gre橋接網路

A. 什麼是「GRE」協議

GRE(Generic Routing Encapsulation) 通用路由封裝是對某些網路層協議(如: IP , IPX , Apple Talk等)的數據報進行封裝，使這些被封裝的數據報能夠在另一個網路層協議(如IP)中傳輸。

GRE可以實現多協議的本地網通過單一協議的骨幹網傳輸的服務,擴大了網路的工作范圍,包括哪些路由網關有限的協議，如IPX包最多可以轉發16次（即經過16個路由器），而在一個Tunnel連接中看上去只經過一個路由器將一些不能連續的子網連接起來。

GRE協議實際上是一種承載協議，它提供了將一種協議的報文封裝在另一種協議報文中的機制，使報文能夠在異種網路中傳輸，異種報文傳輸的通道稱為tunnel。

IP協議既可以作為傳遞協議，也可以作為負載協議，在TCP/IP網路中，IP協議一般是作為傳遞協議，封裝和傳輸其他協議的報文。

Tunnel是一個虛擬的點對點的連接，它提供了一條通路使封裝的數據報能夠在這個通路上傳輸，並且在一個Tunnel的兩端分別對數據報進行封裝及解封。

在最簡單的情況下，系統接收到一個需要封裝和路由的數據報,稱之為負載報文。這個有效報文首先被GRE封裝，稱之為GRE報文，這個報文接著被封裝在IP協議中，然後完全由IP 層負責此報文的轉發。

B. 什麼是GRE VPN跟pptp/l2tp有什麼區別

L2TP VPN與PPTP VPN有七個不同點：

1、PPTP要求Internet是一個IP網路，L2TP只需要隧道媒體提供面向數據包的點到點連接，L2TP可用於IP（使用UDP）、幀中繼永久虛擬電路（PVCs）、X.25虛擬電路（VCS）或ATM VCS網路。

2、PPTP只能在兩個端點之間建立一個隧道，L2TP支持在端點之間使用多個隧道，使用L2TP，用戶可以為不同的服務質量創建不同的隧道。

3、L2TP可以提供報頭壓縮，當包頭被壓縮時，開銷佔4位元組，而在PPTP協議下，開銷佔6位元組。

4、從L2TP的包頭可以看出，L2TP本身不提供隧道驗證，隧道認證由PPP（PAP或CHAP）協議提供，雖然PPTP支持隧道驗證，

5、但PPTP本身是PPP的擴展，當L2TP或PPTP與IPSec一起使用時，IPSec可以提供隧道驗證，而不必在第2層協議上驗證隧道。

6、L2TP接入集中器（LAC）是一種附網設備，具有PPP端系統和l2tpv2協議的處理能力，它一般是一個網路接入伺服器軟體，在遠程客戶端完成網路接入服務的功能。

7、L2TP網路伺服器（LNs）是用來處理L2TP協議伺服器的軟體。

C. VPN相關技術

當您通過Internet使用VPN時，它會在兩個設備/網路之間創建專用且加密的隧道。現在作為VPN，你很難對數據進行竊聽，即使它被侵入，因為這是數據被加密，從返源這個加密數據中獲取任何信息幾乎是不可能的。有幾種VPN隧道協議，如PPTP（點對點隧道協議），L2TP（第二層隧道協議），IPSec（Internet協議安全），SSL（安全套接字層）等，用於創建VPN隧道。

IPSec實現

工作於TCP/IP第三層IP層上網路數據安全地一整套體系結構；包括網路認證協議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，網際網路密鑰交換又稱isakmp）和用於網路認證及加密的一些演算法等。其中，AH協議和ESP協議用於提供安全服務，IKE協議用於密鑰交換。

整個IPSec VPN地實現基本簡化為兩個SA協商完成

SA（security association）：是兩個通信實體經協商建立起來地一種協議，它們決定了用來保護數據包安全地IPsec協議，轉碼方式，密鑰，以及密鑰地有效存在時間等等

