GRE隧道的功能和实现.ppt

GRE隧道的功能和实现测试部马爱卿2007年4月26日功据御磅察孰叫质***偶篡漆委人***侩拐娄超獭铆贰仰铺免凸嘴鳞眠义荚芹GRE隧道的功能和实现GRE隧道的功能和实现提纲GRE隧道简介GRE的处理流程GREoverIPSecGRE隧道的配置FAQ吏抨滨惧褂悬林羊前众太衅叼迫狐锁胖躯倦蕾舰笔彼拂小动屈越伯蚀靳鹿GRE隧道的功能和实现GRE隧道的功能和实现GRE隧道简介GRE(GenericRoutingEncapsulation)是一种3层VPN技术,最初是由Cisco开发的,后被标准化为RFC1701、1702和2784。两个具有IP可达性的场点间的GRE隧道可被称为VPN,因为场点间的私有数据被封装在GRE递送包头中。GRE隧道可以用来连接企业的私有网点,但由于GRE本身缺乏足够强大的安全机制,所以很少被用来单独传输数据。GRE通常和IPSec联合使用。IPSec是一种点对点的隧道协议,无法支持对多播报文的封装,而GRE可以,所以我们通常用GREoverIPSec,即先用GRE封装多播报文,再用IPSec封装GRE报文的方式来进行多播数据的加密传输。膀啪烘婆揍毡泣赴刀臣弊弄咱蘑姚房蓉丧镊以氢网暴跳背怪锁阉缴擂褂镍GRE隧道的功能和实现GRE隧道的功能和实现TOS中GRE的处理流程眨弄礼床什肖菩期诵杭碧龙屏真虱幽肩踪翌铂糯胁遏舱蛰勺绪衔亲摩月囊GRE隧道的功能和实现GRE隧道的功能和实现TOS中GRE的处理流程GRE的解封装和封装都由Linux协议栈来处理,然后由Linux协议栈来决定下一步如何处理。解封装后,会重走HOOK点,当成普通的IP报文进行处理;进行GRE封装时,到达路由模块后发现出接口是GRE口,然后经过Link_out,Link_out不会对报文做任何处理,只有在随后准备发送时,发送函数进行发送时发现出接口是GRE口,才会调用gre_xmit函数,交给Linux协议栈处理,进行GRE封装。在封装完毕后,会把报文送到Link_in点上,重新交由TOS进行路由发送。IPSec的实现也是这样的,经过路由模块处理后发现出接口是ipsec口,发送函数随后也会调用VPN模块,把数据报交给VPN模块进行处理。IPSec和GRE的区别是,VPN在进行加密封装处理后会把报文送到Pre_routing,然后再次查找路由(此时是对端网关路由)进行发送;而GRE要把报文送到Link_in点,以满足对隧道内PF和FW的需求,IPSec目前没有这个需求。当然,GRE也会再次进行路由的查找。帮撮催席斌耀佐卉踏镇稍抄逸玄碎躲棍件嫂味滨军湛另诲沦柿贤威蕴译鹿GRE隧道的功能和实现GRE隧道的功能和实现GREoverIPSecGREoverIPSec的处理流程IPSecoverGRE的处理流程阳硫罪藐吐烩趁距瘦歉杏秸珊佣档号砰钱熬狰拿蓝硕搞淆裴降辆膨镐赘捎GRE隧道的功能和实现GRE隧道的功能和实现GREoverIPSec的处理流程在发送方,Pre_routing点不会先对此报文做处理,待原始IP(或其他报文如ARP)报文查找路由进行发送时,再由发送函数交由GRE协议处理函数处理,GRE封装完成后会重新返回Link_in处理,当查找路由时,匹配到IPSec口,然后又做一遍IPSec的处理,最后才从接口发送出去。在接收端,因为IPSec封装在外层,报文会在Link_in上被解密,可以被正确识别为GRE报文,会送给Local_in进行GRE解封装处理(GRE报文的目的IP为本机地址),随后会当成普通的IP包重走HOOK点。***。按照前面的思维,如果要实现IPSecoverGRE封装,那么在路由查找的过程中,需要依次匹配IPSec口,然后匹配GRE口;也就是,必须先建起隧道,然后再把路由指向GRE口,而这是无法实现的。(原因见备注)换一种思路,考虑是否可以让IPSec协商报文走GRE隧道,这样建立成功后仍然是IPSecoverGRE。但目前TOS的实现有一个限制,IPSec的协商必须在IPSec口的路径上进行,而IPSec口是无法绑定在GRE口上的。所以TOS上无法实现IPSecoverGRE的方式。可以预见,如果IPSecoverGRE可以实现的话,在接收端,因为收到的报文外面是GRE封装,所以流程和GREoverIPSec时正好相反,报文会首先被Local-in上送Linux协议栈解封装,然后被当成普通IP包重走HOOK点,然后发现是一个IPSec加密报文,就走正常的IPSec解密流程了。workTunnleaddname<string>local<string>