华为、华三、思科高级网络工程师必经之路(6)我们的爱如同TCP连接，始终可靠，永不掉线——基于华为ENSP的VPN、GRE通用路由封装保姆级别详解

image-20220930150457489

1.啥是神奇的VPN

• VPN（Virtual Private Network，虚拟专用网络）是一种通过公共网络（如互联网）建立安全、加密的私密网络连接的技术。它使得用户或远程设备能够在不直接暴露给互联网的情况下访问内部企业或私人网络，仿佛他们的设备直接连接在该网络内部一样。
• VPN主要的作用是提供一个安全、加密的通信隧道，用于保障在公共网络上传输的数据的隐私性和完整性。它通常用于远程办公、跨地域的企业内部通信、以及在不安全的网络（如公共Wi-Fi）中保护数据传输。

1.2VPN的工作原理以及其对应的具体流程

• VPN通过在公共网络上建立一条“隧道”来实现对数据的加密保护。这个隧道可以保证数据在传输过程中不被泄露或篡改。通常，VPN会通过客户端和VPN服务器的连接来工作
• 具体流程如下所示：

1.2.1建立连接：

• 用户设备（如电脑或智能手机）通过VPN客户端向VPN服务器发起连接请求。

1.2.2身份验证：

• 在连接之前，VPN客户端会通过用户名、密码、证书或其他认证机制验证用户身份，确保连接请求是合法的。

1.2.3加密与隧道建立：

• 通过使用加密协议，VPN客户端和服务器建立一个安全隧道。这个隧道中的所有通信都会被加密，防止数据被截获或篡改。
• 隧道的建立通常会使用一些标准的加密协议，如IPsec、SSL/TLS、L2TP等。

1.2.4数据传输：

• 一旦隧道建立，用户设备的数据会通过加密通道传输到VPN服务器，VPN服务器再将数据发送到目的网络。
• 所有通过该隧道的数据都被加密，并且VPN服务器充当着中间人角色，确保数据的安全。

1.2.5访问资源：

• 通过VPN连接，用户可以访问与企业内部网络相同的资源，例如文件服务器、打印机、应用程序等，仿佛他们直接连接在企业内部网络中一样。

1.2.6断开连接：

• 当用户不再需要VPN连接时，可以手动或自动断开，终止隧道和加密通信。

2. VPN的主要类型[简介一下，后续将会进行详解]

2.1. 远程访问VPN（Remote Access VPN）

远程访问VPN允许单个用户通过公共网络访问企业内部网络。用户可以通过Internet连接到VPN服务器，进而访问公司内网资源。这种类型的VPN通常适用于远程工作、旅行或分支机构的连接。

• 工作原理：用户设备（如笔记本、手机等）连接到互联网，然后通过VPN客户端软件连接到企业的VPN服务器，获得一个虚拟的内网IP地址。
• 常见应用：员工在外工作时远程连接到公司内网，进行文件访问、应用程序使用等操作。

2.2. 站点到站点VPN（Site-to-Site VPN）

站点到站点VPN用于连接两个或多个固定位置的网络，通常用于企业或分支机构之间的连接。它通过Internet连接不同地点的局域网（LAN），让远程办公的分支、办事处或数据中心像直接在同一网络一样进行通信。

• 工作原理：每个站点都部署VPN网关设备（如路由器或防火墙）。当数据在站点之间传输时，VPN网关会将数据加密并通过互联网传输。
• 常见应用：总部与分公司之间、数据中心与办公室之间的安全通信。

2.3. SSL VPN

SSL VPN（基于SSL协议的VPN）通过使用SSL（安全套接层）或TLS（传输层安全协议）加密来创建虚拟专用网络。SSL VPN通常通过标准的Web浏览器访问，因此不需要专用的VPN客户端。

• 工作原理：用户通过Web浏览器访问SSL VPN门户网站，通过用户名和密码进行身份验证，使用SSL/TLS加密进行通信。
• 常见应用：远程访问企业应用或文件服务器，通常用于无需复杂配置即可接入企业网络的情况。

2.4. MPLS VPN（多协议标签交换VPN）

MPLS VPN是一种基于MPLS（多协议标签交换）技术的VPN，用于连接多个站点的广域网。MPLS是一种用于加速数据包转发的技术，广泛应用于服务提供商提供的企业级VPN服务。

• 工作原理：MPLS VPN利用MPLS标签进行高效的路径选择和数据转发，提供可靠的多站点网络连接。
• 常见应用：大型企业、跨国公司使用，连接多个分支机构并提供高效、可扩展的网络服务。