IKE（isakmp）SA： 協商對IKE數據流進行加密以及對對等體進行驗證地演算法（對密鑰地加密和peer地認證） 對等體之間只能存在一個

第一階段：建立ISAKMPSA協商的是以下信息：

1、對等體之間採用何種方式做認證，是預共享密鑰還是數字證書。

2、雙方使用哪種加密演算法（DES、3DES）

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、雙方使用哪種Diffie-Hellman密鑰組

5、使用談大哪種協商模式（主模式或主動模式）

6、協商SA的生存期

IPSec SA： 協商對對等體之間地IP數據流進行加密地演算法  對等體之間可以存在多個

第二階段：建立IPsecSA協商的是以下信息：

1、雙方使用哪種封裝技術，AH還是ESP

2、雙方使用哪種加密演算法

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、使用哪種傳輸模式，是隧道模式還是傳輸模式

5、協商SA的生存期

名詞解釋：

AH協議（IP協議號為51）： 提供數據源認證、數據完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用於傳輸非機密數據。AH的含世豎工作原理是在每一個數據包上添加一個身份驗證報文頭，此報文頭插在標准IP包頭後面，對數據提供完整性保護。可選擇的認證演算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP協議（IP協議號為50）： 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標准IP包頭後面添加一個ESP報文頭，並在數據包後面追加一個ESP尾。與AH協議不同的是，ESP將需要保護的用戶數據進行加密後再封裝到IP包中，以保證數據的機密性。常見的加密演算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1演算法保證報文的完整性和真實性。

IPSec有兩種工作模式：

隧道（tunnel）模式： 用戶的整個IP數據包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩個安全網關之間的通訊。

傳輸（transport）模式： 只是傳輸層數據被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常，傳輸模式應用在兩台主機之間的通訊，或一台主機和一個安全網關之間的通訊。

1. 數據認證

數據認證有如下兩方面的概念：

身份認證：身份認證確認通信雙方的身份。支持兩種認證方法：預共享密鑰（pre-shared-key）認證和基於PKI的數字簽名（rsa-signature）認證。

身份保護：身份數據在密鑰產生之後加密傳送，實現了對身份數據的保護。

2. DH

DH（Diffie-Hellman，交換及密鑰分發）演算法是一種公共密鑰演算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據，計算出共享的密鑰。即使第三者（如黑客）截獲了雙方用於計算密鑰的所有交換數據，由於其復雜度很高，不足以計算出真正的密鑰。所以，DH交換技術可以保證雙方能夠安全地獲得公有信息。

3. PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，並不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系。對於IPsec，是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH演算法保障的。

IKE的交換過程

IKE使用了兩個階段為IPsec進行密鑰協商並建立SA：

第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個ISAKMP SA。第一階段有主模式（Main Mode）和野蠻模式（Aggressive Mode）兩種IKE交換方法。

第二階段，用在第一階段建立的安全隧道為IPsec協商安全服務，即為IPsec協商具體的SA，建立用於最終的IP數據安全傳輸的IPsec SA。

如圖2-1所示，第一階段主模式的IKE協商過程中包含三對消息：

l 第一對叫SA交換，是協商確認有關安全策略的過程；

l 第二對消息叫密鑰交換，交換Diffie-Hellman公共值和輔助數據（如：隨機數），密鑰材料在這個階段產生；

l 最後一對消息是ID信息和認證數據交換，進行身份認證和對整個第一階段交換內容的認證。

野蠻模式交換與主模式交換的主要差別在於，野蠻模式不提供身份保護，只交換3條消息。在對身份保護要求不高的場合，使用交換報文較少的野蠻模式可以提高協商的速度；在對身份保護要求較高的場合，則應該使用主模式。

