2.4 GRE
CCNP ROUTE 300-101认证考试指南
GRE顾名思义,对于有可能从物理路由器接口发出的所有数据来说,通用路由封装(GRE)隧道几乎可以封装所有类型的数据。事实上,GRE可以封装所有的三层协议,因此这款协议相当灵活。
GRE本身对其传输的数据不提供任何安全保护;但通过IPSec VPN发送GRE数据包,就可以使GRE数据包(及其中的内容)受到保护。现实工作中经常使用这样的配置,但因为IPSec只能保护单播IP数据包,因此这会对使用IP组播的路由协议会带来问题。最终形成的GRE数据包是单播IP数据包,可以由IPSec隧道提供保护。
请参考图2-3的示例,路由器R1和R2需要通过服务提供商网络建立OSPF(开放最短路径优先)邻接关系。此外,这两台路由器之间的流量需要受到保护。虽然IPSec可以保护单播IP流量,但OSPF需要通过IP组播进行通信。因此路由器R1和R2之间的所有流量(包括OSPF组播流量)都会被封装在GRE隧道中。这些GRE数据包是单播IP数据包,能够通过IPSec隧道传输并受到保护。
在例2-1中,管理员在路由器R1上通过interface Tunnel 1命令创建了一个虚拟隧道接口,然后通过ip address 192.168.0.1 255.255.255.252命令为其分配了IP地址。接着使用tunnel source Loopback0命令,将路由器R1的Lo0(IP地址为1.1.1.1)接口指定为GRE隧道的一端。使用tunnel destination 4.4.4.4命令将路由器R4的Lo0接口指定为隧道的另一端。随后在路由器R4上输入同样的隧道接口配置。
例2-2显示了GRE隧道的验证命令。在show interfaces tunnel 1命令的输出中,可以看到接口二层和三层均处于启用状态,还可以看出封装类型是TUNNEL。在traceroute 192.168.0.2命令的输出信息中,可以看到IP地址192.168.0.2逻辑上离路由器R1只有1跳,但其实物理上经过了3跳。
关键
例2-2 GRE隧道验证