什么是GRE/GIF?
什么是GRE(通用路由封装)?通用路由封装(GRE)是一种无需加密即可在两个端点之间建立隧道流量的方法。它可用于在不直接连接且不需要加密的两个位置之间路由数据包。它也可以与不执行自己的隧道传输的加密方法结合使用。
GRE协议最初是由Cisco设计的,并且是许多设备上的默认隧道模式。
GRE隧道可以同时承载IPv4,IPv6或两种类型的流量。
GRE接口设置
上层介面
GRE隧道将终止的接口。通常,这将是WAN或WAN类型的连接。
远端地址
远端对等体的地址。这是此防火墙将发送GRE数据包的地址;隧道另一端的可路由外部地址。
本地IPv4 / IPv6隧道地址
此防火墙上隧道末端的内部IPv4和IPv6地址。防火墙会将这个地址用于其自身在隧道中的通信,并且远程对等方会将隧道传输的远程通信发送到该地址。
远程IPv4 / IPv6隧道地址
隧道内部的防火墙用来到达远端的IPv4和IPv6地址。目的地为隧道另一端的流量必须将此地址用作网关以进行路由。
IPv4 / IPv6隧道子网
GRE接口地址的子网掩码。
添加静态路由
设置后,防火墙通过本地隧道地址为远程内部隧道地址/子网添加显式静态路由。如果其他路由表条目可能选择了到该目的地的错误路径,则可以帮助到达远程子网。
什么是GIF(通用隧道接口)?
通用隧道接口(GIF)与GRE类似;两种协议都是在不加密的情况下在两个主机之间建立隧道流量的一种方法。除了直接通过隧道传送IPv4或IPv6之外,GIF还可用于通过IPv4网络传送IPv6,反之亦然。GIF隧道通常用于在无法使用IPv6连接的位置获得与隧道代理(例如Hurricane
Electric)的IPv6连接。
与GRE相比,GIF接口在隧道中承载的信息更多,但是GIF并未得到广泛支持。例如,GIF隧道能够在两个位置之间桥接第2层,而GRE无法。
GIF接口可以承载IPv4或IPv6流量,但不能同时承载两者。
GIF接口管理
上层介面
GIF隧道将终止的接口。通常,这将是WAN或WAN类型的连接。
GIF远端地址
远端对等体的地址。这是此防火墙将发送GIF数据包的地址;隧道另一端的可路由外部地址。例如,在通往Hurricane
Electric的IPv6-in-IPv4隧道中,这将是隧道服务器的IPv4地址,例如209.51.181.2。
GIF隧道本地地址
此防火墙上隧道末端的内部地址。防火墙会将这个地址用于其自身在隧道中的通信,并且远程对等方会将隧道传输的远程通信发送到该地址。例如,当通过Hurricane
Electric隧道传输IPv6-in-IPv4时,他们将其称为“ 客户端IPv6地址”。
GIF隧道远程地址
隧道内防火墙用来到达远端的地址。目的地为隧道另一端的流量必须将此地址用作网关以进行路由。例如,当通过Hurricane
Electric隧道传输IPv6-in-IPv4时,他们将其称为“服务器IPv6地址”。
GIF隧道子网
接口地址的子网掩码或前缀长度。通常64。
ECN友好行为
ECN友好行为选项控制防火墙是否执行将TOS位复制到隧道流量中/从隧道流量中复制出来的显式拥塞通知(ECN)友好做法。默认情况下,防火墙会0根据流量的方向清除数据包上的TOS位或将其设置为。设置此选项后,将根据需要在内部和外部数据包之间复制该位,以与可以执行流量整形的中间路由器更加友好。此行为破坏了RFC
2893,因此仅当两个对等方都同意启用该选项时,才必须使用它。
外部源过滤
设置后,防火墙将不会基于外部GIF源自动进行过滤。通常这是理想的,因为它可以确保与已配置的远程对等方匹配,从而更加安全。禁用后,将不执行火星和入站过滤,这将允许外部流量进行非对称路由。这种方法的安全性较差,但是某些GIF对等方可能会以此方式获取流量。
页:
[1]