IKE在IPsec中的作用

l 因為有了IKE，IPsec很多參數（如：密鑰）都可以自動建立，降低了手工配置的復雜度。

l IKE協議中的DH交換過程，每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程，保證了每個SA所使用的密鑰互不相關。

l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值，此數溢出後，為實現防重放，SA需要重新建立，這個過程需要IKE協議的配合。

l 對安全通信的各方身份的認證和管理，將影響到IPsec的部署。IPsec的大規模使用，必須有CA（Certificate Authority，認證中心）或其他集中管理身份數據的機構的參與。

l IKE提供端與端之間動態認證。

IPsec與IKE的關系

圖 5 IPsec與IKE的關系圖

從圖2-2中我們可以看出IKE和IPsec的關系：

l IKE是UDP之上的一個應用層協議，是IPsec的信令協議；

l IKE為IPsec協商建立SA，並把建立的參數及生成的密鑰交給IPsec；

l IPsec使用IKE建立的SA對IP報文加密或認證處理。

SSL VPN簡介

SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術，移動辦公人員（在SSL VPN中被稱為遠程用戶）使用SSL VPN可以安全、方便的接入企業內網，訪問企業內網資源，提高工作效率。

SSL VPN技術優勢：

無客戶端的便捷部署

應用層接入的安全保護

企業延伸的效率提升

SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。

SSL VPN實現私密性 完整性 不可否認 源認證

SSL VPN的特點：

採用B/S架構，遠程用戶無需安裝額外軟體，可直接使用瀏覽器訪問內網資源。

SSL VPN可根據遠程用戶訪問內網資源的不同，對其訪問許可權進行高細粒度控制。

提供了本地認證、伺服器認證、認證匿名和證書挑戰多種身份認證方式，提高身份認證的靈活性。

可以使用主機檢查策略。

緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧，加固用戶的信息安全。

PN類型詳解 PPTP VPN

PPTP：點對點隧道協議，一種支持多協議虛擬專用網路（VPN）的網路技術，工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議（PPP）為基礎，PPTP將PPP幀封裝成IP數據包，以便於在互聯網上傳輸並可以通過密碼驗證協議（PAP），可擴展認證協議（EAP）增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網路資源。

PPTP VPN的實現需要：客戶機和伺服器之間必須有聯通並且可用的IP網路。

該VPN可在Windows、Linux環境下搭建，或者通過配置路由器來實現。

L2F：第二層轉發協議。 用於建立跨越公共網路的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了一個用戶與企業客戶網路間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術，使得把原始撥號伺服器的位置和撥號協議連接終止與提供的網路訪問位置分離成為可能。

L2TP VPN

L2TP：二層隧道協議，結合PPTP與L2F兩種二層隧道協議的優點，為眾多公司接受。 L2TP擴展了PPP模型，它使用PPP來封裝用戶數據，允許多協議通過隧道傳送，作為安全性增強，L2TP與IPSec（Internet協議安全性）結合——L2TP/IPsec， L2TP基於UDP協議，因此L2TP不保證數據消息的可靠投遞，若數據丟失，不予重傳。

L2TP 的實現：與PPTP不同， PPTP要求網路為IP網路，L2TP要求面向數據包的點對點連接。

該VPN可在Windows、Linux環境下搭建，或者通過配置防火牆、路由器來實現。

MPLS VPN

MPLS：多協議標簽交換（MPLS）是一種用於快速數據包交換和路由的體系，它為網路數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。

它提供了一種方式，將IP地址映射為簡單的具有固定長度的標簽，用於不同的包轉發和包交換技術。

傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網路間數據流在公網上的傳送。而LSP本身就是公網上的隧道，所以用MPLS來實現VPN有天然的優勢。

基於MPLS的VPN就是通過LSP將私有網路的不同分支聯結起來，形成一個統一的網路。基於MPLS的VPN還支持對不同VPN間的互通控制。

MPLSVPN網路主要由CE、PE和P等3部分組成：

CE（Customer Edge）：用戶網路邊緣設備，可以是路由器 交換機 主機。

PE（Provider Edge）：是服務商邊緣路由器，位於骨幹網路。

P（Provider）：是服務提供商網路中的骨幹路由器

SSL工作Socket層,IPsec工作在網路層.

