HCIP——GRE和MGRE

目录

VPN

GRE

GRE环境的搭建

GRE的报文结构

GRE封装和解封装报文的过程

GRE配置​编辑

R1

R2

GRE实验​​​​​​​​编辑

MGRE

原理

MGRE的配置

R1

R2

R3

R4

查看映射表

抓包

MGRE环境下的RIP网络

综合练习​编辑

---

VPN

说到GRE，我们先来说个大家熟悉一点的，那就是VPN技术。

·

• 背景需求

  • 企业、组织、商家等对专用网有强大的需求。

  • 高性能、高速度和高安全性是专用网明显的优势。

  • 物理专用网价格高昂，物理架设实施有难度。传统的通过租用专线或拨号网络的方式越来越不适用。(性价比较低)

• VPN ---Vitual Private Network，虚拟私有网)︰是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。

  • 虚拟:用户不再需要拥有实际的长途数据线路，而是使用公共网络资源建立自己的私有网络。

  • 专用:用户可以定制最符合自身需求的网络。

  • 核心技术:隧道技术

GRE

VPN技术的核心其实是隧道技术。而我们今天要讲的这个GRE（General Routing Encapsulation）其实就是一种隧道封装技术。

• 隧道技术∶在隧道的两端，通过封装及解封装技术在公网上建立一条数据通道，使用这条通道进行数据传辑

GRE --- 通用路由封装，标准的三层隧道技术，是一种点对点的隧

GRE环境的搭建

这里可以先使用ENSP搭建一个GRE的工作环境进行演示讲解。

搭建如上的示意拓扑。我们现在的需求就是通过GRE技术保证左边的1.0网段可以正常的访问右边2.0网段。

我们先按照现在所学的把我们该配的都配好。R1,R2,R3的IP，及R1,R3上应该配置到达ISP路由器的缺省路由以及配置nat，配置完后，126.0.1应该可以ping通23.0.0.1。当然，两边的私网IP地址肯定是不可能通的。

其实这个隧道的原理很简单，就是我们假装中间有一个虚拟的链路将两边的路由器连接。这个虚拟的链路也需要在一个内网的网段当中。当然我们这样配，肯定没问题，问题是，你配好了数据包也没办法去走这个虚拟的链路啊，因为他本身就不存在。数据还是只能从真实的接口中出走真实的链路。

所以，这中间就需要GRE帮忙搬运流量。

GRE的报文结构

• GRE在封装数据时，会添加GRE头部信息，还会添加新的传输协议头部信息。

• GRE封装报文时，封装前的报文成为净荷，封装前的报文协议称为乘客协议．然后GRE会封装GRE头部，GRE称为封装协议，也叫运载协议．最后负责对封装后的报文进行转发的协议称为传输协议。

GRE封装和解封装报文的过程

• 设备从连报私网的接口接受到报文后，检查报文头部中的目的IP地址字段，在路由表查找出接口，如果发现出接口是隧道接口，则将报文发送给隧道模块来处理。

• 隧道模块接收到报文后会首先根据乘客协议的类型和当前GRE隧道配置的校验和参数，对报文进行GRE封装，即添加GRE报头。

• 然后，设备给报文添加传输协议报文头．即IP报文头。该IP报文头的源地址就是隧道源地址，目的地址就是隧道目的地址。

• 最后，设备根据新添加的IP报文头目的地址，在路由表中查找相应的出接口，并发送报文，之后，封装后的报文将在公网中传输。

• 接受端设备从连接公网的接口收到报文后，首先分析IP报文头，如果发现协议类型字段的值为47(GRE的协议号)，表示协议为GRE协议，于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头，并根据GRE报文头部的协议类型字段，发现此报文的乘客协议为私网中运行的协议，于是将报文交给该协议处理。

GRE配置​​​​​​​

将R1，R2，R3 的IP配好，R1，R3 配好缺省nat

R1

[R1]interface Tunnel 0/0/0   // 创建隧道接口
[R1-Tunnel0/0/0]tunnel-protocol gre	     // 定义封装方式
[R1-Tunnel0/0/0]ip address 10.0.0.1 24	   // 配置隧道IP
[R1-Tunnel0/0/0]source 12.0.0.2      // 定义封装源IP 
[R1-Tunnel0/0/0]destination 23.0.0.2 	//定义封装目的IP
[R1]ip route-static 192.168.2.0 24 Tunnel 0/0/0      // 配置静态让其从tunnel0/0/0接口发出

