华为***技术三：GRE

上海isp

　　GRE通过静态路由实现IPv4互通
　　拓扑：
　　
　　配置步骤
　　1、所有设备之间运行OSPF路由协议实现设备间路由互通。
　　2、在RouterA和RouterC上创建Tunnel接口，创建GRE隧道，并在RouterA和RouterC上配置经过Tunnel接口的静态路由，使PC1和PC2之间的流量通过GRE隧道传输，实现PC1和PC2互通。
　　配置信息：
　　R1：
　　interface Tunnel0/0/1
　　ip address 10.1.3.1 255.255.255.0
　　tunnel-protocol gre
　　source 20.1.1.1
　　destination 30.1.1.1
　　#
　　ospf 1
　　area 0.0.0.0
　　network 20.1.1.1 0.0.0.0
　　#
　　ip route-static 10.1.2.0 255.255.255.0 Tunnel0/0/1
　　R3:
　　interface Tunnel0/0/1
　　ip address 10.1.3.2 255.255.255.0
　　tunnel-protocol gre
　　source 30.1.1.1
　　destination 20.1.1.1
　　#
　　ospf 1
　　area 0.0.0.0
　　network 30.1.1.1 0.0.0.0
　　#
　　ip route-static 10.1.1.0 255.255.255.0 Tunnel0/0/1
　　#
　　GRE通过OSPF实现IPv4互通
　　拓扑
　　
　　
　　配置步骤
　　1、在设备之间运行IGP协议实现设备互通，这里使用OSPF路由协议且进程1。
　　2、与PC相连的设备之间建立GRE隧道，并使能Keepalive功能，并配置与PC相连的网段运行IGP协议，这里使用OSPF进程2，和OSPF1进行隔离，使PC1和PC2之间的流量通过GRE隧道传输，实现PC1和PC2互通。
　　R1\R3:
　　interface Tunnel0/0/1
　　ip address 10.1.3.1 255.255.255.0
　　tunnel-protocol gre
　　keepalive
　　source 20.1.1.1
　　destination 30.1.1.1
　　原理分析
　　Keepalive检测功能的实现过程如下：
　　1、当GRE隧道的源端使能Keepalive检测功能后，就创建一个定时器，周期地发送Keepalive探测报文，同时通过计数器进行不可达计数。每发送一个探测报文，不可达计数加1。
　　2、对端每收到一个探测报文，就给源端发送一个回应报文。
　　3、如果源端的计数器值未达到预先设置的值就收到回应报文，就表明对端可达。如果源端的计数器值到达预先设置的值——重试次数（Retry Times）时，还没收到回送报文，就认为对端不可达。此时，源端将关闭隧道连接。但是源端口仍会继续发送Keepalive报文，若对端Up，则源端口也会Up，建立隧道链接。
　　###默认
　　GRE OVER IPSEC
　　拓扑
　　
　　配置步骤
　　1、配置物理接口的IP地址和到对端的静态路由，保证两端路由可达。
　　R1\R3：
　　ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
　　2、配置GRE Tunnel接口。
　　R1\R3:
　　interface Tunnel0/0/0
　　ip address 192.168.1.2 255.255.255.0
　　tunnel-protocol gre
　　source 202.138.163.1
　　destination 202.138.162.1
　　3、配置IPSec安全提议，定义IPSec的保护方法。
　　R1\R3：
　　ipsec proposal pro1
　　esp authentication-algorithm sha2-256
　　esp encryption-algorithm aes-128
　　4、配置IKE对等体，定义对等体间IKE协商时的属性。
　　R1\R3：
　　ike peer rut1 v1
　　pre-shared-key cipher huawei
　　ike-proposal 5
　　5、配置安全框架，并引用安全提议和IKE对等体。
　　R1\R3：
　　ipsec profile profile1
　　ike-peer rut1
　　proposal pro1
　　6、在Tunnel接口上应用安全框架，使接口具有IPSec的保护功能。
　　R1\R3：
　　interface Tunnel0/0/0
　　ipsec profile profile1
　　7、配置Tunnel接口的转发路由，将需要IPSec保护的数据流引到Tunnel接口。
　　R1\R3:
　　ip route-static 10.1.1.0 255.255.255.0 Tunnel0/0/0
　　原理分析
　　GRE可以承载多种协议报文，包括组播、广播报文，而IPSEC不支持多协议承载只能对单播数据进行加密。所以当需要对语音、视频等流量进行隧道传输的时候，需采用GRE OVER IPSEC。
　　GRE隧道封装、解封装过程
　　封装：
　　
　　1、Ingress PE从连接X协议的接口接收到X协议报文后，首先交由X协议处理。
　　2、X协议根据报文头中的目的地址在路由表或转发表中查找出接口，确定如何转发此报文。如果发现出接口是GRE Tunnel接口，则对报文进行GRE封装，即添加GRE头。
　　3、根据骨干网传输协议为IP，给报文加上IP头。IP头的源地址就是隧道源地址，目的地址就是隧道目的地址。
　　4、根据该IP头的目的地址（即隧道目的地址），在骨干网路由表中查找相应的出接口并发送报文。之后，封装后的报文将在该骨干网中传输。
　　解封装：
　　1、Egress PE从GRE Tunnel接口收到该报文，分析IP头发现报文的目的地址为本设备，则Egress PE去掉IP头后交给GRE协议处理。
　　2、GRE协议剥掉GRE报头，获取X协议，再交由X协议对此数据报文进行后续的转发处理。