1. 配置GRE 隧道
看清楚再复制,这段代码没问题,我试过了;注意接口ip的分配
r1:
conf t
int f0/1
ip add 172.16.1.1 255.255.255.0
no sh
int f0/0
ip add 14.0.0.1 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 14.0.0.0
exit
int tunnel 0
ip add 192.168.2.1 255.255.255.0
tunnel source 14.0.0.1
tunnel des 24.0.0.2
int tunnel 1
ip add 192.168.3.1 255.255.255.0
tunnel source 14.0.0.1
tunnel des 34.0.0.3
exit
router ospf 1
network 192.168.2.0 0.0.0.255 a 0
network 192.168.3.0 0.0.0.255 a 0
network 172.16.1.0 0.0.0.255 a 0
exit
R2:
conf t
int f0/1
ip add 172.16.2.1 255.255.255.0
no sh
int f0/0
ip add 24.0.0.2 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 24.0.0.0
exit
int tunnel 0
ip add 192.168.2.2 255.255.255.0
tunnel source 24.0.0.2
tunnel des 14.0.0.1
exit
router ospf 1
network 192.168.2.0 0.0.0.255 a 0
network 172.16.2.0 0.0.0.255 a 0
exit
R3:
conf t
int f0/1
ip add 172.16.3.1 255.255.255.0
no sh
int f0/0
ip add 34.0.0.3 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 34.0.0.0
exit
int tunnel 1
ip add 192.168.3.3 255.255.255.0
tunnel sou 34.0.0.3
tunnel des 14.0.0.1
exit
router ospf 1
network 192.168.3.0 0.0.0.255 a 0
network 172.16.3.0 0.0.0.255 a 0
R4:
conf t
int f0/1
ip add 14.0.0.4 255.255.255.0
no sh
int f0/2
ip add 24.0.0.4 255.255.255.0
no sh
int f0/3
ip add 34.0.0.4 255.255.255.0
no sh
exit
router rip
ver 2
no au
net 14.0.0.0
net 24.0.0.0
net 34.0.0.0
exit
2. 什么是“GRE”协议
GRE
GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
GRE协议的主要用途有两个:企业内部协议封装和私有地址封装。在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。
3. 交换机配置gre为什么要用到业务环回组
你好大爱研子0zh,你想配置哪种tunnel,GRE还是ISATAP或是overlay亦或是6to4
如果只是普通的GRE的话,配置如下:
R1(config)#int tunnel 1
R1(config-if)#tunnel source 100.0.0.2
R1(config-if)#tunnel destination 100.0.0.1
R1(config-if)#tunnel mode gre ip ////这条命令可以不打,默认就是GRE,打进去也sh run也看不出来
当然你这个tunnel source和tunnel destination的地址必须是互相能够通信的(也就是说要有路由)要不然tunnel是起不来的
当两边配置都完成后,使用命令show ip int b查看tunnel口的状态:
SW1#sh ip int b
Interface IP-Address OK? Method Status Protocol
Vlan1 100.0.0.1 YES manual up up
........................
