华为 GRE实验（GRE隧道）

每日一句：
We are all in the gutter, but some of us arelooking at the stars.
我们都生活在阴沟里，但仍有人仰望星空。
——————奥斯卡*王尔德

实验拓扑：

要求：

公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流

实验分析：

使用ipsec加密gre隧道是现网中比较常用的VPN部署，它的加密方式分为两种：
1、可以使用IPsec来加密隧道进行传输，称为IPsec over GRE
2、加密数据流后从隧道传输，称为GRE over IPsec
下面将配置一个简单的IPsec over GRE实验

第一步配置路由器ip地址：

R1:
GigabitEthernet0/0/0 192.168.10.1/24

R2:
GigabitEthernet0/0/0 192.168.10.2/24
GigabitEthernet0/0/1 1.1.1.2/24

R3:
GigabitEthernet0/0/0 1.1.1.3/24
GigabitEthernet0/0/1 2.2.2.3/24

R4:
GigabitEthernet0/0/0 2.2.2.4/24
GigabitEthernet0/0/1 192.168.20.4/24

R5:
GigabitEthernet0/0/0 192.168.20.5/24

第二步，在R2和R4配置默认路由：
R2:

ip route-static 0.0.0.0 0.0.0.0 1.1.1.3

R4：

ip route-static 0.0.0.0 0.0.0.0 2.2.2.3

我们来测试下公网的连通性哈

两端配置GRE vpn 隧道实现内网连通性：

R2:

interface Tunnel0/0/1                 //进入tunne 0隧道
 destination 2.2.2.4                    /隧道的源地址既 实际发送报文的接口IP地址
  **//注意 有可能打成  description ，大家细心千万要注意**
 ip address 192.168.1.1 255.255.255.0         //隧道ip
 tunnel-protocol gre                   //  封装的协议   
 source 1.1.1.2                          //设置gre本端 ，本端公网地址

R4:

interface Tunnel0/0/0                 //进入tunne 0隧道
 destination 1.1.1.2                   //设置gre对端 ，必须是对端公网地址
 ip address 192.168.1.2 255.255.255.0         //隧道ip
 tunnel-protocol gre                   //  封装的协议   
 source 2.2.2.4                        //设置gre本端 ，本端公网地址

[zc-r4]display interface Tunnel 0/0/0         //查看tun 0接口信息

检查隧道ip的连通性：

ping 2.2.2.4 

配置路由：

静态或ospf,rip等，该实验使用ospf路由的方式引流到gre隧道中（两端都要配置 (静态路由有点绕哈哈哈 ，就ospf把)
R2:

[zc-r2-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.10.0 0.0.0.255 

R4:

[zc-r4-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 4.4.4.4 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.20.0 0.0.0.255

R1:

ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 192.168.10.0 0.0.0.255

R5：

ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 192.168.20.0 0.0.0.255

这时候发现它走的隧道

gre安全机制

GRE隧道的安全性，可以对GRE隧道两端进行端到端校验或者设置GRE隧道的识别关键字，通过这种安全机制防止错误识别、接收其它地方来的报文。
使能GRE隧道的校验和功能
[AR2-Tunnel0/0/1]gre checksum
配置GRE隧道的识别关键字
如果在隧道两端的Tunnel接口配置识别关键字，则必须指定相同的识别关键字；或隧道两端都不配置此命令。如果使用plain选项，识别关键字将以明文形式保存在配置文件中，存在安全隐患。建议使用cipher选项，将识别关键字加密保存。

[AR2-Tunnel0/0/1]gre key 5201314
1.4.2 GRE的Keepalive检测功能
使用Keepalive功能可以周期地发送Keepalive探测报文给对端，及时检测隧道连通性。若对端可达，则本端会收到对端的回应报文；否则，收不到对端的回应报文，关闭隧道连接。
Keepalive功能是单向的，只要在隧道一端配置Keepalive，该端就具备Keepalive功能，而不要求隧道对端也具备该功能。为了使隧道两端都能检测对端是否可达，建议在隧道两端都使Keepalive功能

[AR2-Tunnel0/0/1]keepalive period 5 retry-times 3
#配置5s发送一次，重试次数3次，通过在接口下disp keepalive packets count命令可查看发送了多少个keepalive报文