SSL(安全套接層)是一個基於標準的加密協議，提供加密和身份識別服務。SSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網路瀏覽器中通過HTTPS實現的。然而，SSL是一種透明的協議，對用戶基本上是不可見的，它可應用於任何基於TCP/IP的應用程序。

  通用路由封裝協議GRE（Generic Routing Encapsulation） 提供了 將一種協議的報文封裝在另一種協議報文中 的機制，是一種 隧道封裝技術 。GRE可以 封裝組播數據 ，並可以 和IPSec結合使用 ，從而保證語音、視頻等組播業務的安全

 IPSec  用於在兩個端點之間提供安全的IP通信，但只能加密並傳播單播數據，無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建實現企業總部和分支間安全的連接

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建,實現企業總部和分支間安全的連接

隧道介面

 GRE隧道是通過隧道兩端的 Tunnel介面 建立的，所以需要在隧道兩端的設備上分別配置 Tunnel介面 。對於GRE的Tunnel介面，需要指定其協議類型為GRE、源地址或源介面、目的地址和Tunnel介面IP地址

  隧道介面（tunnel介面） 是為實現報文的封裝而提供的一種點對點類型的虛擬介面 與loopback介面類似 都是一種 邏輯接

 GRE隧道介麵包含 源地址 、 目的地址 和 隧道介面IP地址 和 封裝類型

 Tunnel的源地址：配置報文傳輸協議中的源地址。

 當配置地址類型時，直接作為源地址使用

 當配置類型為源介面時，取該介面的IP地址作為源地址使用

  Tunnel的目的地址 ：配置報文傳輸協議中的目的地址

  Tunnel介面IP地址 ：為了在Tunnel介面上啟用動態路由協議，或使用靜態路由協議發布Tunnel介面，需要為Tunnel介面分配IP地址。Tunnel介面的IP地址可以不是公網地址，甚至可以借用其他介面的IP地址以節約IP地址。但是當Tunnel介面借用IP地址後，該地址不能直接通過tunnel口互通，因此在借用IP地址情況下，必須配置靜態路由或路由協議先實現借用地址的互通性，才能實現Tunnel的互通。

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一種用於承載PPP報文的隧道技術，該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。

L2TP VPN的優點：

身份驗證機制，支持本地認證，支持Radius伺服器等認證方式

多協議傳輸，L2TP傳輸PPP數據包，PPP本身可以傳輸多協議，而不僅僅是IP可以在PPP數據包內封裝多種協議

計費認證地址分配

可在LAC和LNS兩處同時計費，即ISP處（用於產生賬單）及企業網關（用於付費及審計）。L2TP能夠提供數據傳輸的出入包數、位元組數以及連接的起始、結束時間等計費數據，可根據這些數據方便地進行網路計費

LNS可放置於企業網的USG之後，對遠端用戶地址進行動態分配和管理，可支持私有地址應用

不受NAT限制穿越，支持遠程接入，靈活的身份驗證及時以及高度的安全性，L2TP協議本身並不提供連接的安全性，但它可以依賴於PPP提供的認證（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP和PPTP區別：

L2TP：公有協議、UDP1701、支持隧道驗證，支持多個協議，多個隧道，壓縮位元組，支持三種模式

PPTP：私有協議、TCP1723、不支持隧道驗證，只支持IP、只支持點到點

PPTP：

點對點隧道協議（PPTP）是由包括Microsoft和3com等公司組成的PPTP論壇開發的，一種點對點隧道協議，基於拔號使用的PPP協議使用PAP或CHAP之類的加密演算法，或者使用Microsoft的點對點加密演算法MPPE。

L2TP：

第二層隧道協議（L2TP）是IETF基於L2F（Cisco的2層轉發協議）開發的PPTP後續版本，是一種工業標准Internet隧道協議。

兩者的主要區別主要有以下幾點：

PPTP只能在兩端間建立單一隧道，L2TP支持在兩端點間使用多隧道，這樣可以針對不同的用戶創建不同的服務質量

L2TP可以提供隧道驗證機制，而PPTP不能提供這樣的機制，但當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，不需要在第二層協議上提供隧道驗證機制

PPTP要求互聯網路為IP網路，而L2TP只要求隧道媒介提供面向數據包的點對點連接，L2TP可以在IP（使用UDP），FR，ATM，x.25網路上使用

L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（voerhead）佔用4個位元組，而PPTP協議下要佔用6個位元組