Linux下的GRE隧道及其路由转发

64532

   隧道，字面上来看就是一条通道，这条通道由点到点，独立与其他。linux下的隧道其他的了解不深，单独写下最近搭建过的gre隧道和路由转发功能实现。        先说一下隧道的基本概念：
        一种技术（协议）或者策略的两个或多个子网穿过另一种技术（协议）或者策略的网络实现互联，称之为overlay topology，这一技术是电信技术的永恒主题之一。
     电信技术在发展，多种网络技术并存，一种技术的网络孤岛可能需要穿过另一种技术的网络实现互联，这种情况如果发生在高层协议的PDU封装于低层协议PDU中时通常称之为复用，特别地三层PDU穿过二层网络地技术称为租用链路或虚电路；而如果穿越发生在一种协议PDU封装在同一层协议的PDU中，或者封装在高层协议的PDU中时，人们通常称之为隧道。
         隧道提供了一种某一特定网络技术的PDU穿过不具备该技术转发能力的网络的手段，如组播数据包穿过不支持组播的网络；另一种情况是有时因为管理策略的原因，一个管理者（策略）的子网不能通过和另一个管理者（策略）的网络互联而连接，而是要穿过另一个管理者（策略）的网络实现连接，这就是所谓的VPN（Virtual Private Networks），不管是L2 VPN还是L3 VPN都需要利用隧道技术实现。因此隧道某种意义上可以概括为穿越不同的网络的技术，不同既可以是技术方面的，也可以是管理策略方面的。

隧道可以作为一个虚拟接口来实现。隧道接口并不指定特定的“乘客”或“传输”协议连接，而是一种结构，可以实现任何标准点到点封装的服务。由于隧道是点到点连接，因此对每个连接必须配置一个单独的隧道。
       GRE（通用路由协议封装）工作在三层，即IP层。它的工作方式很简单，看看数据包结构能了解大概。



      在接收到走gre隧道的包（不一定是IP包）之后，将这个包加上GRE的包头，然后再借助对外的网络进行通信。

现场环境：
两台linux机器作为GRE隧道路由器，其中172开头的内网已互相连通，10与20开头的外网不能通
A机器：eth1:10.10.1.1         
                bond0:172.19.1.1   
B机器：eth1:20.10.1.1         
                bond0:172.19.1.2     
在做完隧道后，实现10.10.1.1网段与20.10.1.1网连通。


1、在两台LINUX开通路由转发，为等下的路由功能做准备：

1 2 3

vim /etc/sysctl.conf 修改net.ipv4.ip_forward=0 修改成1 sysctl -p

2、建立隧道（A机器上）：

1 2 3 4 5 6 7 8 9

modprobe ip_gre ip tunnel add My_Tunnel mode gre remote 172.19.1.2 local 172.19.1.1 # My_Tunnel改为你要搭建的隧道名，local后面添加的是本机器的内网IP。 remote为对端内网的IP ，这两个要先确认能互通。 Ip link set  My_Tunnel up Ip addr add 192.168.8.1 peer 192.168.8.11 dev My_Tunnel #My_Tunnel需要修改（下面的TLX_DD都需修改），设定本机隧道的IP 192.168.8.1，对端的IP为192.168.8.11。 route add -net 20.10.1.0 netmask 255.255.255.0 dev My_Tunnel gw 192.168.8.1 #设置去往20.10.1.0网段默认的路由通过隧道走

注意：两台机到这里配完隧道，两边的隧道ip是要能ping通的，不通的话先确认remote的ip
和local ip能相互ping通。

step3：配置网络转发（A机器）

1 2 3 4 5 6 7 8 9 10 11 12

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.8.11 -j MASQUERADE #将对端过来的192.168.8.11源地址nat转换成eth1上的地址 /sbin/iptables -A FORWARD -s 192.168.8.11 -o eth1 -j ACCEPT #开启对源地址192.168.8.11出口为eth1的转发功能 /sbin/iptables -t nat -A POSTROUTING  -o  My_Tunnel  -s 10.10.1.0/24 -j MASQUERADE #将源地址10.10.1.0网段的包nat成My_tunnel的地址即为192.168.8.1 /sbin/iptables  -A FORWARD  -s 10.10.1.0/24  -o  My_Tunnel  -j ACCEPT #开启转发源地址10.10.1.0网段的转发 然后在10.10.1.0网段的机器上把去往20网段的机器路由配成A就行了 route add -net 20.10.1.0 netmask 255.255.255.0  gw 10.10.1.1

在B机器上做相同格式的操作。整个隧道路由就搭建成功了。

不过说实话，这种需求是不是直接nat转发就行了，需要配隧道这么麻烦吗？

  解决GRE隧道的问题：
        1、GRE是将一个数据包封装到另一个数据包中，因此你可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。解决这种问题的方法是在隧道接口上配置ip tcp adjust-mss 1436。另外，虽然GRE并不支持加密，但是你可以通过tunnel key命令在隧道的两头各设置一个密钥。这个密钥其实就是一个明文的密码。或者使用gre over ipsec，那样就比较复杂了再另说。
      2、GRE隧道没有状态控制，可能隧道的一端已经关闭，而另一端仍然开启。这一问题的解决方案就是在隧道两端开启keepalive数据包。它可以让隧道一端定时向另一端发送keepalive数据，确认端口保持开启状态。如果隧道的某一端没有按时收到keepalive数据，那么这一侧的隧道端口 也会关闭。