ubantu与CentOS虚拟机之间搭建GRE隧道
|
|
目录
0. 前言
在学习ipsec过程中,一般都会涉及到ipsec的局限性:ipsec协议是一种点对点协议,不支持组播,也不能保护组播、广播报文。因此ipsec协议无法用于音视频会议等场合,此时通常的解决办法是采用GRE Over IPSec. 给出的解释是:GRE协议可以封装组播、广播报文,但是无法对业务内容进行加密;而ipsec可以对报文进行加密,但是无法封装组播和广播报文。因此将两种协议结合,因而GRE over IPSec协议应运而生。 但是我找了很多资料(其实没有多少),都没有找到为什么GRE协议支持封装组播和广播报文,而ipsec不行;他们作为点对点协议,为什么GRE可以而IPsec不行呢? 因为没有找到答案,所以不能证实自己的想法正确与否,于是通过搭建GRE隧道环境,学习Linux内核中GRE隧道的操作配置原则,希望能从中得到些许启发。
搭建GRE隧道环境实际上是很简单的,因为Linux内核已经支持了GRE隧道,因此直接在虚拟机(ubantu和CentOS)里进行简单的配置即可完成操作。
1. Linux内核支持的隧道类型
目前Linux内核已经支持多种隧道类型,包括:IPIP隧道,GRE隧道,... 。其余这几个我也没见过。当然除了这几种,还有ipsec协议,l2tp协议,可以的是我目前都还没有用过,实在是暴殄天物,罪过罪过
下面通过搭建两组拓扑环境,来学习GRE隧道的基本规则,然后在此基础上分析下GRE和IPSEC在组播和广播报文封装的表现出不同行为的可能原因(另写一遍文章喽)。
2. GRE隧道跨(公)网连接相同子网地址主机
2.1 拓扑环境:
家里设备有限,只有一台电脑,还是通过无线网卡来上网的,因此拓扑环境比较寒酸,其实这些并不重要,只需明白我的两台虚拟机Ubantu和CentOS通过桥接的方式连在一起,网络上可以通讯即可。
现在,我准备将两个地址分别为10.1.2.1/24、10.1.2.2/24的两台主机(假的,只是个IP地址而已)通过GRE隧道连接起来进行通讯。原则上这两个地址属于不同的子网中(Ubantu中的子网和CentOS中的子网,只是这两个子网的网段相同仅此而已),无法直接通讯。
2.1 ubantu配置:
首先,我确定了下该虚拟机中是否存在gre相关的接口,结果当然是没有了。
root@ubantu:/home/toney# ifconfig -a
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2409:8a00:18e9:810:141:383c:ac6f:8b11 prefixlen 64 scopeid 0x0<global>
inet6 2409:8a00:18e9:810:f8dd:500e:b1a:463b prefixlen 64 scopeid 0x0<global>
inet6 fe80::8e84:574c:7a8b:440a prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:fb:db:ad txqueuelen 1000 (Ethernet)
RX packets 3581 bytes 1030105 (1.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1177 bytes 114532 (114.5 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 160 bytes 12920 (12.9 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 160 bytes 12920 (12.9 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 02.1.1 添加GRE隧道
ip tunnel add Tunnel-1 mode gre remote 192.168.1.13 local 192.168.1.10
添加GRE隧道时,需要指定隧道的名称,我这里叫做Tunnel-1; 因为要搭建GRE类型隧道,因此mode为gre。 而GRE隧道的地址为192.168.1.13<========>192.168.1.10。
由于是第一次执行此命令,底层实际上安装上了gre隧道相关的驱动。用户只有在此基础上才能配置GRE隧道,不过,无需担心,内核自动完成。
如果在添加隧道时不指定remote和local地址,也是可以的,它实际上是只是安装gre隧道相关驱动。下面是添加隧道时没有指定remote和local地址时的结果:
root@ubantu:/home/toney# ip tunnel add Tunnel-1
cannot determine tunnel mode (ipip, gre, vti or sit)
root@ubantu:/home/toney# ifconfig -a
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2409:8a00:18e9:810:141:383c:ac6f:8b11 prefixlen 64 scopeid 0x0<global>
inet6 2409:8a00:18e9:810:200d:99e2:4f3d:cb6f prefixlen 64 scopeid 0x0<global>
inet6 fe80::8e84:574c:7a8b:440a prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:fb:db:ad txqueuelen 1000 (Ethernet)
