目的地后，即到达R3（IP：200.1.1.1）之后，公网IP包头才会被剥开，当R3剥开数据包的公网IP包头后，发现GRE包头，发现目标IP为1.1.1.2，从而得知自己就是GRE隧道的终点，所以继续将GRE包头剥开，最后发现目标IP地址为192.168.1.4，然后将数据包发往192.168.1.4（路由器R4）。通过以上GRE过程，上海分公司R2直接通过私有IP地址192.168.1.4，最终成功与北京分公司R4通信。 配置GRE在远程路由器之间配置GRE，总共分为三步:1创建虚拟链路（隧道）接口，号码任意，两端可不相同。2配置虚拟链路（隧道）接口地址，该地址是在GRE包头中被封装的地址。3定义虚拟链路（隧道）的源和目的，因为数据包最终要在公网中传递，所以该地址就是在公网中指导路由器转发数据包的可路由公网IP，也是建立隧道两端路由器的真实公网IP。注：GRE Tunnel只支持路由器，不支持集中器和PIX以及ASA。GRE支持的协议有IP ，Decnet，IPX，Appletalk。GRE可分为point-to-point GRE和multipoint GRE（mGRE）两种。point-to-point GRE只能在两台路由器之间建立。multipoint GRE（mGRE）也可以在两台以上的路由器之间建立。point-to-point GRE支持IP单播，组播，以及IGP动态路由协议和非IP协议。multipoint GRE（mGRE）只支持单播，组播以及动态IGP路由协议，不支持非IP协议。本小节只讨论point-to-point GRE，而multipoint GRE（mGRE）将在后续内容中讨论。GRE隧道接口没有OSI一层协议做检测，只要本端源地址有效，并且隧道终点地址有路由可达，那么GRE隧道接口就会up，而无论隧道对端是否已经配置隧道接口；如果GRE隧道的接口状态要down，只要达到如下3个情况中任意一个即可：1没有去往隧道终点地址的路由。2去往隧道终点地址的路由指向了隧道接口自己。3隧道起源地址的接口状态为down。以下图为例，配置GRE说明：图中Internet使用路由器R5来模拟。1配置基础网络环境（1）配置R1：r1(config)#int f0/0 r1(config-if)#ip address 10.1.1.1 255.255.255.0r1(config-if)#no shr1(config)#int F0/1r1(config-if)#ip add 100.1.1.1 255.255.255.0r1(config-if)#no shr1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.5说明：配置R1的接口地址，并写默认路由指向Internet（路由器R5），地址100.1.1.5。（2）配置R2：r2(config)#int f0/0r2(config-if)#ip add 10.1.1.2 255.255.255.0r2(config-if)#no shr2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1说明：配置R2的接口地址，并写默认路由指向R1。（3）配置R3：r3(config)#int f0/0r3(config-if)#ip add 200.1.1.1 255.255.255.0r3(config-if)#no shr3(config)#int f0/1r3(config-if)#ip address 192.168.1.3 255.255.255.0r3(config-if)#no shr3(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.5说明：配置R3的接口地址，并写默认路由指向Internet（路由器R5），地址200.1.1.5。（4）配置R4：r4(config)#int f0/1r4(config-if)#ip add 192.168.1.4 255.255.255.0r4(config-if)#no shr4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.3说明：配置R4的接口地址，并写默认路由指向R3。（5）配置R5：r5(config)#int f0/1r5(config-if)#ip add 100.1.1.5 255.255.255.0r5(config-if)#no shr5(config)#int f0/0r5(config-if)#ip add 200.1.1.5 255.255.255.0r5(config-if)#no sh说明：配置R5的接口地址，因为R5模拟Internet，R5只需要有公网路由100.1.1.0和200.1.1.0即可，所以R5不需要写任何路由，也不允许写任何路由。 2测试基础网络环境（1）查看R5的路由表：r5#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static routeGateway of last resort is not set 100.0.0.0/24 is subnetted, 1 subnetsC 100.1.1.0 is directly connected, FastEthernet0/1C 200.1.1.0/24 is directly connected, FastEthernet0/0r5#说明：因为R5为Internet路由器，所以R5只有公网路由，没有用户的私网路由，也不应该有用户的私网路由。（2）测试上海分公司路由器R1到北京分公司路由器R3的连通性：r1#ping 200.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 44/106/288 msr1#说明：因为双方路由器都接入Internet，所以使用公网地址100.1.1.1和200.1.1.1是可以正常通信的。（3）测试上海分公司R2直接使用私有地址192.168.1.4到北京分公司R4的连通性：r2#ping 192.168.