1、VPN概念

Virtual Private Network

①虚拟专用网络

②在公有的网络上架设私有的通道，构建一个专用的、安全性、服务质量得到保障的网络

③实质：数据包的再封装与解封装的过程 

2、分类

按照业务用途：【1】access：外出员工、远程接入

       【2】intranet：同一个公司，实现分公司于总公司的互联、内联网

       【3】extranet：合作伙伴互联、外联网

层次结构：  【１】二层VPN：MPLS VPN（运营商级） 、QinQ、VPDN

　　　【２】三层VPN：IPsec VPN、SSL VPN

思科VPN分类：site-to-site   ---   LAN to LAN （L2L）

       remote-access

３、GRE（通用路由分装）

①概念：轻量级的VPN，大小为４个字节

②特点

１）NAT对其无影响：内访外，先路由；外访内先NAT(触发nat需要明确出入接口)

２）可以承载多种上层协议：OSPF，OSPF通告隧道IP，网络类型为P2P

３）明文，安全性不高：GRE over IPsecVPN、IPsec over GREVPN

４）思科默认隧道封装为GRE IP

５）只能使用一对一场景，如有多个邻居，只能额外创建隧道

４、封装结构

IPH（新/公）+GRE+IPH（旧/私）+DATA

结构之间的联系：type（数据链路层）IPv4、Protocol（网络层）,

IP协议号47（GRE）、port（传输层）

GRE使用以太网类型0x0800来标识载荷协议为IP

思科配置：

默认路由： ip route 192.168.5.0 255.255.255.0 Tunnel1

华三配置：

         华为配置：（隧道接口需要指定封装模式）

５、优化

①IP in IP

直接将IP封装在IP中，GRE VPN中，删除GRE字段，降低了数据包的大小（4字节）

IPH(公）+IPH（私）+DATA　　　－－－　R1(config-if)#tunnel mode ipip

②keep alive（保活）

GRE隧道只要源目地址可达，隧道便可up，无法感知对方隧道是否up，存在隧道两边无法同步状态的问题

R1(config-if)# keepalive 10 3 　－－－　配置发送的周期和重传的次数

③隧道认证

                 Site3(config-if)#tunnel key 123

６、常见问题

①隧道无法up：源目IP地址不可达（地址配置错误、顺序颠倒）

②反复出现up和down：物理接口被通告进ospf

过程：OSPF正常，路由表学习到对端物理接口网段以OSPF形式存在的路由，下一跳指向隧道接口，OSPF的hello包根据路由表的最长匹配原则，匹配到OSPF的对端物理接口路由，由于下一跳为隧道口，进行隧道封装，但是隧道的目的地址又是对端的物理，又会再查路由表，匹配OSPF的路由，下一跳还是隧道，出现隧道环路，因此隧道关闭→OSPF邻居down→OSPF路由表消失，经过一段时间，隧道又UP→OSPF也UP→路由又产生→环路又出现，如此反复