GRE技术介绍

GRE简介

协议简介

GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议（IPX, AppleTalk, IP, IPSec, DVMRP, etc.）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE采用了Tunnel（隧道）技术，是VPN（Virtual Private Network）的第三层隧道协议。

Tunnel是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。

一个X协议的报文要想穿越IP网络在Tunnel中传输，必须要经过加封装与解封装两个过程，下面以图1的网络为例说明这两个过程：

图1 X协议网络通过GRE隧道互连

1. 加封装过程

l              Router A连接Group 1的接口收到X协议报文后，首先交由X协议处理；

l              X协议检查报文头中的目的地址域来确定如何路由此包；

l              若报文的目的地址要经过Tunnel才能到达，则设备将此报文发给相应的Tunnel接口；

l              Tunnel口收到此报文后进行GRE封装，然后再封装IP报文头，设备根据此IP包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。

2. GRE封装后的报文格式

封装好的报文的形式如下图所示：

图2 封装好的Tunnel报文格式

举例来说，一个封装在IP Tunnel中的X协议报文的格式如下：

图3 Tunnel中传输报文的格式

需要封装和传输的数据报文，称之为净荷（Payload），净荷的协议类型为乘客协议（Passenger Protocol）。系统收到一个净荷后，首先使用封装协议（Encapsulation Protocol）对这个净荷进行GRE封装，即把乘客协议报文进行了“包装”，加上了一个GRE头部成为GRE报文；然后再把封装好的原始报文和GRE头部封装在IP报文中，这样就可完全由IP层负责此报文的前向转发（Forwarding）。通常把这个负责前向转发的IP协议称为传输协议（Delivery Protocol或者Transport Protocol）。

根据传输协议的不同，可以分为GRE over IPv4和GRE over IPv6两种隧道模式。

3. 解封装的过程

解封装过程和加封装的过程相反。

l              Router B从Tunnel接口收到IP报文，检查目的地址；

l              如果发现目的地是本路由器，则Router B剥掉此报文的IP报头，交给GRE协议处理（进行检验密钥、检查校验和及报文的序列号等）；

l              GRE协议完成相应的处理后，剥掉GRE报头，再交由X协议对此数据报进行后续的转发处理。

说明：

GRE收发双方的加封装、解封装处理，以及由于封装造成的数据量增加，会导致使用GRE后设备的数据转发效率有一定程度的下降。

 

GRE的安全选项

为了提高GRE隧道的安全性，GRE还支持由用户选择设置Tunnel接口的识别关键字（或称密钥），和对隧道封装的报文进行端到端校验。

在RFC1701中规定：

l              若GRE报文头中的Key标识位置1，则收发双方将进行通道识别关键字的验证，只有Tunnel两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。

l              若GRE报文头中的Checksum标识位置1，则校验和有效。发送方将根据GRE头及Payload信息计算校验和，并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃。

应用范围

GRE主要能实现以下几种服务类型：

1. 多协议的本地网通过单一协议的骨干网传输

图4 多协议本地网通过单一协议骨干网传输

上图中，Group 1和Group 2是运行Novell IPX协议的本地网，Team 1和Team 2是运行IP协议的本地网。通过在Router A和Router B之间采用GRE协议封装的隧道（Tunnel），Group 1和Group 2、Team 1和Team 2可以互不影响地进行通信。

2. 扩大了步跳数受限协议（如RIP）的网络的工作范围

图5 扩大网络工作范围

两台终端之间的步跳数超过15，它们将无法通信。而通过在网络中使用隧道（Tunnel）可以隐藏一部分步跳，从而扩大网络的工作范围。

3. 将一些不能连续的子网连接起来，用于组建VPN

图6 Tunnel连接不连续子网

运行Novell IPX协议的两个子网Group 1和Group 2分别在不同的城市，通过使用隧道可以实现跨越广域网的VPN。

4. 与IPSec结合使用

图7 GRE-IPSec隧道应用

对于诸如路由协议、语音、视频等数据先进行GRE封装，然后再对封装后的报文进行IPSec的加密处理。

http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200805/605933_30003_0.htm

------------------------------------------------------------------------------------------------------------

隧道技术概述：
        一种技术（协议）或者策略的两个或多个子网穿过另一种技术（协议）或者策略的网络实现互联，称之为overlay topology，这一技术是电信技术的永恒主题之一。
        电信技术在发展，多种网络技术并存，一种技术的网络孤岛可能需要穿过另一种技术的网络实现互联。这种情况如果发生在高层协议的PDU封装于低层协议PDU中时通常称之为复用；特别地三层PDU穿过二层网络的技术称为租用链路或虚电路；而如果穿越发生在一种协议PDU封装在同一层协议的PDU中，或者封装在高层协议的PDU中时，人们通常称之为隧道。
         隧道提供了一种某一特定网络技术的PDU穿过不具备该技术转发能力的网络的手段，如组播数据包穿过不支持组播的网络；另一种情况是有时因为管理策略的原因，一个管理者（策略）的子网不能通过和另一个管理者（策略）的网络互联而连接，而是要穿过另一个管理者（策略）的网络实现连接，这就是所谓的VPN（Virtual Private Networks），不管是L2 VPN还是L3 VPN都需要利用隧道技术实现。因此隧道某种意义上可以概括为穿越不同的网络的技术，不同既可以是技术方面的，也可以是管理策略方面的。
隧道可以作为一个虚拟接口来实现。隧道接口并不指定特定的“乘客”或“传输”协议连接，而是一种结构，可以实现任何标准点到点封装的服务。由于隧道是点到点连接，因此对每个连接必须配置一个单独的隧道。
       GRE是一种应用较为广泛的一种网络层协议PDU封装于任一种网络层协议PDU中的技术，经常被用来构造GRE隧道穿越各种三层网络，并得到了大多数电信设备厂商的支持。
     