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:.Success rate is 0 percent (0/5)r2#说明：因为Internet中的路由器只有公网路由，没有用户的私有网段，所以上海分公司R2直接使用私有地址192.168.1.4与北京分公司R4无法通信。（4）跟踪上海分公司R2到北京分公司的路径信息：r2#traceroute 192.168.1.4Type escape sequence to abort.Tracing the route to 192.168.1.4 1 10.1.1.1 104 msec 100 msec 80 msec 2 * * * 3 * * * 4 r2#说明：从结果中可以看出，由于Internet没有用户的私有网段，所以数据包出了公司路由器后，到达Internet就被丢弃了。3在上海分公司与北京分公司之间配置GRE隧道（1）在上海分公司路由器R1上配置连接到北京分公司路由器R3的GRE隧道：r1(config)#interface tunnel 1r1(config-if)#ip address 1.1.1.1 255.255.255.0r1(config-if)#tunnel source 100.1.1.1r1(config-if)#tunnel destination 200.1.1.1r1(config-if)#exit说明：在R1上创建GRE虚拟链路（隧道）接口，号码为1，两端号码可不相同；隧道接口地址为1.1.1.1/24，隧道的起源为100.1.1.1，隧道的终点为200.1.1.1。（2）查看R1当前的隧道接口状态：r1#show interfaces tunnel 1Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 1.1.1.1/24 MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 100.1.1.1, destination 200.1.1.1 Tunnel protocol/transport GRE/IP Key disabled, sequencing disabled Checksumming of packets disabled Tunnel TTL 255 Fast tunneling enabled Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Last input never, output never, output hang never Last clearing of show interface counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped outr1#说明：可以看出，在R1创建GRE隧道之后，隧道接口状态便已经up，这是因为默认情况下，GRE隧道接口没有OSI一层协议做检测，只要本端源地址有效，并且隧道终点地址有路由可达，那么GRE隧道接口就会up，而无论隧道对端是否已经配置隧道接口。（3）在北京分公司路由器R3上配置连接到上海分公司路由器R1的GRE隧道：r3(config)#interface tunnel 3r3(config-if)#ip address 1.1.1.2 255.255.255.0r3(config-if)#tunnel source 200.1.1.1r3(config-if)#tunnel destination 100.1.1.1r3(config-if)#exit说明：在R3上创建GRE虚拟链路（隧道）接口，号码为3，两端号码可不相同；隧道接口地址为1.1.1.2/24，隧道的起源为200.1.1.1，隧道的终点为100.1.1.1。（4）查看R3当前的隧道接口状态：r3#show interfaces tunnel 3Tunnel3 is up, line protocol is up Hardware is Tunnel Internet address is 1.1.1.2/24 MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 200.1.1.1, destination 100.1.1.1 Tunnel protocol/transport GRE/IP Key disabled, sequencing disabled Checksumming of packets disabled Tunnel TTL 255 Fast tunneling enabled Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Last input never, output never, output hang never Last clearing of show interface counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped outr3#说明：R3上GRE隧道状态也已经up。4测试GRE隧道（1）测试R1与R3之间的GRE隧道连通性：r1#ping 1.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 1.1.1.2, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/96/196 msr1#说明：因为R1与R3双方GRE隧道已经成功建立，并且状态都为up，所以隧道连通性正常。