第2章 GRE

2.1 GRE技術(shù)簡介

GRE是一項(xiàng)由Cisco公司開發(fā)的輕量級隧道協(xié)議，它能夠?qū)⒏鞣N網(wǎng)絡(luò)協(xié)議（IP協(xié)議與非IP協(xié)議）封裝到IP隧道內(nèi)，并通過IP互連網(wǎng)絡(luò)在Cisco路由器間創(chuàng)建一個(gè)虛擬的點(diǎn)對點(diǎn)隧道鏈接。將GRE稱為輕量級隧道協(xié)議的主要原因是，GRE頭部較小，因此用它封裝數(shù)據(jù)效率高。但GRE沒有任何安全防護(hù)機(jī)制，因此后面章節(jié)中講到的GRE Over IPSec 和DMVPN技術(shù)，都是使用IPSec來對GRE進(jìn)行保護(hù)的。

GRE是一種典型的三層隧道封裝技術(shù)，其封裝結(jié)構(gòu)如圖2-1所示。

圖2-1 GRE的封裝結(jié)構(gòu)

GRE封裝后的數(shù)據(jù)主要由4個(gè)部分組成。其中內(nèi)層IP頭部和內(nèi)層實(shí)際傳遞數(shù)據(jù)為封裝負(fù)載（封裝之前的數(shù)據(jù)包）。在內(nèi)層IP頭部之前添加一個(gè)GRE頭部，再在GRE頭部之前，添加一個(gè)全新的外層IP頭部，從而實(shí)現(xiàn)GRE技術(shù)對原始IP數(shù)據(jù)包的封裝。

GRE 技術(shù)的主要問題就是對封裝負(fù)載不提供任何安全防護(hù)，在圖 2-2 所示的 GRE 抓包實(shí)例中，可以清楚地看到 GRE數(shù)據(jù)包的外層IP頭部、4個(gè)字節(jié)的GRE頭部，以及內(nèi)層IP頭部和用戶數(shù)據(jù)。其中，內(nèi)層 IP 頭部的源為 66.1.1.2，目的是66.1.1.1，用戶數(shù)據(jù)為ICMP數(shù)據(jù)包，這也再次證明GRE技術(shù)不對它包裹的數(shù)據(jù)進(jìn)行任何安全防護(hù)，我們可以通過抓包技術(shù)輕松地獲取GRE傳輸?shù)臄?shù)據(jù)。

圖2-2 GRE抓包實(shí)例分析