Tunnel1 unassigned YES unset up up ////状态双UP就是OK了
当然这只是一个二层的tunnel,如果你要起三层的话,就进入tunnel口然后配置IP地址即可:
SW1(config)#int tunnel 1
SW1(config-if)#ip add 172.16.1.1 255.255.255.0
我用的就是3550的真机做的,所以完全没有问题!!!(此处应有掌声,泥垢( ̄ε(# ̄) Σ)
4. 怎样将gre隧道的接口划入到骨干区域0中
由于GRE是将一个数据包封装到另一个数据包中,因此你可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。接近这种问题的方法是在隧道接口上配置iptcpadjust-mss1436。另外,虽然GRE并不支持加密,但是你可以通过tunnelkey命令在隧道的两头各设置一个密钥。这个密钥其实就是一个明文的密码。由于GRE隧道没有状态控制,可能隧道的一端已经关闭,而另一端仍然开启。这一问题的解决方案就是在隧道两端开启keepalive数据包。它可以让隧道一端定时向另一端发送keepalive数据,确认端口保持开启状态。如果隧道的某一端没有按时收到keepalive数据,那么这一侧的隧道端口也会关闭。
5. 如何配置Cisco路由器GRE隧道
配置Cisco路由器GRE隧道的方法
在Cisco路由器上配置GRE隧道是一个简单的工作,只需要输入几行命令即可实现。以下是一个简单的例子。
路由器A
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.1 255.255.255.0
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.2
路由器B
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.2 255.255.255.0
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.1
6. VPN三层隧道协议GRE IPsec
这个技术很复杂,一下子难以说的太清楚,
验证报头 (AH) 可对整个数据包(IP 报头与数据包中的数据有效负载)提供验证、完整性与抗重播。但是它不提供保密性,即它不对数据进行加密。
封装安全有效负载 (ESP) 为 IP 有效负载提供机密性(除了身份验证、完整性和抗重播)。传输模式的 ESP 不会对整个数据包进行签名。而且仅保护 IP 有效负载(不包括 IP 报头)。ESP 可以独立使用,也可与 AH 组合使用。
--
而MD5或者是sha只是一种散列算法,用来保证消息的完整性;
7. 路由器 环回接口 原理
一、路由器Loopback接口简介(环回接口)
Loopback接口是虚拟接口,是一种纯软件性质的虚拟接口。任何送到该接口的网络数据报文都会被认为是送往设备自身的。大多数平台都支持使用这种接口来模拟真正的接口。这样做的好处是虚拟接口不会像物理接口那样因为各种因素的影响而导致接口被关闭。事实上,将Loopback接口和其他物理接口相比较,可以发现Loopback接口有以下几条优点:
1.Loopback接口状态永远是up的,即使没有配置地址。这是它的一个非常重要的特性。
2.Loopback接口可以配置地址,而且可以配置全1的掩码,可以节省宝贵的地址空间。
3.Loopback接口不能封装任何链路层协议。
对于目的地址不是loopback口,下一跳接口是loopback口的报文,路由器会将其丢弃。对于CISCO路由器来说,可以配置[no] ip unreachable命令,来设置是[否]发送icmp不可达报文,对于VRP来说,没有这条命令,缺省不发送icmp不可达报文 。
二、环回接口作用:
用来建立路由邻居;
用来作为Router-ID;
用于虚拟隧道连接;
用于网络连通性测试;
用来作为Router-ID:
因为环回接口的稳定性,我们常使用一个环回接口地址来作为Router-ID,使整个设备的标识稳定可靠。
用于虚拟隧道连接:
在建立IPSec或GRE之类的虚拟隧道时,使用loopback接口可以保证整个隧道的稳定性。
用于网络连通性测试:
创建并配置好环回接口之后,它的地址是能被ping或telnet的,这就可以被用来测试网络的连通性。
环回功能:基于端口、MAC、VLAN、IP环回。
端口环路检测:
一种简单的检测环路的方式,私有协议 ;设备通过发送环路监测报文、并监测其是否返回本设备(不要求收、发端口为同一端口)以确认是否存在环路,若某端口收到了由本设备发出的环路监测报文,就认定该端口存在环路。
端口环路检测适用于简单的拓扑。
8. 如何配置l2tp over gre隧道
L2TP支持MP(MultilinkProtocol),把多个物理通道捆绑为单一逻辑信道pptp使用M$的拨号网络作为客户端,使用gre做tunnel封装,mppe进行加密。l2tp也使用M$的拨号网络做为客户端,在lac进行一次证,在lns进行二次认证,tunnel是处于lac与lns之间。加密方式可以选择mppe和ipsec。ipsec使用ESP/AH做为tunnel封装,一般需要专用的客户端。如cisco的vpnclient或其它厂商的client.PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。
9. 环回接口是用来远程登录的吗
不是,创建环回接口的原因:
1.向OSPF路由器分配路由器ID。
2.用于测试目的,因为该接口总是开启的。
3.终止特殊连接,例如GRE隧道或IPSec连接,因为该接口总是启用的。