（2）再次测试上海分公司R2直接使用私有地址192.168.1.4到北京分公司R4的连通性：r2#ping 192.168.1.4 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:.Success rate is 0 percent (0/5)r2#说明：上海分公司的路由器R1在收到去往192.168.1.4后，因为默认路由从真实接口F0/1出去，结果数据包被发到Internet中的路由器R5，由于Internet路由器R5只有公网路由，没有用户的私有网段，所以上海分公司R2直接使用私有地址192.168.1.4与北京分公司R4无法通信，如下是R1路由表：r1#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static routeGateway of last resort is 100.1.1.5 to network 0.0.0.0 1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Tunnel1 100.0.0.0/24 is subnetted, 1 subnetsC 100.1.1.0 is directly connected, FastEthernet0/1 10.0.0.0/24 is subnetted, 1 subnetsC 10.1.1.0 is directly connected, FastEthernet0/0S* 0.0.0.0/0 1/0 via 100.1.1.5r1#要解决此问题，必须让流量从GRE隧道中传输。（3）在创建GRE隧道的路由器双方将去往对方私有网段的数据包引入GRE隧道中传输：R1：r1(config)#ip route 192.168.1.0 255.255.255.0 tunnel 1R3：r3(config)#ip route 10.1.1.0 255.255.255.0 tunnel 3（4）再次测试上海分公司R2直接使用私有地址192.168.1.4到北京分公司R4的连通性：r2#ping 192.168.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/80/240 msr2#说明：上海分公司的路由器R1在收到去往192.168.1.4后，因为路由192.168.1.0已经指向GRE隧道，对方同样也已经回指向GRE隧道，所以上海分公司R2直接使用私有地址192.168.1.4与北京分公司R4通信正常。（5）再次跟踪上海分公司R2到北京分公司的路径信息：r2#traceroute 192.168.1.4Type escape sequence to abort.Tracing the route to 192.168.1.4 1 10.1.1.1 108 msec 52 msec 16 msec 2 1.1.1.2 112 msec 48 msec 12 msec 3 192.168.1.4 132 msec * 96 msecr2#说明：可以看见，上海与北京分公司私有网段之间的流量已经在隧道中传输，所以通信正常。 GRE keepalive在上一小节中我们提到，GRE隧道接口没有OSI一层协议做检测，只要本端源地址有效，并且隧道终点地址有路由可达，那么GRE隧道接口就会up，而无论隧道对端是否已经配置隧道接口；如果GRE隧道的接口状态要down，只要达到如下3个情况中任意一个即可：1没有去往隧道终点地址的路由。2去往隧道终点地址的路由指向了隧道接口自己。3隧道起源地址的接口状态为down。基于上述原因，所以在上一小节的实验中，在上海分公司路由器R1上配置连接到北京分公司路由器R3的GRE隧道之后，虽然北京分公司路由器R3并没有配置隧道，但R1上的GRE隧道接口状态已经变成了up。由于GRE隧道是完全静态的，每个隧道端点都不会与对端有任何交流数据包，每个端点都不保留对端的信息和状态，所以最终结果造成无论对端是否可达或接口已经down，本端都无法知道本端line protocol应该是up还是down，从而无法使双方的隧道接口状态保持双方一致。为了解决上述问题，使双方的隧道接口状态保持双方一致，引用了类似OSPF或EIGRP等路由协议之间建立邻居的机制，路由协议在邻居之间通过定期交换hello包，当超过一定时间没有收到对方的hello包，便认为邻居已失效，从而断开与对方的邻居关系；GRE隧道也可以采用在隧道双方交换hello包的机制来使双方接口状态保持一致，这种机制称为GRE keepalive，隧道之间定期向对端发送keepalive，在超过指定的时间没有收到对端的回应，便认为对端已失效，从而将本端的line protocol状态变为down。默认配置时，GRE keepalive默认为10秒发一个，连续3个包没有回应，即30秒之后，便认为对端已失效，从而将本端的line protocol状态变为down。在配置GRE keepalive时，即使隧道对端不支持GRE keepalive，照样可以收到回应，并且即使双方的发送间隔不一致，也能正常工作。注：GRE keepalive只支持point-to-point GRE tunnel，虽然可以在multipoint GRE（mGRE）配置，但不生效。当GRE tunnel配置了tunnel protection ipsec profile时，GRE keepalive也不生效。 配置GRE keepalive说明：延续上一小节的实验环境，继续测试GRE keepalive。1检测当前GRE隧道状态（1）查看R1当前的隧道接口状态：r1#show interfaces tunnel 1Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 1.1.1.1/24 MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 100.1.1.1, destination 200.1.1.1 Tunnel protocol/transport GRE/IP Key disabled, sequencing disabled Checksumming of packets disabled Tunnel TTL 255 Fast tunneling enabled Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Last input 01:16:00, output 01:12:27, output hang never Last clearing of show interface counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 1 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 54 packets input, 6476 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort