篇一:配置GRE隧道
为Cisco路由器 配置GRE隧道
路由封装(GRE)最早是由Cisco提出的,而目前它已经成为了一种标准,被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说,GRE就是一种隧道协议,用来从一个网络向另一个网络传输数据包。
如果你觉得它和虚拟专用网(VPN)有些类似,那只是因为:从技术上讲,GRE隧道是某一类型的VPN,但是并不是一个安全隧道方式。不过你也可以使用某种加密协议对GRE隧道进行加密,比如VPN网络中常用的IPSec协议。
实际上,点到点隧道协议(PPTP)就是使用了GRE来创建VPN隧道。比如,如果你要创建Microsoft VPN隧道,默认情况下会使用PPTP,这时就会用到GRE。为什么要用GRE?
为什么要使用GRE进行隧道传输呢?原因如下:
有时你需要加密的多播传输。GRE隧道可以像真实的网络接口那样传递多播数据包,而单独使用IPSec,则无法对多播传输进行加密。多播传输的例子包括OSPF, EIGRP, 以及RIPV2。另外,大量的视频、VoIP以及音乐流程序使用多播。
你所采用的某种协议无法进行路由,比如NetBIOS或在IP网络上进行非IP传输。比如,你可以在IP网络中使用GRE支持IPX或AppleTalk协议。
你需要用一个IP地址不同的网络将另外两个类似的网络连接起来。如何配置GRE隧道?
在Cisco路由器上配置GRE隧道是一个简单的工作,只需要输入几行命令即可实现。以下是一个简单的例子。
路由器A:
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.1 255.255.255.0
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.2
路由器B:
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial0/0
ip address 192.168.4.2 255.255.255.0
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source Serial0/0
tunnel destination 192.168.4.1
在这个例子中,两个路由器均拥有虚拟接口,即隧道接口。这一接口属于各自的网络,就好像一个点到点的T1环路。跨越隧道网络的数据采用串行网络方式传输。
对于每个路由器都有两种途径将数据传递到另一端,即通过串行接口以及通过隧道接口(通过隧道传递数据)。该隧道可以传输非路由协议的数据,如NetBIOS或AppleTalk。如果数据需要通过互联网,你可以使用IPSec对其进行加密。
从下面的信息反馈可以看出,路由器B上的隧道接口和其他网络接口没有什么不同:RouterB# sh ip int brie
Interface IP-Address OK? Method Status Protocol
Ethernet0 10.1.1.1 YES manual up down
Serial0 192.168.4.2 YES manual up up
Serial1 unassigned YES unset administratively down down
Tunnel0 1.1.1.1 YES manual up up
RouterB#
解决GRE隧道的问题
由于GRE是将一个数据包封装到另一个数据包中,因此你可能会遇到GRE的数据报大于网络接口所设定的数据包最大尺寸的情况。接近这种问题的方法是在隧道接口上配置ip tcp adjust-mss 1436。
另外,虽然GRE并不支持加密,但是你可以通过tunnel key命令在隧道的两头各设置一个密钥。这个密钥其实就是一个明文的密码。
由于GRE隧道没有状态控制,可能隧道的一端已经关闭,而另一端仍然开启。这一问题的解决方案就是在隧道两端开启keepalive数据包。它可以让隧道一端定时向另一端发送keepalive数据,确认端口保持开启状态。如果隧道的某一端没有按时收到keepalive数据,那么这一侧的隧道端口也会关闭。
篇二:协议号大全
协议号大全
Decimal Keyword Protocol References -------- ------------- --------------------------------------------0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883]1 ICMP Internet Control Message [RFC792]2 IGMP Internet Group Management[RFC1112]3 GGPGateway-to-Gateway[RFC823]4 IP IP in IP (encapsulation) [RFC2003]5 ST Stream[RFC1190,RFC1819]6 TCPTransmission Control[RFC793]7 CBTCBT [Ballardie]8 EGPExterior Gateway Protocol [RFC888,DLM1]9 IGPany private interior gateway [IANA](used by Cisco for their IGRP)
10 BBN-RCC-MON BBN RCC Monitoring [SGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [BN7] 15 XNETCross Net Debugger [IEN158,JFH2] 16 CHAOS Chaos [NC3] 17 UDP User Datagram[RFC768,JBP] 18 MUX Multiplexing [IEN90,JBP] 19 DCN-MEAS DCN Measurement Subsystems [DLM1] 20 HMP Host Monitoring [RFC869,RH6] 21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX] 23 TRUNK-1Trunk-1 [BWB6] 24 TRUNK-2Trunk-2 [BWB6] 25 LEAF-1 Leaf-1 [BWB6] 26 LEAF-2 Leaf-2 [BWB6] 27 