四种常见隧道协议:隧道协议说明第2层传输(L2F )思科专用虚拟专用拨号网络(VPDN )为了支持开发的隧道协议,拨号连接对公司网络是安全的点对点隧道协议(PPTP )代替L2TP由微软等制造商开发,为了使远程网络能够安全地向思科和微软传输数据取代专用于L2F和PPTP (功能集成)的通用路由封装(GRE )思科,建立虚拟点对点链路,将各种协议分组GRE隧道的特征封装在IP隧道中。 转发) IP )因为在报头GRE报头中包含了协议类型字段,所以能够通过隧道转发任意第3层协议的数据。 GRE是无状态的,也没有流量控制机制。 GRE不提供安全机制。 GRE会带来额外的开销,每个分组至少24字节。 GRE配置:在R1和R3上构建了GRE隧道。 接口IP配置如下:
R1 interface tunnel0IP address 10.1.1255.255.255.0 tunnel source 100.1.1.1 tunnel destination 200.1.3 IP route 172.16.1.0255.255 IP address 10.1.1.3255.255.255.0 tunnel source 200.1.0.0.0.0200.1.1.2 IP route 192.168.1.1
GRE通过NAT :删除R1的隧道配置,将R4更改为路由器,建立环回端口L0,然后在R4和R3上建立GRE隧道。 结构如下。
R1 R1端执行NAT,GRE被封装而没有传输层端口。 尝试穿越NAT时,消息的原始IP地址会改变。 当分组返回R1时,由于封装的消息没有端口号,所以R1不能发送回正确的目的地,以静态NAT映射隧道源IP。 这里映射的IP地址是100.1.1.4
ipnatinsidesourcelist 1接口以太网1/1 overloadipnatinsidesourcestatic 192.168.1.4100.1.1.4 access-list1permit4.4.4.4access-list1permit 192.168.168 . 另一侧隧道的NAT转换后的IP地址是配完NAT之后记得配置一下出口和进口
接口隧道0 IP地址10.1.1.3255.255.255.0隧道源200.1.1.3隧道目标100.1.1.4 ipnatinsion 1 overload access-list1permit 172.16.1.0.0.0.255 IP route0.0.0.0. 200.1.1.2 IP route4.4.4.4aa nation 200.1.1.3 IP route0.0.0.0255.0 tunnel 0最后,我们将源从R4 ping到R5,在R4中键入ping 172.16.1.5 source loopback 0,然后ping