1. 配置GRE 隧道
看清楚再復制,這段代碼沒問題,我試過了;注意介面ip的分配
r1:
conf t
int f0/1
ip add 172.16.1.1 255.255.255.0
no sh
int f0/0
ip add 14.0.0.1 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 14.0.0.0
exit
int tunnel 0
ip add 192.168.2.1 255.255.255.0
tunnel source 14.0.0.1
tunnel des 24.0.0.2
int tunnel 1
ip add 192.168.3.1 255.255.255.0
tunnel source 14.0.0.1
tunnel des 34.0.0.3
exit
router ospf 1
network 192.168.2.0 0.0.0.255 a 0
network 192.168.3.0 0.0.0.255 a 0
network 172.16.1.0 0.0.0.255 a 0
exit
R2:
conf t
int f0/1
ip add 172.16.2.1 255.255.255.0
no sh
int f0/0
ip add 24.0.0.2 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 24.0.0.0
exit
int tunnel 0
ip add 192.168.2.2 255.255.255.0
tunnel source 24.0.0.2
tunnel des 14.0.0.1
exit
router ospf 1
network 192.168.2.0 0.0.0.255 a 0
network 172.16.2.0 0.0.0.255 a 0
exit
R3:
conf t
int f0/1
ip add 172.16.3.1 255.255.255.0
no sh
int f0/0
ip add 34.0.0.3 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 34.0.0.0
exit
int tunnel 1
ip add 192.168.3.3 255.255.255.0
tunnel sou 34.0.0.3
tunnel des 14.0.0.1
exit
router ospf 1
network 192.168.3.0 0.0.0.255 a 0
network 172.16.3.0 0.0.0.255 a 0
R4:
conf t
int f0/1
ip add 14.0.0.4 255.255.255.0
no sh
int f0/2
ip add 24.0.0.4 255.255.255.0
no sh
int f0/3
ip add 34.0.0.4 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 14.0.0.0
net 24.0.0.0
net 34.0.0.0
exit
2. 什麼是「GRE」協議
GRE
GRE(通用路由協議封裝)是由Cisco和Net-smiths等公司於1994年提交給IETF的,標號為RFC1701和RFC1702。目前有多數廠商的網路設備均支持GRE隧道協議。
GRE規定了如何用一種網路協議去封裝另一種網路協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義,允許用戶使用IP包封裝IP、IPX、AppleTalk包,並支持全部的路由協議(如RIP2、OSPF等)。通過GRE,用戶可以利用公共IP網路連接IPX網路、AppleTalk網路,還可以使用保留地址進行網路互連,或者對公網隱藏企業網的IP地址。
GRE協議的主要用途有兩個:企業內部協議封裝和私有地址封裝。在國內,由於企業網幾乎全部採用的是TCP/IP協議,因此在中國建立隧道時沒有對企業內部協議封裝的市場需求。企業使用GRE的唯一理由應該是對內部地址的封裝。當運營商向多個用戶提供這種方式的VPN業務時會存在地址沖突的可能性。
3. 交換機配置gre為什麼要用到業務環回組
你好大愛研子0zh,你想配置哪種tunnel,GRE還是ISATAP或是overlay亦或是6to4
如果只是普通的GRE的話,配置如下:
R1(config)#int tunnel 1
R1(config-if)#tunnel source 100.0.0.2
R1(config-if)#tunnel destination 100.0.0.1
R1(config-if)#tunnel mode gre ip ////這條命令可以不打,默認就是GRE,打進去也sh run也看不出來
當然你這個tunnel source和tunnel destination的地址必須是互相能夠通信的(也就是說要有路由)要不然tunnel是起不來的
當兩邊配置都完成後,使用命令show ip int b查看tunnel口的狀態:
SW1#sh ip int b
Interface IP-Address OK? Method Status Protocol
Vlan1 100.0.0.1 YES manual up up
........................