R2

[R3]interface Tunnel 0/0/0
[R3-Tunnel0/0/0]tunnel-protocol gre 
[R3-Tunnel0/0/0]ip address 10.0.0.2 24
[R3-Tunnel0/0/0]source 23.0.0.2 
[R3-Tunnel0/0/0]destination 12.0.0.2
[R3]ip route-static 192.168.1.0 24 Tunnel 0/0/0

GRE实验​​​​​​​

MGRE

当然，GRE本身还是存在缺陷的，主要是他创建的通道是一个点到点的隧道，导致其扩展性较差。要是存在多个分公司需要和总部连接，融为一个私网时，利用GRE技术需要打通的通道就太多了。

这种场景就可以使用另一种技术，MGRE，即多点通用路由封装协议。

在这种场景下，如果想要将四个私网融合成一个私网的话，使用GRE隧道，则需要四个私网之间彼此打通一条隧道，这样显然是不方便的。我们希望所有可以像MA网络一样，用一个网段将所有的私网连接起来。虚拟链路的逻辑图应该如下所示。

但这样有个问题，我们GRE是点到点的虚拟隧道，他在发送的时候必须要指定要封装的源IP和目标IP。而现在这种场景下，他是没有办法指定一个具体的目标IP的。所以MGRE的核心任务就是需要想办法将这个过程变成动态的，我和谁通信，目标地址就修改成谁。

这里就需要用到一个协议的辅助，那就是NHRP协议。

NHRP.…下一跳解析协议…妳原理也很简单，我们在这些私网中选择一个出口物理IP不会变的作为NHRP的中心(NHS-下一跳服务器)。这样，剩下的分支就都可以知道中心的隧道IP和物理IP。然后，NHRP要求所有分支都需要将自己物理接口IP6159IP发给NHS。(发生变化就需要重新发送。）这样我们的NHS会将所有的分支的地址映射关系动态的记录在本地。发送信息时查询即可。分支之间需要发送信息也需要获取这个映射关系，就需要先问NHS要。

我们发现我们用MGRE搭建的这个逻辑拓扑也是网络中存在多个节点，但是本身他在发送的时候还是一个点到点的发送，并不存在广播或者组播行为，所以，这样的网络我们可以近似的看作是NBMA网络（这是逻辑上的NBMA，也就是靠技术模拟的。真实的物理上的NBMA网络需要靠帧中继技术搭建，我们不去研究。)

原理

1. 中心站点，固定的公有ip地址；建议定义为NHRP的server为中心站点；

2. tunnel配置完成，所有的分支站点将自己当下的信息发送到NHRP的server处，生成映射列表；

3. 此时中心站点可以直接和所有的分支站点进行GRE通讯；分支站点间直接GRE，通讯时，需要先到NHRP的server处下载映射列表，之后再进行GRE通讯。

MGRE的配置

在MGRE网络中会存在中心站点和分支站点，分支站点站点需要向中心站点注册自己的隧道信息，当站点间联系时就会先发向中心站点，分支站点查表后再发网目标站点​​​​​​​

R1为中心站点其他为分支站点

首先配置好IP，nat及缺省 R5只配IP

R1

[R1]interface Tunnel 0/0/0			// 创建tunnel口
[R1]ip address 10.0.0.1 255.255.255.0 			// 配置隧道接口ip地址
[R1]tunnel-protocol gre p2mp		// 先修改接口模式为多点GRE
[R1]source 15.0.0.2			// 定义公有的源IP地址
[R1]nhrp network-id 100			// 这一步就可以了，这里面需要注意的是这个域ID是具有全局意义的，配置相同的域ID则可以加入到同一个nhrp域中，类似于ospf的进程号。
// 静态路由
[R1]ip route-static 192.168.2.0 24 10.0.0.2
[R1]ip route-static 192.168.3.0 24 10.0.0.3
[R1]ip route-static 192.168.4.0 24 10.0.0.4

