第2章 GRE

2.1 GRE技術(shù)簡介

GRE是一項由Cisco公司開發(fā)的輕量級隧道協(xié)議，它能夠?qū)⒏鞣N網(wǎng)絡(luò)協(xié)議（IP協(xié)議與非IP協(xié)議）封裝到IP隧道內(nèi)，并通過IP互連網(wǎng)絡(luò)在Cisco路由器間創(chuàng)建一個虛擬的點對點隧道鏈接。將GRE稱為輕量級隧道協(xié)議的主要原因是，GRE頭部較小，因此用它封裝數(shù)據(jù)效率高。但GRE沒有任何安全防護機制，因此后面章節(jié)中講到的GRE Over IPSec 和DMVPN技術(shù)，都是使用IPSec來對GRE進行保護的。

GRE是一種典型的三層隧道封裝技術(shù)，其封裝結(jié)構(gòu)如圖2-1所示。

圖2-1 GRE的封裝結(jié)構(gòu)

GRE封裝后的數(shù)據(jù)主要由4個部分組成。其中內(nèi)層IP頭部和內(nèi)層實際傳遞數(shù)據(jù)為封裝負(fù)載（封裝之前的數(shù)據(jù)包）。在內(nèi)層IP頭部之前添加一個GRE頭部，再在GRE頭部之前，添加一個全新的外層IP頭部，從而實現(xiàn)GRE技術(shù)對原始IP數(shù)據(jù)包的封裝。

GRE 技術(shù)的主要問題就是對封裝負(fù)載不提供任何安全防護，在圖 2-2 所示的 GRE 抓包實例中，可以清楚地看到 GRE數(shù)據(jù)包的外層IP頭部、4個字節(jié)的GRE頭部，以及內(nèi)層IP頭部和用戶數(shù)據(jù)。其中，內(nèi)層 IP 頭部的源為 66.1.1.2，目的是66.1.1.1，用戶數(shù)據(jù)為ICMP數(shù)據(jù)包，這也再次證明GRE技術(shù)不對它包裹的數(shù)據(jù)進行任何安全防護，我們可以通過抓包技術(shù)輕松地獲取GRE傳輸?shù)臄?shù)據(jù)。

圖2-2 GRE抓包實例分析