第2章 GRE

2.1 GRE技術簡介

GRE是一項由Cisco公司開發的輕量級隧道協議，它能夠將各種網絡協議（IP協議與非IP協議）封裝到IP隧道內，并通過IP互連網絡在Cisco路由器間創建一個虛擬的點對點隧道鏈接。將GRE稱為輕量級隧道協議的主要原因是，GRE頭部較小，因此用它封裝數據效率高。但GRE沒有任何安全防護機制，因此后面章節中講到的GRE Over IPSec 和DMVPN技術，都是使用IPSec來對GRE進行保護的。

GRE是一種典型的三層隧道封裝技術，其封裝結構如圖2-1所示。

圖2-1 GRE的封裝結構

GRE封裝后的數據主要由4個部分組成。其中內層IP頭部和內層實際傳遞數據為封裝負載（封裝之前的數據包）。在內層IP頭部之前添加一個GRE頭部，再在GRE頭部之前，添加一個全新的外層IP頭部，從而實現GRE技術對原始IP數據包的封裝。

GRE 技術的主要問題就是對封裝負載不提供任何安全防護，在圖 2-2 所示的 GRE 抓包實例中，可以清楚地看到 GRE數據包的外層IP頭部、4個字節的GRE頭部，以及內層IP頭部和用戶數據。其中，內層 IP 頭部的源為 66.1.1.2，目的是66.1.1.1，用戶數據為ICMP數據包，這也再次證明GRE技術不對它包裹的數據進行任何安全防護，我們可以通過抓包技術輕松地獲取GRE傳輸的數據。

圖2-2 GRE抓包實例分析