RX packets 5038 bytes 5896155 (5.8 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2744 bytes 309264 (309.2 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 164 bytes 15044 (15.0 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 164 bytes 15044 (15.0 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@ubantu:/home/toney# ip tunnel add Tunnel-1 mode gre
add tunnel "gre0" failed: File exists
root@ubantu:/home/toney# ifconfig -a
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2409:8a00:18e9:810:141:383c:ac6f:8b11 prefixlen 64 scopeid 0x0<global>
inet6 2409:8a00:18e9:810:200d:99e2:4f3d:cb6f prefixlen 64 scopeid 0x0<global>
inet6 fe80::8e84:574c:7a8b:440a prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:fb:db:ad txqueuelen 1000 (Ethernet)
RX packets 5097 bytes 5900501 (5.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2766 bytes 311496 (311.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
erspan0: flags=4098<BROADCAST,MULTICAST> mtu 1450
ether 00:00:00:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
gre0: flags=128<NOARP> mtu 1452
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
gretap0: flags=4098<BROADCAST,MULTICAST> mtu 1462
ether 00:00:00:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 164 bytes 15044 (15.0 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 164 bytes 15044 (15.0 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@ubantu:/home/toney#
root@ubantu:/home/toney# lsmod | grep gre
ip_gre 28672 0
ip_tunnel 24576 1 ip_gre
gre 16384 1 ip_gre
root@ubantu:/home/toney#
如果输入完整的命令,则会成功添加上Tunnel-1隧道:
root@ubantu:/home/toney# ifconfig -a
Tunnel-1: flags=144<POINTOPOINT,NOARP> mtu 1476
unspec C0-A8-01-0A-00-00-00-87-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2409:8a00:18e9:810:141:383c:ac6f:8b11 prefixlen 64 scopeid 0x0<global>
inet6 2409:8a00:18e9:810:200d:99e2:4f3d:cb6f prefixlen 64 scopeid 0x0<global>
inet6 fe80::8e84:574c:7a8b:440a prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:fb:db:ad txqueuelen 1000 (Ethernet)
RX packets 5745 bytes 5947674 (5.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2965 bytes 329731 (329.7 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
erspan0: flags=4098<BROADCAST,MULTICAST> mtu 1450
ether 00:00:00:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
gre0: flags=128<NOARP> mtu 1452
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
gretap0: flags=4098<BROADCAST,MULTICAST> mtu 1462
ether 00:00:00:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 169 bytes 15509 (15.5 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 169 bytes 15509 (15.5 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
2.1.2 配置GRE隧道接口IP
ip addr add 10.1.2.1/24 dev Tunnel-1
或者
ifconfig Tunnel-1 10.1.2.1/24
从添加隧道结果来看,Tunnel-1接口虽然已经成功添加,但是处于down状态,此外也没有IP地址。 不,等等,那我们在添加隧道时指定的remote和local是什么呢?
