2024年6月10日发(作者:)

隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧

道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第

二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层

封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。

L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进

行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定

义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提

供安全保障。

GRE、PPTP、L2TP隧道协议

在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供

Internet上的VPN功能。GRE将用户数据包封装到携带数据包中。因为支持多种协

议,多播,点到点或点到多点协议,如今,GRE仍然被使用。

在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对

端路由器的虚拟点对点连接

Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).

Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger

包头之间, 在GRE包头中定义了传输的协议

Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在

点对点的GRE连接中(GRE是无连接的).

GRE的特点:

GRE是一个标准协议

支持多种协议和多播

能够用来创建弹性的VPN

支持多点隧道

能够实施QOS

GRE的缺点:

缺乏加密机制

没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)

隧道很消耗CPU

出现问题要进行DEBUG很困难

MTU和IP分片是一个问题

配置:

这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。两端

配置的tunnel ID必须配置相同。

在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是

否还活着