HCNA Security认证（社会培训）冗余资源 HCNA Security认证（社会培训）冗余资源 VPN技术的应用.docx

VPN技术的应用 GRE（General Routing Encapsulation，通用路由封装）是对某些网络层协议（如IPX）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输。 GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网路中传输，封装后报文的传输通道称为tunnel。 Tunnel是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报文能够在这个通路上传输，并在一个Tunnel的两端分别对数据报进行封装及解封装。 隧道接口包含以下元素： 源地址：报文传输协议中的源地址。从负责封装后报文传输的网络来看，隧道的源地址就是实际发送报文的接口IP地址。 目的地址：报文传输协议中的目的地址。从负责封装后报文传输的网络来看，隧道本端的目的地址就是隧道目的端的源地址。 隧道接口IP地址：为了在隧道接口上启用动态路由协议，或使用静态路由协议发 布隧道接口，要为隧道接口分配IP地址。隧道接口的IP地址可以不是公网地址， 甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址时，由于Tunnel接口本身没有IP地址，无法在此接口上启用动态路由协议，必须配 置静态路由或策略路由才能实现路由器间的连通性。 封装类型：隧道接口的封装类型是指该隧道接口对报文进行的封装方式。一般情况下有四种封装方式，分别是GRE、MPLS TE、IPv6-IPv4 和IPv4-IPv6。 经过手工配置，成功建立隧道之后，就可以将隧道接口看成是一个物理接口，可以在其上运行动态路由协议或配置静态路由。 GRE的实现-封装与解封装 报文在GRE 隧道中传输包括封装和解封装两个过程。以图的网络为例，如果私网报文从防火墙A（FW A）向防火墙B（FW B）传输，则封装在FW A上完成；而解封装在FW B上进行。 FWA 从连接私网的接口接收到私网报文后，首先交由私网上运行的协议模块处理。 ? 私网协议模块检查私网报文头中的目的地址并在私网路由表或转发表中查找出接口，确 定如何路由此包。如果发现出接口是Tunnel接口，则将此报文发给隧道模块。 隧道模块收到此报文后进行如下处理： 1. 隧道模块根据乘客报文的协议类型和当前GRE隧道所配置的Key和Checksum参数，对报文进行GRE 封装，即添加GRE头。 2. 根据配置信息（传输协议为IP），给报文加上IP头。该IP头的源地址就是隧道源地址，IP头的目的地址就是隧道目的地址。 3. 将该报文交给IP模块处理，IP模块根据该IP头目的地址，在公网路由表中查找相 应的出接口并发送报文。之后，封装后的报文将在该IP公共网络中传输。 ? 解封装过程和封装过程相反。FW B从连接公网的接口收到该报文，分析IP 头发现报文 的目的地址为本设备，且协议字段值为47，表示协议为GRE（参见RFC1700），于是 交给GRE 模块处理。GRE 模块去掉IP头和GRE 报头，并根据GRE头的Protocol Type 字段，发现此报文的乘客协议为私网上运行的协议，于是交由此协议处理。此协议像对 待一般数据报一样对此数据报进行转发。 GRE VPN配置思路 配置tunnel逻辑接口时，需要指定GRE隧道使用的源地址及目的地址。配置到对端网络内网网段的路由时，下一跳为tunnel口。 GRE VPN典型配置： GRE VPN有如下一些关键配置： 创建虚拟Tunnel接口 配置Tunnel接口的源端地址 配置Tunnel接口的目的端地址 （Tunnel的源端地址与目的端地址唯一标识了一个通道，两端地址应互为源地址和目的地址。） 配置Tunnel接口的网络地址 防火墙域间转发策略 防火墙B的配置与A基本一致，命令行参考配置如下： [B-Tunnel1] ip address 10.1.1.2 24 [B-Tunnel1] source 5.5.5.5 [B-Tunnel1] destination 1.1.1.1 ? 配置从防火墙 B经过Tunnel1接口到Group1的静态路由。 ip route-static 10.3.1.0 255.255.255.0 tunnel 1 GRE VPN典型配置（WEB） 在Web配置界面中，配置GRE VPN的操作步骤如下： 1. 选择“网络 GRE GRE”。 2. 单击“新建”。 3. 依次输入或选择GRE接口各项参数。 4. 单击“确定”。 隧道校验开启后，GRE隧道两端会进行端到端校验和的验证。 配置隧道识别关键字后，隧道双方将进行通道识别关键字的验证。只有隧道两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