它是经过GRE隧道封装后的报文IP地址,但是针对什么报文进行封装,目前我们尚未配置。
配置此接口IP的目的是:为了确定哪些报文需要进入GRE接口,然后进行隧道封装。为什么需要添加IP呢? 因为我们是通过路由将报文引入到Tunnel-1接口的, 如果不填IP,那么我路由的下一条该写成什么呢, 是吧。
2.1.3 激活GRE隧道接口IP
ifconfig Tunnel-1 up
或者
ip link set Tunnel-1 up
至于配置接口IP和是否up接口,没有什么先后顺序,把他们当做不同的eth接口处理即可。
2.2 CentOS配置:
CentOS虚拟机的配置和Ubantu的配置完全相同,安照此步骤操作即可。
ip tunnel add Tunnel-1 mode gre local 192.168.1.13 remote 192.168.1.10
ip link set Tunnel-1 up
ip addr add 10.1.2.2/24 dev Tunnel-1
查看配置结果r如下:
[root@toney toney]#
[root@toney toney]#
[root@toney toney]# ifconfig
Tunnel-1 Link encap:UNSPEC HWaddr C0-A8-01-0D-FF-FF-90-6D-00-00-00-00-00-00-00-00
inet addr:10.1.2.2 P-t-P:10.1.2.2 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
eth0 Link encap:Ethernet HWaddr 00:0C:29:DA:34:3C
inet addr:192.168.1.13 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: 2409:8a00:18e9:810:20c:29ff:feda:343c/64 Scope:Global
inet6 addr: fe80::20c:29ff:feda:343c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3571 errors:0 dropped:0 overruns:0 frame:0
TX packets:781 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:236685 (231.1 KiB) TX bytes:71021 (69.3 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:240 (240.0 b) TX bytes:240 (240.0 b)
路由表信息如下:
2.3 ping包测试通讯链路:
这里有一点需要注意:Linux系统可能开了iptables过滤功能,因此在ping时出现了类似" ICMP host 192.168.1.13 unreachable - admin prohibited, length 116"信息,详情如下:
百度一下,在两台虚拟机上都执行如下操作即可:
iptables -F
然后在ping包测试,数据可通:
至此,基本GRE隧道环境搭建成功。
3. GRE隧道跨(公)网连接不同子网地址主机
3.1 拓扑环境
目的: 通过GRE隧道将20.1.2.1/24、20.1.3.2/24两个子网连接起来进行通讯。
3.2 Ubantu配置
3.2.1 配置ens33子接口IP
ifconfig eth0:1 192.168.100.1/24
查看接口配置如下:
3.2.2 添加另一个GRE隧道接口并up
ip tunnel add Tunnel-2 mode gre local 192.168.100.1 remote 192.168.100.2
ifconfig Tunnel-2 up
3.2.3 配置隧道接口IP
ifconfig Tunnel-2 20.1.2.1/24
3.2.4 添加对端子网路由表
由于本端没有对端子网20.1.3.0/24的路由,因此需要添加路由,将该网段报文引入到Tunnel-2接口,这样便可以通过GRE隧道进行封装。
route add -net 20.1.3.0/24 gw 20.1.2.1
3.3 CentOS配置
3.3.1 配置ens33子接口IP
ifconfig ens33:1 192.168.100.2/24
3.3.2 添加另一个GRE隧道接口并up
ip tunnel add Tunnel-2 mode gre remote 192.168.100.1 local 192.168.100.2
ifconfig Tunnel-2 up
结果如下:
3.3.3 配置隧道接口IP
ifconfig Tunnel-2 20.1.3.1/24
3.3.4 添加对端子网路由表
由于本端没有对端子网20.1.2.0/24的路由,因此需要添加路由,将该网段报文引入到Tunnel-2接口,这样便可以通过GRE隧道进行封装。
route add -net 20.1.2.0/24 gw 20.1.3.1
3.4 ping测试链路连通性
ubantu与CentOS虚拟机之间搭建GRE隧道的更多相关文章
- Windows主机与centOS虚拟机之间"ping不通"
为什么要遇到这个问题 这是我重新安装centOS7.5虚拟机之后遇到的问题——我需要安装一个SecureCRT工具,结果主机与虚拟机没有ping通. 在安装这个工具之前需要进行主机与虚拟机的相互pin ...
- linux gre隧道创建
目录 linux gre隧道创建 实验环境 实验目的 实验步骤 1.在host A(10.10.10.47)上面操作 2.在host B(192.168.0.118)上面操作 实验结果 还原实验环境 ...
- CentOS虚拟机挂载Windows共享目录
Windows文件共享使用了SMB协议(又称CIFS协议),该协议主要提供了文件共享和打印共享功能,分别使用TCP 139和445端口.UNIX.Linux系统提供了该协议的开源实现samba.为了方 ...
- Gre 隧道与 Keepalived
这一篇文章是做了不少功课的. 什么是 Gre 隧道 什么是 Vrrp KeepAlived 是什么 用Keepalived 怎么玩 附录 什么是 Gre 隧道 GRE 隧道是一种 IP-2-IP 的隧 ...
- 基于CentOS与VmwareStation10搭建Oracle11G RAC 64集群环境:2.搭建环境-2.1创建虚拟机
2.1.创建虚拟机 2.1.1. 创建虚拟机节点1 2.1.2. 创建虚拟机节点2 操作如节点1. 基于CentOS与VmwareStation10搭建Oracle11G RAC 64集群环境所有链 ...