        GRE(通用路由协议封装）是由Cisco和Net-smiths等公司于1994年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE 规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、 AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网 络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。

        封装后一个GRE数据包的格式如下：

a ---------------------------------
| |
| Delivery Header |
| |
---------------------------------
| |
| GRE Header |
| |
---------------------------------
| |
| Payload packet |
| |
---------------------------------


The GRE packet header has the form:


0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|C|R|K|S|s|Recur| Flags | Ver | Protocol Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum (optional) | Offset (optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Key (optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number (optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Routing (optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

        ----GRE在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括了GRE的包头和完整的乘客协议与数据；密钥用于接收端验证接收的数据；序列号用于接收端数据包的排序和差错控制；路由用于本数据包的路由。

        ----GRE只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPsec在一起使用，由IPsec提供用户数据的加密，从而给用户提供更好的安全性。

      

        GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。

在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内 部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。

        路由封装(GRE)最早是由Cisco提出的，而目前它已经成为了一种标准，被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说，GRE就是一种隧道协议，用来从一个网络向另一个网络传输数据包。

        如果你觉得它和虚拟专用网（VPN）有些类似，那只是因为：从技术上讲，GRE隧道是某一类型的VPN，但是并不是一个安全隧道方式。不过你也可以使用某种加密协议对GRE隧道进行加密，比如VPN网络中常用的IPSec协议。

        实际上，点到点隧道协议（PPTP）就是使用了GRE来创建VPN隧道。比如，如果你要创建Microsoft VPN隧道，默认情况下会使用PPTP，这时就会用到GRE。

       为什么要用GRE?

        为什么要使用GRE进行隧道传输呢？原因如下：

        有时你需要加密的多播传输。GRE隧道可以像真实的网络接口那样传递多播数据包，而单独使用IPSec，则无法对多播传输进行加密。多播传输的例子包括OSPF, EIGRP, 以及RIPV2。另外，大量的视频、VoIP以及音乐流程序使用多播。

         你所采用的某种协议无法进行路由，比如NetBIOS或在IP网络上进行非IP传输。比如，你可以在IP网络中使用GRE支持IPX或AppleTalk协议。

         你需要用一个IP地址不同的网络将另外两个类似的网络连接起来。

        如何配置GRE隧道？

        在Cisco路由器上配置GRE隧道是一个简单的工作，只需要输入几行命令即可实现。以下是一个简单的例子。

路由器A:
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0

interface Serial0/0
ip address 192.168.4.1 255.255.255.0

interface Tunnel0
ip address 1.1.1.2 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.2

路由器B:
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0

interface Serial0/0
ip address 192.168.4.2 255.255.255.0

interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.1

        在这个例子中，两个路由器均拥有虚拟接口，即隧道接口。这一接口属于各自的网络，就好像一个点到点的T1环路。跨越隧道网络的数据采用串行网络方式传输。

        对于每个路由器都有两种途径将数据传递到另一端，即通过串行接口以及通过隧道接口（通过隧道传递数据）。该隧道可以传输非路由协议的数据，如NetBIOS或AppleTalk。如果数据需要通过互联网，你可以使用IPSec对其进行加密。

        从下面的信息反馈可以看出，路由器B上的隧道接口和其他网络接口没有什么不同：

RouterB# sh ip int brie

Interface   IP-Address     OK?       Method Status                 Protocol
Ethernet0   10.1.1.1       YES        manual up                     down
Serial0     192.168.4.2   YES        manual up                     up
Serial1     unassigned    YES       unset   administratively down down
Tunnel0     1.1.1.1         YES         manual up                     up
RouterB#
[Tunnel就是一个接口，如果使用还需另外的策略。]

        解决GRE隧道的问题：

        由于GRE是将一个数据包封装到另一个数据包中，因此你可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。解决这种问题的方法是在隧道接口上配置ip tcp adjust-mss 1436。另外，虽然GRE并不支持加密，但是你可以通过tunnel key命令在隧道的两头各设置一个密钥。这个密钥其实就是一个明文的密码。由于GRE隧道没有状态控制，可能隧道的一端已经关闭，而另一端仍然开启。这一问题的解决方案就是在隧道两端开启keepalive数据包。它可以让隧道一端定时向另一端发送keepalive数据，确认端口保持开启状态。如果隧道的某一端没有按时收到keepalive数据，那么这一侧的隧道端口 也会关闭。

http://blog.sina.com.cn/s/blog_4fad46a801015wto.html