RDP Reliable Data Protocol [RFC908,RH6] 28 IRTP Internet Reliable Transaction [RFC938,TXM] 29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77] 30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1] 31 MFE-NSPMFE Network Services Protocol [MFENET,BCH2] 32 MERIT-INP MERIT Internodal Protocol[HWB] 33 DCCPDatagram Congestion Control Protocol 34 3PC Third Party Connect Protocol [SAF3] 35 IDPR Inter-Domain Policy Routing Protocol[MXS1]36 XTP XTP[GXC] 37 DDP Datagram Delivery Protocol[WXC] 38 IDPR-CMTPIDPR Control Message Transport Proto[MXS1] 39 TP++TP++ Transport Protocol[DXF] 40 ILIL Transport Protocol [Presotto] 41 IPv6 Ipv6 [Deering]
42 SDRPSource Demand Routing Protocol [DXE1]
43 IPv6-Route Routing Header for IPv6 [Deering] 44 IPv6-FragFragment Header for IPv6 [Deering] 45 IDRP Inter-Domain Routing Protocol [Sue Hares] 46 RSVP Reservation Protocol [Bob Braden] 47 GRE General Routing Encapsulation [Tony Li]
48 MHRPMobile Host Routing Protocol[David Johnson] 49 BNA BNA [Gary Salamon] 50 ESP Encap Security Payload [RFC2406] 51 AHAuthentication Header[RFC2402] 52 I-NLSPIntegrated Net Layer Security TUBA
53 SWIPEIP with Encryption54 NARP NBMA Address Resolution Protocol
55 MOBILE IP Mobility
56 TLSP Transport Layer Security Protocol
using Kryptonet key management
57 SKIP SKIP
58 IPv6-ICMP ICMP for IPv6
59 IPv6-NoNxt No Next Header for IPv6 60 IPv6-OptsDestination Options for IPv6
61 any host internal protocol
62 CFTPCFTP
63 any local network
64 SAT-EXPAKSATNET and Backroom EXPAK
65 KRYPTOLAN Kryptolan
66 RVD MIT Remote Virtual Disk Protocol 67 IPPC Internet Pluribus Packet Core
68 any distributed file system
69 SAT-MONSATNET Monitoring
70 VISA VISA Protocol
71 IPCV Internet Packet Core Utility
72 CPNXComputer Protocol Network Executive
73 CPHBComputer Protocol Heart Beat
74 WSN Wang Span Network 75 PVP Packet Video Protocol
76 BR-SAT-MON Backroom SATNET Monitoring
77 SUN-ND SUN ND PROTOCOL-Temporary
78 WB-MONWIDEBAND Monitoring
79 WB-EXPAK WIDEBAND EXPAK
80 ISO-IPISO Internet Protocol
81 VMTPVMTP 82 SECURE-VMTP SECURE-VMTP
83 VINESVINES
84 TTP TTP
85 NSFNET-IGPNSFNET-IGP
86 DGP Dissimilar Gateway Protocol
87 TCF TCF
88 EIGRPEIGRP
89 OSPFIGP OSPFIGP 90 Sprite-RPCSprite RPC Protocol
91 LARP Locus Address Resolution Protocol[GLENN] [JI6] [RFC1735] [Perkins] [Oberg] [Markson] [RFC1883] [RFC1883] [RFC1883] [IANA] [CFTP,HCF2] [IANA] [SHB] [PXL1] [MBG] [SHB] [IANA] [SHB] [GXT1] [SHB] [DXM2] [DXM2] [VXD] [SC3] [SHB] [WM3] [SHB] [SHB] [MTR] [DRC3] [DRC3] [BXH][JXS] [HWB] [DGP,ML109] [GAL5] [CISCO,GXS][RFC1583,JTM4] [SPRITE,BXW][BXH]
92 MTP Multicast Transport Protocol[SXA] 93 AX.25 AX.25 Frames [BK29] 94 IPIPIP-within-IP Encapsulation Protocol[JI6]
95 MICP Mobile Internetworking Control Pro.[JI6] 96 SCC-SPSemaphore Communications Sec. Pro. [HXH] 97 ETHERIP Ethernet-within-IP Encapsulation [RFC3378]