R2

[R2]interface Tunnel 0/0/0			// 创建tunnel口
[R2]ip address 10.0.0.2 255.255.255.0 			// 配置隧道接口ip地址
[R2]tunnel-protocol gre p2mp		// 先修改接口模式为多点GRE
[R2]source 25.0.0.2			// 定义公有的源IP地址
[R2]nhrp network-id 100			// 这一步就可以了，这里面需要注意的是这个域ID是具有全局意义的，配置相同的域ID则可以加入到同一个nhrp域中，类似于ospf的进程号。
[R2]nhrp entry 10.0.0.1 15.0.0.2 register // 去往中心站点注册 分别为 中心 隧道IP 物理IP
// 静态路由
[R2]ip route-static 192.168.1.0 24 10.0.0.1		//可以时隧道口
[R2]ip route-static 192.168.3.0 24 10.0.0.3
[R2]ip route-static 192.168.4.0 24 10.0.0.4

R3

[R3]interface Tunnel 0/0/0			// 创建tunnel口
[R3]ip address 10.0.0.3 255.255.255.0 			// 配置隧道接口ip地址
[R3]tunnel-protocol gre p2mp		// 先修改接口模式为多点GRE
[R3]source 35.0.0.2			// 定义公有的源IP地址
[R3]nhrp network-id 100			// 这一步就可以了，这里面需要注意的是这个域ID是具有全局意义的，配置相同的域ID则可以加入到同一个nhrp域中，类似于ospf的进程号。
[R3]nhrp entry 10.0.0.1 15.0.0.2 register // 去往中心站点注册 分别为 中心 隧道IP 物理IP
// 静态路由
[R3]ip route-static 192.168.2.0 24 10.0.0.2
[R3]ip route-static 192.168.1.0 24 10.0.0.1
[R3]ip route-static 192.168.4.0 24 10.0.0.4

R4

[R4]interface Tunnel 0/0/0			// 创建tunnel口
[R4]ip address 10.0.0.4 255.255.255.0 			// 配置隧道接口ip地址
[R4]tunnel-protocol gre p2mp		// 先修改接口模式为多点GRE
[R4]source 45.0.0.2			// 定义公有的源IP地址
[R4]nhrp network-id 100			// 这一步就可以了，这里面需要注意的是这个域ID是具有全局意义的，配置相同的域ID则可以加入到同一个nhrp域中，类似于ospf的进程号。
[R4]nhrp entry 10.0.0.1 15.0.0.2 register // 去往中心站点注册 分别为 中心 隧道IP 物理IP
// 静态路由
[R4]ip route-static 192.168.2.0 24 10.0.0.2
[R4]ip route-static 192.168.3.0 24 10.0.0.3
[R4]ip route-static 192.168.1.0 24 10.0.0.1

查看映射表

<R1>display nhrp peer all ​​​​​​​

抓包

这里是 R3 在 ping R4 R3会先向R1下载映射信息（初次联通的时候）

MGRE环境下的RIP网络

这里补全路由的过程可以采用最简单的静态路由来完成，那自然也可以通过动态路由协议来完成，这里，我们先通过RIP协议来完成MGRE环境下的路由获取，至于OSPF协议，之后我们在学习了OSPF的细节知识之后，我们再去尝试。

注意，在做RIP宣告的时候，只需要宣告环回网段（私网网段)，以及隧道网段即可，公网接口可以不用激活，因为并不需要他去收发RIP数据。也不需要其路由信息，这部分路由我们走的是缺省，我们一开始就配置好了。

当然，在执行完RIP的配置操作之后，我们会发现，这也环境下的网络存在一些问题，并没有完全的按照我们预想的结果来。我们做如下总结︰

在MGRE环境下使用RIP来获取未知网段的路由信息

1. 只有获取到分支的路由信息，但是分支并没有获取到中心的路由信息

   • ---解决方案---在中心上开启伪广播。---通过给所有分支分别发送数据包达到类似广播的效果。

   • [r1-Tunnel0/0/0]nhrp entry multicast dynamic

2. 分支在中心开启伪广播后，只能获取到中心的路由信息，但是无法获取分支之间的路由信息。

   • 主要是因为华为设备默认开启了RIP的水平分割，导致中心不会再从隧道接口将学来的分支路由发送给其他分支

   • 解决方案---关闭接口的水平分割

   • [r1-Tunnel0/0/0]undo rip split-horizon

综合练习