思科RS方向CCNP数通认证培训-GRE隧道技术简介

乾颐堂网络实验室，将陆续发布思科RS方向CCNP数通认证培训相关技术文档，敬请关注！

隧道是一种概念，我们将“数据包放入数据包”，以便它们可以通过某些网络传输。我们也称之为封装。

一个很好的例子是当你的局域网上有两个带有IPv6地址的站点，但它们只通过IPv4地址连接到互联网。通常情况下，两个IPv6局域网不可能相互通过，但通过使用隧道传输，这两个路由器将放置IPv6数据包转换为IPv4数据包，以便我们的IPv6流量可以在Internet上路由。

另一个例子是我们有一个HQ和一个分支站点，你想在它们之间运行RIP，OSPF或EIGRP之类的路由协议。我们可以隧道这些路由协议，以便HQ和分支路由器可以交换路由信息。

基本上，在配置隧道时，就像在两个设备之间创建点对点连接一样。GRE（通用路由封装）是一种简单的隧道技术，可以为我们做到这一点。让我向您展示一个我们将用于演示GRE的拓扑：

上面我们有3个路由器相互连接。在左侧，我们有“HQ”路由器，这是我们的总部。在右侧有一个“分支”路由器，应该是一个分支机构。两台路由器都连接到Internet，中间有一台ISP路由器。我们可以使用此拓扑来模拟连接到Internet的两个路由器。HQ和Branch路由器每个都有一个代表LAN的环回接口。

让我向您展示这些路由器的基本配置，以便您可以根据需要重新创建它：

HQ(config)#interface fastEthernet 0/0           
HQ(config-if)#ip address 192.168.12.1 255.255.255.0
HQ(config-if)#exit
HQ(config)#interface loopback0
HQ(config-if)#ip address 172.16.1.1 255.255.255.0
HQ(config-if)#exit
HQ(config)#ip route 192.168.23.3 255.255.255.255 192.168.12.2

ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.12.2 255.255.255.0
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.23.2 255.255.255.0

Branch(config)#interface fastEthernet 0/0
Branch(config-if)#ip address 192.168.23.3 255.255.255.0
Branch(config-if)#exit
Branch(config)#interface loopback 0
Branch(config-if)#ip address 172.16.3.3 255.255.255.0
Branch(config-if)#exit
Branch(config)#ip route 192.168.12.1 255.255.255.255 192.168.23.2

我在HQ和Branch路由器上创建了一个静态路由，以便它们可以通过ISP路由器相互访问。然而，它们将无法在彼此的环回接口上访问网络。现在让我们创建一个隧道：

HQ(config)#interface tunnel 1    
HQ(config-if)#tunnel source fastEthernet 0/0
HQ(config-if)#tunnel destination 192.168.23.3
HQ(config-if)#ip address 192.168.13.1 255.255.255.0

Branch(config)#interface tunnel 1
Branch(config-if)#tunnel source fastEthernet 0/0
Branch(config-if)#tunnel destination 192.168.12.1
Branch(config-if)#ip address 192.168.13.3 255.255.255.0

您可以为您喜欢的隧道接口选择任意数字。我们需要指定源和目标IP地址来构建隧道，我们将在隧道接口上使用192.168.13.0 / 24子网。让我们验证我们的隧道是否正常工作：

HQ#show interfaces tunnel 1
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 192.168.13.1/24
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 192.168.12.1 (FastEthernet0/0), destination 192.168.23.3
  Tunnel protocol/transport GRE/IP

Branch#show interfaces tunnel 1
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 192.168.13.3/24
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 192.168.23.3 (FastEthernet0/0), destination 192.168.12.1
  Tunnel protocol/transport GRE/IP

上面你可以看到两个路由器上的隧道接口都是up / up。默认隧道模式为GRE。让我们看看两个路由器是否可以互相访问：

Branch#ping 192.168.13.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/12 ms

可以看到两个tunnel口可以互通.我们可以启用路由协议，以便我们可以通告环回接口。我将使用EIGRP：

HQ(config)#router eigrp 13    
HQ(config-router)#no auto-summary
HQ(config-router)#network 192.168.13.0
HQ(config-router)#network 172.16.1.0

Branch(config)#router eigrp 13
Branch(config-router)#no auto-summary
Branch(config-router)#network 192.168.13.0
Branch(config-router)#network 172.16.3.0

我将在隧道和环回接口上激活EIGRP。您将看到两个路由器通过隧道接口建立EIGRP邻居邻接。我们来检查路由表：

HQ#show ip route eigrp
     172.16.0.0/24 is subnetted, 2 subnets
D       172.16.3.0 [90/297372416] via 192.168.13.3, 00:01:31, Tunnel1

Branch#show ip route eigrp
     172.16.0.0/24 is subnetted, 2 subnets
D       172.16.1.0 [90/297372416] via 192.168.13.1, 00:01:51, Tunnel1

正如您所看到的，两台路由器了解了彼此的网络。他们将使用隧道接口相互联系。我们来做一个快速测试：

HQ#ping 172.16.3.3 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/8/12 ms

环回接口之间的快速ping可以证明两个“LAN”可以相互连接。

在隧道接口上运行路由协议时要小心，因为这会导致递归路由问题。

如果你很好奇，让我告诉你在wireshark中封装的数据包是什么样的：

仔细查看源和目标IP地址。你可以看到192.168.12.1和192.168.23.3之间的数据包，你可以在里面找到172.16.1.1和172.16.3.3之间的IP数据包。但是GRE只能在隧道中传输数据,但是不能对隧道中的数据进行加密,IPSE是可以加密隧道内数据包的协议之一.

思科CCNP数通认证培训咨询可联系乾颐堂官网客服.  点击咨询

咨询QQ及电话：4006188070

乾颐堂官网：www.qytang.com

乾颐堂网络实验室 我们为您想的更多