98 ENCAPEncapsulation Header [RFC1241,RXB3] 99any private encryption scheme [IANA] 100 GMTP GMTP [RXB5] 101 IFMP Ipsilon Flow Management Protocol[Hinden] 102 PNNI PNNI over IP
103 PIMProtocol Independent Multicast 104 ARIS ARIS
105 SCPS SCPS
106 QNXQNX
107 A/NActive Networks
108 IPCompIP Payload Compression Protocol
109 SNPSitara Networks Protocol
110 Compaq-Peer Compaq Peer Protocol 111 IPX-in-IP IPX in IP
112 VRRP Virtual Router Redundancy Protocol
113 PGM PGM Reliable Transport Protocol
114 any 0-hop protocol
115 L2TP Layer Two Tunneling Protocol
116 DDX D-II Data Exchange (DDX)
117 IATP Interactive Agent Transfer Protocol 118 STPSchedule Transfer Protocol
119 SRPSpectraLink Radio Protocol
120 UTIUTI
121 SMP Simple Message Protocol
122 SM SM
123 PTPPerformance Transparency Protocol
124 ISIS over IPv4
125 FIRE 126 CRTP Combat Radio Transport Protocol
127 CRUDPCombat Radio User Datagram
128 SSCOPMCE
129 IPLT
130 SPSSecure Packet Shield
131 PIPE Private IP Encapsulation within IP
132 SCTP Stream Control Transmission Protocol133 FCFibre Channel
134 RSVP-E2E-IGNORE
135 Mobility Header
136 UDPLite
137 MPLS-in-IP
138-252 Unassigned
253 Use for experimentation and testing
254 Use for experimentation and testing 255 Reserved
[Callon] [Farinacci] [Feldman] [Durst] [Hunter] [Braden][RFC2393] [Sridhar] [Volpe] [Lee] [RFC3768][Speakman] [IANA] [Aboba][Worley] [Murphy][JMP][Hamilton] [Lothberg] [Ekblad][Crowcroft][Welzl][Przygienda][Partridge] [Sautter] [Sautter][Waber] [Hollbach] [McIntosh] [Petri][Stewart][Rajagopal] [RFC3175] [RFC3775][RFC3828][RFC4023][IANA][RFC3692] [RFC3692] [IANA]
相关中文解释:
十进制 关键字协议
======= ======================= 0 HOPOPTIPv6 逐跳选项
1 ICMP Internet 控制消息 2 IGMP Internet 组管理
3 GGP网关对网关
4 IP IP 中的 IP(封装) 5 ST 流
6 TCP传输控制
7 CBTCBT
8 EGP外部网关协议
9 IGP任何专用内部网关 (Cisco 将其用于 IGRP)
10 BBN-RCC-MON BBN RCC 监视
11 NVP-II网络语音协议
12 PUPPUP
13 ARGUS ARGUS
14 EMCON EMCON
15 XNET 跨网调试器
16 CHAOS Chaos
17 UDP用户数据报
18 MUX多路复用
19 DCN-MEAS DCN 测量子系统
20 HMP主机监视
21 PRM数据包无线测量
22 XNS-IDP XEROX NS IDP
23 TRUNK-1 第 1 主干
24 TRUNK-2 第 2 主干
25 LEAF-1第 1 叶
26 LEAF-2第 2 叶
27 RDP可靠数据协议
28 IRTP Internet 可靠事务 29 ISO-TP4 ISO 传输协议第 4 类 30 NETBLT批量数据传输协议 31 MFE-NSP MFE 网络服务协议 32 MERIT-INPMERIT 节点间协议 33 SEP顺序交换协议
34 3PC第三方连接协议
35 IDPR 域间策略路由协议 36 XTPXTP
37 DDP数据报传送协议
38 IDPR-CMTPIDPR 控制消息传输协议 39 TP++ TP++ 传输协议
40 IL IL 传输协议
41 IPv6 Ipv6
42 SDRP 源要求路由协议
43 IPv6-Route IPv6 的路由标头
44 IPv6-FragIPv6 的片断标头
45 IDRP 域间路由协议
46 RSVP 保留协议
47 GRE通用路由封装
48 MHRP 移动主机路由协议
49 BNABNA
50 ESPIPv6 的封装安全负载 51 AH IPv6 的身份验证标头 52 I-NLSP集成网络层安全性 TUBA 53 SWIPE 采用加密的 IP
54 NARP NBMA 地址解析协议
55 MOBILEIP 移动性
56 TLSP 传输层安全协议
使用 Kryptonet 密钥管理
57 SKIP SKIP
58 IPv6-ICMP用于 IPv6 的 ICMP
59 IPv6-NoNxt 用于 IPv6 的无下一个标头 60 IPv6-OptsIPv6 的目标选项