- hadoop学习;安装jdk,workstation虚拟机v2v迁移;虚拟机之间和跨物理机之间ping网络通信;virtualbox的centos中关闭防火墙和检查服务启动
JDK 在Ubuntu下的安装 与 环境变量的配置 前期准备工作: 找到 JDK 和 配置TXT文件 并拷贝到桌面下 不是目录 而是文件拷贝到桌面下 以下的命令部分就直接复制粘贴就能够了 1.配 ...
- CentOS 虚拟机 下载及 搭建
个人博客网:https://wushaopei.github.io/ (你想要这里多有) CentOS 虚拟机安装包下载 : 链接:https://pan.baidu.com/s/1JDIASm ...
- 分布式存储 CentOS6.5虚拟机环境搭建FastDFS-5.0.5集群(转载-2)
原文:http://www.cnblogs.com/PurpleDream/p/4510279.html 分布式存储 CentOS6.5虚拟机环境搭建FastDFS-5.0.5集群 前言: ...
- [转]CentOS虚拟机如何设置共享文件夹,并在Windows下映射网络驱动器?
CentOS虚拟机如何设置共享文件夹,并在Windows下映射网络驱动器? 转自这里 一.为什么要这么做? 最近在做Linux下的软件开发,但又想使用Windows下的编程工具“Source Insi ...
随机推荐
- 王者并发课-钻石2:分而治之-如何从原理深入理解ForkJoinPool的快与慢
欢迎来到<王者并发课>,本文是该系列文章中的第25篇,砖石中的第2篇. 在上一篇文章中,我们学习了线程池ThreadPoolExecutor,它通过对任务队列和线程的有效管理实现了对并发任 ...
- Python - 解包的各种骚操作
为什么要讲解包 因为我觉得解包是 Python 的一大特性,大大提升了编程的效率,而且适用性很广 啥是解包 个人通俗理解:解开包袱,拿出东西 正确理解:将元素从可迭代对象中一个个取出来 python ...
- 使用scrapy搭建大型爬虫系统
最近新项目准备启动,在开始前内容.词库这些都需要提前做好准备,所以就有了这篇文章.在开始动手,看了下行业核心词排在首页的站,发现内容都多得不要不要的,各种乱七八糟的频道.页面模板,心想,如果每个网站. ...
- Android全新UI编程 - Jetpack Compose 超详细教程
1. 简介 Jetpack Compose是在2019Google i/O大会上发布的新的库.Compose库是用响应式编程的方式对View进行构建,可以用更少更直观的代码,更强大的功能,能提高开发速 ...
- SpringBoot - 集成Auth0 JWT
目录 前言 session认证与Token认证 session认证 Token认证 JWT简介 JWT定义 JWT数据结构 JWT的类库 具体实现 JWT配置 JWT工具类 测试接口 前言 说说JWT ...
- 【Vulhub】Rsync未授权访问漏洞复现
Rsync未授权访问 Rsync简介 rsync,remote synchronize顾名思意就知道它是一款实现远程同步功能的软件,它在同步文件的同时,可以保持原来文件的权限.时间.软硬链接等附加信息 ...
- STM32—时钟树(结合系统时钟函数理解)
时钟树的概念: 我们可以把MCU的运行比作人体的运行一样,人最重要的是什么?是心跳! 心脏的周期性收缩将血液泵向身体各处.心脏对于人体好比时钟对于MCU,微控制器(MCU)的运行要靠周期性的时钟脉冲来 ...
- efcore分表下"完美"实现
ShardingCore 如何呈现"完美"分表 这篇文章是我针对efcore的分表的简单介绍,如果您有以下需求那么可以自己选择是否使用本框架,本框架将一直持续更新下去,并且免费开源 ...
- 【java虚拟机】jvm调优原则
转自:https://www.cnblogs.com/xiaopaipai/p/10522794.html 合理规划jvm性能调优 JVM性能调优涉及到方方面面的取舍,往往是牵一发而动全身,需要全盘考 ...
- The Programmer's Oath程序员的誓言----鲍勃·马丁大叔(Bob Martin)
In order to defend and preserve the honor of the profession of computer programmers, I Promise that, ...