3.正片开始核心机制---隧道机制（封装技术 ）

3.1GRE---通用路由封装

GRE（Generic Routing Encapsulation）概述

• GRE（Generic Routing Encapsulation，通用路由封装）是一种隧道协议，用于在IP网络中封装和转发不同类型的数据包。它是一种简单的隧道机制，通常用于在网络中传输多种类型的数据流量，比如IP数据包、非IP协议数据包等。GRE隧道可以在两台路由器之间建立，通过该隧道，数据包可以跨越不同的网络设备进行传输，从而支持广域网（WAN）连接、虚拟私有网络（VPN）等应用场景。
• GRE的工作机制很简单，它通过封装将原始数据包（如IP包、ARP包等）封装到一个新的IP包中进行传输，这使得不同类型的数据可以在IP网络上进行传输，而不需要关注底层网络的具体细节。

GRE隧道的工作原理

GRE协议的核心原理是通过“封装”将原始数据包封装进一个新的IP包中。具体的封装流程如下：

1. 原始数据包的封装：
   • GRE隧道协议会将要传输的原始数据包（例如一个IP数据包）封装到一个新的GRE头部和IP头部之间。
   • 在这个过程中，原始数据包的源地址、目的地址会被保留，并添加一个新的GRE头部和IP头部。
2. 封装后的数据包：
   • 封装后的数据包中，GRE头部指明了数据包的类型以及如何解封装（这通常是通过GRE头中的标志位进行标识）。然后，数据包会继续被封装在外部的IP包中，并加上源和目的IP地址。
3. 数据包的传输：
   • 封装后的数据包会通过网络传输，就像普通的IP数据包一样。路由器根据目的IP地址将该数据包转发至目标设备（通常是GRE隧道的另一端）。
4. 解封装：
   • 当数据包到达隧道另一端时，接收端的路由器会去掉外部IP包头和GRE头部，并将原始数据包还原出来，最终转发到目标主机。

三层隧道技术，并且是属于点到点的隧道。

image-20240323150651586

配置示例：

[r1]interface Tunnel 0/0/0  ---创建一个虚拟隧道接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24
[r1-Tunnel0/0/0]tunnel-protocol gre   ---定义隧道所使用的协议
[r1-Tunnel0/0/0]source 12.0.0.1   ---定义封装中的源地址信息
[r1-Tunnel0/0/0]destination 23.0.0.3  ---定义封装中的目的地址信息

测试隧道是否成功建立：

[r1]ping 192.168.3.3
  PING 192.168.3.3: 56  data bytes, press CTRL_C to break
    Reply from 192.168.3.3: bytes=56 Sequence=1 ttl=255 time=20 ms
    Reply from 192.168.3.3: bytes=56 Sequence=2 ttl=255 time=20 ms
    Reply from 192.168.3.3: bytes=56 Sequence=3 ttl=255 time=30 ms
    Reply from 192.168.3.3: bytes=56 Sequence=4 ttl=255 time=30 ms
    Reply from 192.168.3.3: bytes=56 Sequence=5 ttl=255 time=30 ms

注意：

• 一定要添加私网路由信息，将其导入到隧道接口

[r1]ip route-static 192.168.2.0 24 192.168.3.3
[r3]ip route-static 192.168.1.0 24 192.168.3.1

3.2GRE的keepalive（保活）机制

3.2.1Keepalive的工作原理

在GRE隧道中，Keepalive机制通过定时向隧道的另一端发送消息来判断隧道是否仍然正常工作。具体步骤如下：

1. 定时发送探测包：
   • 设备会周期性地通过GRE隧道发送Keepalive探测包。探测包内容通常非常简洁，只是确认隧道链路是否正常。
2. 接收回应：
   • GRE隧道的另一端收到探测包后，会立即发回一个回应包，以确认隧道的连通性。通常，这个回应包也非常简单，主要是确认隧道的健康状态。
3. 检测失联：
   • 如果一端在设定的时间内未能收到回应包（即超时），设备会认为隧道链路已断开，可能会采取重建隧道、重新计算路由等恢复措施。
4. 恢复机制：
   • 当隧道恢复正常（即对方回复了Keepalive包），设备可以通过调整路由或恢复流量来重新建立隧道的正常工作状态。

Keepalive的工作原理小结：

• keepalive机制是用来检测隧道对端是否可达。
• 当某端开启该机制后，会周期性发送keepalive报文，对端收到后会回复keepalive报文。当一定次数未收到回复报文，则认为该隧道不可用。（默认3次，每一次发送时间间隔为5秒）

3.2.2基础华为ensp的keepalive机制配置

image-20240323150651586

[r1-Tunnel0/0/0]keepalive 
[r1-Tunnel0/0/0]keepalive period 10 retry-times 5
	period：设置发送周期
	retry-times：重传次数