GRE VPN的配置

主要内容：

GRE VPN：实现异地组网。

GRE+IPSec VPN：为GRE VPN提供数据传输保护。

GRE协议

GRE协议是一种隧道技术，可用于构建VPN隧道，也可用于构建IPv4网络和IPv6网络的穿越隧道。

GRE隧道是一种使用逻辑接口互联的虚拟链路。

Tunnel 接口又称为隧道口，它是一种逻辑接口，它没有对应的物理接口，使用GRE隧道协议对IP数据报进行重新封装，使IP数据报可以穿越公共网络。

隧道是一条虚拟链路，它由链路两端的Tunnel口以虚拟连接的方式形成。

配置Tunnel口：

Router(config)#interface t0!创建Tunnel接口，接口号从0算起

Router(config-if)#ip address IP地址子网掩码!配置IP地址

Router(config-if)#tunnel source 隧道源接口号!指定隧道起点

Router(config-if)#tunnel destination 隧道目的接口地址!指定隧道终点

Router(config-if)#no shutdown

查看配置

隧道两端的路由器可配置静态路由，也可配置路由协议来实现它们的路由。

Tunnel接口默认使用GRE协议封装数据。

当路由器收到一个IP数据报时，先给它封装一个GRE报头，再用隧道的源地址和目的地址封装一个新IP报头，这样该数据报就可通过实际接口发往对端网络了。

利用GRE隧道技术构建的VPN就是GRE VPN，主要用于异地组网。它可以把处于异地的多个局域网互联起来，当做一个大的局域网使用。

要求：

各个局域网都已经接入Internet。

各部分局域网的IP地址应该统一规划，就像一个单一局域网一样。

查看配置

GRE VPN的缺点是缺乏加密机制，局域网数据通过公共网络传输，存在安全隐患。

解决方法是为GRE VPN添加IPSec，它使用GRE建立隧道，用IPSec进行数据加密和认证，可大大提高安全性能。

GRE over IPSec是指先用GER协议封装数据报，再用IPSec封装。

在进行IPSec封装时，它会把整个数据进行加密，然后再添加一个新的报头。

在上例的GRE VPN的隧道链路上添加IPSec：

配置IPSec时应注意保护的流是经GRE协议封装的IP数据报，里面的IP地址是隧道两端公有地址。

查看配置

R1、R2、R3连接了三个局域网，它们的IP地址是统一规划的。

R4、R5构成了广域网，把三个局域网互联起来。

用两个GRE隧道把三个局域网连通形成一个大的局域网。

用IPSec保护局域网间的通信安全。