PDF《H3C SecPath F100-C-SI 防火墙》

邮箱:[email protected] 技术支持热线

电话:400-810-0504(手机、固话均可拨打) 010-62982107

网址:http://www.h3c.com.cn 资料意见反馈 如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈: E-mail:[email protected] 感谢您的反馈,让我们做得更好! i 目录1GRE・1-1? 1.1 GRE简介 1-1? 1.1.1 GRE封装后的报文格式・1-1? 1.1.2 GRE加解封装过程 1-2? 1.1.3 GRE的安全选项・1-2? 1.1.4 应用范围 1-3? 1.1.5 协议规范 1-4? 1.2 配置GRE over IPv4 隧道・1-4? 1.2.1 配置准备 1-4? 1.2.2 配置GRE over IPv4 隧道 1-5? 1.3 配置GRE over IPv6 隧道・1-6? 1.3.1 配置准备 1-6? 1.3.2 配置GRE over IPv6 隧道 1-6? 1.4 GRE显示和维护 1-8? 1.5 GRE over IPv4 典型配置举例・1-9? 1.6 GRE over IPv6 典型配置举例・1-11? 1.7 常见配置错误举例 1-14? 1-1

1 GRE 本文所涉及的路由器和路由器图标,代表了一般意义下的路由器或运行了路由协议的防火墙. 1.1 GRE简介 GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX) 的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输.封装后 的数据报文在网络中传输的路径,称为 GRE 隧道.GRE 隧道是一个虚拟的点到点的连接,其两端 的设备分别对数据报进行封装及解封装. 1.1.1 GRE封装后的报文格式 图1-1 GRE 封装后的报文格式 如图1-1 所示,GRE封装后的报文包括如下几个部分: ? 净荷数据(Payload packet):需要封装和传输的数据报文.净荷数据的协议类型,称为乘客 协议(Passenger Protocol). ? GRE 头(GRE header) :系统收到净荷数据后,在净荷数据上添加 GRE 头,使其成为 GRE 报文.对净荷数据进行封装的 GRE 协议,称为封装协议(Encapsulation Protocol). ? 传输协议的报文头(Delivery header):负责转发封装后报文的网络协议,称为传输协议 (Delivery Protocol 或者 Transport Protocol) .在GRE 报文上需要增加传输协议的报文头, 以便传输协议对封装后的报文进行转发处理. 图1-2 GRE 封装报文举例 1-2 IPv6 报文通过GRE隧道穿越IPv4 网络时,报文格式如 图1-2 所示.其中,乘客协议为IPv6,封装 协议为GRE,传输协议为IPv4. 根据传输协议的不同,GRE 隧道可以分为: ? GRE over IPv4:传输协议为 IPv4,乘客协议为任意网络层协议. ? GRE over IPv6:传输协议为 IPv6,乘客协议为任意网络层协议. 1.1.2 GRE加解封装过程 图1-3 X 协议网络通过 GRE 隧道互连 下面以 图1-3 的网络为例说明X协议的报文穿越IP网络在GRE隧道中传输的过程: 1. 加封装过程 ? Device A 连接 Group

1 的接口收到 X 协议报文后,首先交由 X 协议处理;

? X 协议检查报文头中的目的地址域来确定如何路由此包;

? 若报文的目的地址要经过 Tunnel 才能到达,则设备将此报文发给相应的 Tunnel 接口;

? Tunnel 接口收到此报文后进行 GRE 封装,再封装 IP 报文头后,设备根据此 IP 包的目的地址 及路由表对报文进行转发,从相应的网络接口发送出去. 2. 解封装的过程 解封装过程和加封装的过程相反. ? Device B 从Tunnel 接口收到 IP 报文,检查目的地址;

? 如果目的地是本路由器,且IP 报文头中的协议号为 47(表示封装的报文为 GRE 报文) ,则Device B 剥掉此报文的 IP 报头,交给 GRE 协议处理(进行检验密钥、检查校验和及报文的 序列号等) ;

? GRE 协议完成相应的处理后,剥掉 GRE 报头,再交由 X 协议对此数据报进行后续的转发处 理. GRE 收发双方的加封装、解封装处理,以及由于封装造成的数据量增加,会导致使用 GRE 后设备 的数据转发效率有一定程度的下降. 1.1.3 GRE的安全选项 为了提高 GRE 隧道的安全性, GRE 还支持由用户选择设置 Tunnel 接口的识别关键字 (或称密钥) , 和对隧道封装的报文进行端到端校验. 在RFC