Tunnel1 unassigned YES unset up up ////狀態雙UP就是OK了
當然這只是一個二層的tunnel,如果你要起三層的話,就進入tunnel口然後配置IP地址即可:
SW1(config)#int tunnel 1
SW1(config-if)#ip add 172.16.1.1 255.255.255.0
我用的就是3550的真機做的,所以完全沒有問題!!!(此處應有掌聲,泥垢( ̄ε(# ̄) Σ)
4. 怎樣將gre隧道的介面劃入到骨幹區域0中
由於GRE是將一個數據包封裝到另一個數據包中,因此你可能會遇到GRE的數據報大於網路介面所設定的數據包最大尺寸的情況。接近這種問題的方法是在隧道介面上配置iptcpadjust-mss1436。另外,雖然GRE並不支持加密,但是你可以通過tunnelkey命令在隧道的兩頭各設置一個密鑰。這個密鑰其實就是一個明文的密碼。由於GRE隧道沒有狀態控制,可能隧道的一端已經關閉,而另一端仍然開啟。這一問題的解決方案就是在隧道兩端開啟keepalive數據包。它可以讓隧道一端定時向另一端發送keepalive數據,確認埠保持開啟狀態。如果隧道的某一端沒有按時收到keepalive數據,那麼這一側的隧道埠也會關閉。
5. 如何配置Cisco路由器GRE隧道
配置Cisco路由器GRE隧道的方法
在Cisco路由器上配置GRE隧道是一個簡單的工作,只需要輸入幾行命令即可實現。以下是一個簡單的例子。
路由器A
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.1 255.255.255.0
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.2
路由器B
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.2 255.255.255.0
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.1
6. VPN三層隧道協議GRE IPsec
這個技術很復雜,一下子難以說的太清楚,
驗證報頭 (AH) 可對整個數據包(IP 報頭與數據包中的數據有效負載)提供驗證、完整性與抗重播。但是它不提供保密性,即它不對數據進行加密。
封裝安全有效負載 (ESP) 為 IP 有效負載提供機密性(除了身份驗證、完整性和抗重播)。傳輸模式的 ESP 不會對整個數據包進行簽名。而且僅保護 IP 有效負載(不包括 IP 報頭)。ESP 可以獨立使用,也可與 AH 組合使用。
--
而MD5或者是sha只是一種散列演算法,用來保證消息的完整性;
7. 路由器 環回介面 原理
一、路由器Loopback介面簡介(環回介面)
Loopback介面是虛擬介面,是一種純軟體性質的虛擬介面。任何送到該介面的網路數據報文都會被認為是送往設備自身的。大多數平台都支持使用這種介面來模擬真正的介面。這樣做的好處是虛擬介面不會像物理介面那樣因為各種因素的影響而導致介面被關閉。事實上,將Loopback介面和其他物理介面相比較,可以發現Loopback介面有以下幾條優點:
1.Loopback介面狀態永遠是up的,即使沒有配置地址。這是它的一個非常重要的特性。
2.Loopback介面可以配置地址,而且可以配置全1的掩碼,可以節省寶貴的地址空間。
3.Loopback介面不能封裝任何鏈路層協議。
對於目的地址不是loopback口,下一跳介面是loopback口的報文,路由器會將其丟棄。對於CISCO路由器來說,可以配置[no] ip unreachable命令,來設置是[否]發送icmp不可達報文,對於VRP來說,沒有這條命令,預設不發送icmp不可達報文 。
二、環回介面作用:
用來建立路由鄰居;
用來作為Router-ID;
用於虛擬隧道連接;
用於網路連通性測試;
用來作為Router-ID:
因為環回介面的穩定性,我們常使用一個環回介面地址來作為Router-ID,使整個設備的標識穩定可靠。
用於虛擬隧道連接:
在建立IPSec或GRE之類的虛擬隧道時,使用loopback介面可以保證整個隧道的穩定性。
用於網路連通性測試:
創建並配置好環回介面之後,它的地址是能被ping或telnet的,這就可以被用來測試網路的連通性。
環回功能:基於埠、MAC、VLAN、IP環回。
埠環路檢測:
一種簡單的檢測環路的方式,私有協議 ;設備通過發送環路監測報文、並監測其是否返回本設備(不要求收、發埠為同一埠)以確認是否存在環路,若某埠收到了由本設備發出的環路監測報文,就認定該埠存在環路。
埠環路檢測適用於簡單的拓撲。
8. 如何配置l2tp over gre隧道
L2TP支持MP(MultilinkProtocol),把多個物理通道捆綁為單一邏輯信道pptp使用M$的撥號網路作為客戶端,使用gre做tunnel封裝,mppe進行加密。l2tp也使用M$的撥號網路做為客戶端,在lac進行一次證,在lns進行二次認證,tunnel是處於lac與lns之間。加密方式可以選擇mppe和ipsec。ipsec使用ESP/AH做為tunnel封裝,一般需要專用的客戶端。如cisco的vpnclient或其它廠商的client.PPTP和L2TP都使用PPP協議對數據進行封裝,然後添加附加包頭用於數據在互聯網路上的傳輸。盡管兩個協議非常相似,但是仍存在以下幾方面的不同:1.PPTP要求互聯網路為IP網路。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATMVCs網路上使用。2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道。3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)佔用4個位元組,而PPTP協議下要佔用6個位元組。4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協議上驗證隧道。
9. 環回介面是用來遠程登錄的嗎
不是,創建環回介面的原因:
1.向OSPF路由器分配路由器ID。
2.用於測試目的,因為該介面總是開啟的。
3.終止特殊連接,例如GRE隧道或IPSec連接,因為該介面總是啟用的。