GRE（Generic Routing Encapsulation）概述

GRE是一种最传统的隧道协议，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果，为此，GRE需要完成多次封装，总共有3次，换句话说，就是在GRE隧道中传输的数据包都有3个包头，因为我们只谈IP协议，所以GRE中的IP数据包是一层套一层，总共有3个IP地址。GRE在实现隧道时，需要创建虚拟直连链路，GRE实现的虚拟直连链路可以认为是隧道，隧道是模拟链路，所以隧道两端也有IP地址，但隧道需要在公网中找到起点和终点，所以隧道的源和终点分别都以公网IP地址结尾，该链路是通过GRE协议来完成的，隧道传递数据包的过程分为3步：

1．接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。

2．将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。

3．将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。

GRE隧道中传输的数据包格式如下：

注：

★其中公网IP包头部分也称为传输协议（Transport Protocol）

★GRE会在原始IP数据包之外，额外多封装24字节或28字节，具体视GRE模式而定。 以下图为例，解释GRE传输数据过程：

GRE要在远程路由器之间创建虚拟直连链路，也就是隧道（Tunnel），如果没有该隧道，GRE不能完成隧道功能，隧道是GRE最基本的功能，也是GRE所有功能；上图环境中，当上海分公司R2将数据包IP地址封装为192.168.1.4发往北京分公司的R4时，GRE操作过程如下：

1．假设R1与R3的GRE虚拟直连链路（隧道）已经建立，隧道链路两端的地址分别为1.1.1.1和2.2.2.2，隧道两端的起源和终点分别为100.1.1.1和200.1.1.1。

2．R1收到目标IP为192.168.1.4的数据包后，将原始数据包当作乘客数据包封装进GRE协议中，并且添加GRE包头，包头中源IP为隧道本端地址1.1.1.1，包头中目标IP为隧道对端地址1.1.1.2，从而完成GRE数据包的封装。 3．在封装了GRE隧道地址的数据包外面封装GRE隧道起源IP地址，该IP地址为公网地址，即源IP为100.1.1.1，目标IP为隧道终点200.1.1.1，最后将数据包发出去。

数据包被发到Internet之后，所有路由器只根据数据包最外面的公网IP进行转发，也就是只根据公网目标IP地址200.1.1.1来转发，直到数据包到达公网IP的真正目的地后，即到达R3（IP：200.1.1.1）之后，公网IP包头才会被剥开，当R3剥开数据包的公网IP包头后，发现GRE包头，发现目标IP为1.1.1.2，从而得知自己就是GRE隧道的终点，所以继续将GRE包头剥开，最后发现目标IP地址为192.168.1.4，然后将数据包发往192.168.1.4（路由器R4）。 通过以上GRE过程，上海分公司R2直接通过私有IP地址192.168.1.4，最终成功与北京分公司R4通信。

GRE VPN配置实例

   示例1：

某个企业的2个站点，都接入到Internet，现在希望2个站点能够互通

GRE（Generic

Routing Encapsulation)

    GRE能够将一种三层协议的报文封装到另一种三层协议的报文中进行传输 

    GRE是一种隧道能力极强的技术，但它的安全性较差，没有对数据做加密（IPSec则可以加密）原理是将L3层部分当成数据部分，在外层加上一层ip头，数据到达PE1的隧道源端时，查找的目地IP（地址是PE2的隧道目地IP地址），然后就会走tunel0发送给PE2，PE2收到后拆掉tunel的头部后查看里面的L3层ip头，发现目的地址是自己连接的客户网络site2，就会将数据包交给客户网络site2，从而实现site之间的通信。

R1为PE1，R2为P，R3为PE2，两端PC分别模拟客户的两个site，要求进行GREvpn通信

隧道源端配置：

PE1(config)#intface f0/0

PE1(config-if)#ip add 192.168.1.1 255.255.255.0

PE1(config)#intface f0/1

PE1(config-if)#ip add 12.1.1.1 255.255.255.0

router eigrp 1              ISP内部IGP使用eigrp

network 12.0.0.0

no auto-summary

PE1(config)#int tunnel 0

PE1(config-if)#tunnel source 12.1.1.1

PE1(config-if)#tunnel destination 23.1.1.2

PE1(config-if)#ip add 10.0.0.1 255.255.255.0     用于tunnel隧道接口之间通信，必须在一个网段

PE1(config)#ip route 172.16.1.0 255.255.255.0 tunnel 0   告诉去往172.16.1.0/24的vpn数据包下一跳出接口走隧道

隧道目地端配置：

PE2(config)#intface f0/1

PE2(config-if)#ip add 172.16.1.1 255.255.255.0

PE2(config)#int tunnel 0

PE2(config-if)#tunnel source 23.1.1.2

PE2(config-if)#tunnel destination 12.1.1.1

PE2(config-if)#ip add 10.0.0.2 255.255.255.0

PE2(config)#ip route 192.168.1.0 255.255.255.0 tunnel 0

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

23.0.0.0/24 is subnetted, 1 subnets

D       23.1.1.0 [90/307200] via 12.1.1.2, 01:40:37, FastEthernet0/1

172.16.0.0/24 is subnetted, 1 subnets

S       172.16.1.0 is directly connected, Tunnel0

10.0.0.0/24 is subnetted, 1 subnets

C       10.0.0.0 is directly connected, Tunnel0

12.0.0.0/24 is subnetted, 1 subnets

C       12.1.1.0 is directly connected, FastEthernet0/1

C    192.168.1.0/24 is directly connected, FastEthernet0/0

PC1> show ip

NAME        : PC1[1]

IP/MASK     : 192.168.1.10/24

GATEWAY     : 192.168.1.1

DNS         :

MAC         : 00:50:79:66:68:00

LPORT       : 10000

RHOST:PORT  : 172.17.17.243:10001

MTU:        : 1500

PC1> ping 172.16.1.10

172.16.1.10 icmp_seq=1 timeout

172.16.1.10 icmp_seq=2 timeout

84 bytes from 172.16.1.10 icmp_seq=3 ttl=62 time=49.003 ms

84 bytes from 172.16.1.10 icmp_seq=4 ttl=62 time=49.003 ms

84 bytes from 172.16.1.10 icmp_seq=5 ttl=62 time=49.003 ms