欢迎user
目 录
图 1 点到多点GRE隧道应用
传统的GRE隧道是一个点到点的连接。GRE应用于如图 1所示的企业网时,需要在企业中心节点和各个分支结构之间建立点到点的多条GRE隧道。当企业分支机构众多时,配置工作量巨大;而且,如果新增分支机构,则中心节点上需要增加配置,增加了网络维护的负担;此外,分支机构采用ADSL等方式拨号上网时,分支机构公网地址的不确定性也增加了中心节点配置的复杂度。
虽然动态VPN技术,如DVPN(Dynamic Virtual Private Network,动态虚拟私有网络),可以学习分支机构的公网地址,并动态地在中心节点和分支机构之间建立隧道,但是目前动态VPN技术没有统一的规范,各个厂商都采用私有协议实现动态VPN,无法互通。
点到多点GRE隧道很好地解决了上述问题,非常适用于分支机构众多的企业网络。在中心节点配置点到多点GRE隧道、分支机构配置传统的点到点GRE隧道,即可实现在中心节点和多个分支机构之间动态建立隧道。
点到多点GRE隧道的报文加解封装的过程与点到点GRE隧道相同,详细介绍请参见GRE技术介绍。
与点到点GRE隧道不同的是,点到多点GRE隧道不需要手工配置隧道目的地址,而是根据接收到的GRE报文动态学习隧道目的地址。如图 2所示,本端设备接收到对端设备发送的GRE报文后,从该报文中获取外层IP头的源地址和内层净荷(IP报文)的源地址,分别作为隧道的目的地址和报文的目的地址(即分支网络的内网地址),建立一条隧道表项。其中,报文目的地址的掩码长度可以手工配置。
通过点到多点GRE隧道转发报文时,设备根据报文的目的地址,在隧道表项中查找对应的隧道目的地址,使用此地址作为GRE封装外部IP头的目的地址。
图 3 分支机构的GRE隧道备份
如图 3所示,为了增加网络的可靠性,分支机构部署了多台网关设备,中心节点和多个网关设备之间分别建立GRE隧道,形成备份。
在分支机构的网关设备上创建GRE隧道时,可以设置GRE Key。中心节点在创建隧道表项的同时,从GRE报文中获取GRE Key,记录在隧道表项中。中心节点根据GRE Key来判断隧道表项的优先级,并根据优先级最高的隧道表项转发报文。未记录GRE Key的表项优先级最高;记录了GRE Key的表项,Key值越小优先级越高。
图 4 中心节点的GRE隧道备份
如图 4所示,为了提高网络的可靠性,中心网络也可以部署多台网关设备,通过为点到多点GRE隧道指定备份接口,实现中心网络设备的备份。当需要通过点到多点GRE隧道转发的报文匹配不到隧道表项时,设备将通过备份接口发送该报文。备份接口应配置为GRE over IPv4模式的隧道接口。
当设备上存在隧道表项时,备份接口也可以参与转发隧道的选择。如果没有为备份接口配置GRE Key,则其优先级低于所有的点到多点隧道表项;如果为备份接口配置了GRE Key,则与点到多点隧道表项中记录的GRE Key比较,Key值小的优先级高。
点到多点GRE隧道具有如下优点:
l 配置简单。中心节点上只需配置点到多点GRE隧道,无需在中心节点上创建到达每个分支机构的多条点到点GRE隧道。
l 维护代价小。增加分支机构时,中心节点会动态学习到新增分支机构的地址,并与其建立隧道,无需手工配置。
l 中心节点动态学习隧道的目的地址,分支机构是否动态获取公网地址(如采用ADSL等拨号方式接入网络)对中心节点的配置没有影响,使得分支机构的接入方式更加灵活。
l 以公有的GRE协议为基础,不需要特殊的协议或者私有协议来配合使用,具有较好的互通性。
l 对于分支机构使用的网关设备没有特殊要求,只要支持GRE协议即可,避免用户网络设备的重复投资。
l 支持分支机构和中心节点的GRE隧道备份,提高网络的可靠性。