61 任意主机内部协议
62 CFTP CFTP
63 任意本地网络
64 SAT-EXPAKSATNET 与后台 EXPAK 65 KRYPTOLANKryptolan
66 RVDMIT 远程虚拟磁盘协议
67 IPPC Internet Pluribus 数据包核心 68 任意分布式文件系统 69 SAT-MON SATNET 监视
70 VISA VISA 协议
71 IPCV Internet 数据包核心工具 72 CPNX 计算机协议网络管理 73 CPHB 计算机协议检测信号 74 WSN王安电脑网络
75 PVP数据包视频协议
76 BR-SAT-MON 后台 SATNET 监视
77 SUN-NDSUN ND PROTOCOL-Temporary 78 WB-MONWIDEBAND 监视
79 WB-EXPAK WIDEBAND EXPAK
80 ISO-IPISO Internet 协议
81 VMTP VMTP
篇三:GRE、PPTP、L2TP隧道协议对比介绍
GRE、PPTP、L2TP隧道协议介绍(转) 在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。GRE将用户数据包封装到携带数据包中。因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接
Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.). ? Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger包头之间, 在GRE包头中定义了传输的协议
? Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的). ?
GRE的特点:
?
?
?
?
? GRE是一个标准协议 支持多种协议和多播 能够用来创建弹性的VPN 支持多点隧道 能够实施QOS
GRE的缺点:
?
?
?
?
? 缺乏加密机制 没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive) 隧道很消耗CPU 出现问题要进行DEBUG很困难 MTU和IP分片是一个问题
配置:
这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。两端配置的tunnel ID必须配置相同。
在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是否还活着
GRE隧道
GRE建立的是简单的(不进行加密)VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用IPSec)的GRE隧道,这样可以为这些协议提供安全性。(相关配置请参看GRE over IPSec)网状连接(Full-Mesh)
由于GRE是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种Hub-and-spoke的拓扑形式
但是可以通过使用NHRP(Next-Hop Resolution Protocol)来自动建立全网状拓扑。(相关配置请参看NHRP 配置全网状互联GRE隧道)
VPDN简介
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN有下列两种实现方式:
1. 网络接入服务器(NAS)通过隧道协议,与 VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。
2. 客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限制,不需ISP介入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。
VPDN隧道协议可分为PPTP、L2F和L2TP三种Point to Point Tunneling Protocol(PPTP)
点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术, 它工作在第二层。通过该协议,远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows 98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地
ISP,通过Internet安全链接到公司网络。
PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该 IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。
PPTP Access Concentrator (PAC):接入服务商,允许拨号接入连接(通常是由ISP担任,而且不需要ISP的协助来建立隧道)
? PPTP Network Server (PNS):通常是PPTP服务器或者路由器用来建立PPTP隧道
? Microsoft Point-to-Point Encryption (MPPE) :和IPSec一样,是一种数据加密协议,用来为PPP拨号连接传输的数据进行加密。MPPE使用RSA算法来进行加密,支持40-bit和128-bit的会话密钥 ?
PPTP只能通过PAC和PNS来实施,其它系统没有必要知道PPTP。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。
PPTP VPN 协商过程:
1. 客户端(笔记本)通过PPP建立到ISP NAS的连接
2. 客户端建立到PNS(在这里是CISCO路由器)的PPTP连接
3. 客户端和PNS之间建立了一个2层的隧道。多种协议能够在这个隧道上传输
4. 使用MPPE加密PPP数据包,这些数据包接下来通过enhanced GRE封装,并在IP网络上传输
5. 在客户端和PPTP服务器之间建立第二个PPP over GRE会话
6. 数据能够在这个IP/GRE/PPP上传输
7. PPTP隧道使用不同的TCP连接来控制会话
PPTP使用GRE的扩展版本来传输用户PPP包。这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。