項目背景

IPv6的部署大致要經歷一個漸進的過程，在初始階段，IPv4的網絡海洋中會出現若干局部零散的IPv6孤島，為了保持通信，這些孤島通過跨越IPv4的隧道彼此連接；隨著IPv6規模的應用，原來的孤島逐漸聚合成為了骨干的IPv6 Internet網絡，形成于IPv4骨干網并存的局面，在IPv6骨干上可以引入了大量的新業務，同時可以充分發揮IPv6的諸多優勢。為了實現IPv6和IPv4網絡資源的互訪，還需要轉換服務器以實現v6和v4的互通；最后，IPv4骨干網逐步萎縮成局部的孤島，通過隧道連接，IPv6占據了主導地位，具備全球范圍的連通性。

IPv6提供很多過渡技術來實現上述這樣一個演進過程。這些過渡技術圍繞兩類問題解決：
IPv6孤島互通技術：實現IPv6網絡和IPv6網絡的互通
IPv6和IPv4互通技術：實現兩個不同網絡之間互相訪問資源

目前，解決上述問題的基本過渡技術有兩種：雙棧和隧道。

雙棧：即設備升級到IPv6的同時保留IPv4支持，可以同時訪問IPv6和IPv4設備，包含雙協議棧支持，應用程序依靠DNS地址解析返回的地址類型，來決定使用何種協議棧。
隧道：通過在一種協議中承載另一種協議，實現跨越不同域的互通，具體可以是IPv6-in-IPv4,IPv6-in-MPLS,IPv4-in-IPv6等隧道類型。


GRE隧道（VPN）

GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。在GRE的處理中，很多協議的席位差異都被忽略，這使得GRE不限于某個特定的“X over Y”應用，而是一種最基本的封裝形式。

在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數據報文（Payload），這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協議中，然后完全由IP層負責此報文的轉發。原始報文的協議被稱之為乘客協議，GRE被稱之為封裝協議，而負責轉發的IP協議被稱之為傳遞（Delivery）協議或傳輸（Transport）協議。注意到在以上的流程中不用關心乘客協議的具體格式或內容，整個被封裝的報文格式：

      -------------------------------
      |   Delivery Header           |
      |   (Transport Protocol)      |
      -------------------------------
      |  GRE Header                 |
      |  (Encapsulation Protocol    |
      -------------------------------
      |  Payload Packet             |
      |  (Passenger Protocol)       |
      -------------------------------

GRE報頭的格式如下:

      0                   1                   2                   3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |C|R|K|S|s|Recur|  Flags  | Ver |         Protocol Type         |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |      Checksum (optional)      |       Offset (optional)       |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                         Key (optional)                        |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                    Sequence Number (optional)                 |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                    Routing (optional)                         |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

GRE隧道原理：

1、封裝
Ingress PE從連接X協議的接口接收到X協議報文后，首先交由X協議處理。
X協議根據報文頭中的目的地址在路由表或轉發表中查找出接口，確定如何轉發此報文。如果發現出接口是GRE Tunnel接口，則對報文進行GRE封裝，即添加GRE頭。
根據骨干網傳輸協議為IP，給報文加上IP頭。IP頭的源地址就是隧道源地址，目的地址就是隧道目的地址。

根據該IP頭的目的地址（即隧道目的地址），在骨干網路由表中查找相應的出接口并發送報文。之后，封裝后的報文將在該骨干網中傳輸。

2、解封裝
解封裝過程和封裝過程相反。
Egress PE從GRE Tunnel接口收到該報文，分析IP頭發現報文的目的地址為本設備，則Egress PE去掉IP頭后交給GRE協議處理。GRE協議剝掉GRE報頭，獲取X協議，再交由X協議對此數據報文進行后續的轉發處理。

配置

左邊為R3，右邊為R4
R3：
配置公網IP：
interface GE0/3/4
 ip address 34.0.0.3/24
 no shutdown
!
配置私網IP：
interface GE0/1/3
 ip address 13.0.0.3/24
 no shutdown
!
配置GRE Tunnel：
interface tunnel100
 tunnel mode gre
 tunnel source 34.0.0.3
 tunnel destination 34.0.0.4
 ip address 192.168.100.3/24 //和對方Tunnel IP在同一網段
 no shutdown
!
配置路由：
ip route 0.0.0.0/0 34.0.0.4 //到公網默認路由
ip route 24.0.0.0/24 tunnel100 //到對方私網路由通過Tunnel 100訪問
!


R4：
配置公網IP：
interface GE0/3/4
 ip address 34.0.0.4/24
 no shutdown
!
配置私網IP：
interface GE0/2/4
 ip address 24.0.0.4/24
 no shutdown
!
配置GRE Tunnel：
interface tunnel100
 tunnel mode gre
 tunnel source 34.0.0.4
 tunnel destination 34.0.0.3
 ip address 192.168.100.4/24 //和對方Tunnel IP在同一網段
 no shutdown
!
配置路由：
ip route 0.0.0.0/0 34.0.0.3 //到公網默認路由
ip route 13.0.0.0/24 tunnel100 //到對方私網路由通過Tunnel 100訪問
!

在R4上ping R3的私網地址13.0.0.3,抓包如下：




GRE報文解析
 

GRE頭各字段解釋：

C 校驗和驗證位。1-GRE頭插入了校驗和（Checksum）字段。0-GRE頭不包含校驗和字段。
K 關鍵字位。1-GRE頭插入了關鍵字（Key）字段。0-GRE頭不包含關鍵字字段。
Recursion GRE報文被封裝的層數。一次GRE封裝后將該字段加1。如果封裝層數大于3，則丟棄該報文。該字段的作用是防止報文被無限次的封裝。RFC1701規定該字段默認值為0。RFC2784規定當發送和接受端該字段不一致時不會引起異常，且接收端必須忽略該字段。設備實現時該字段僅在加封裝報文時用作標記隧道嵌套層數，GRE解封裝報文時不感知該字段，不會影響報文的處理。
Flags 預留字段。當前必須置為0。
Version 版本字段。必須置為0。
Protocol 標識乘客協議的協議類型。常見的乘客協議為IPv4協議，協議代碼為0800。
Checksum 對GRE頭及其負載的校驗和字段。
Key 關鍵字字段，隧道接收端用于對收到的報文進行驗證。
目前實現的GRE頭不包含源路由字段，所以Bit 1、Bit 3和Bit 4都置為0。
GRE安全機制

GRE本身提供兩種基本的安全機制：校驗和驗證，識別關鍵字。

1、校驗和驗證
校驗和驗證是指對封裝的報文進行端到端校驗。
若GRE報文頭中的C位標識位置1，則校驗和有效。發送方將根據GRE頭及Payload信息計算校驗和，并將包含校驗和的報文發送給對端。接收方對接收到的報文計算校驗和，并與報文中的校驗和比較，如果一致則對報文進一步處理，否則丟棄。

隧道兩端可以根據實際應用的需要決定配置校驗和或禁止校驗和。如果本端配置了校驗和而對端沒有配置，則本端將不會對接收到的報文進行校驗和檢查，但對發送的報文計算校驗和；相反，如果本端沒有配置校驗和而對端已配置，則本端將對從對端發來的報文進行校驗和檢查，但對發送的報文不計算校驗和。

2、識別關鍵字
識別關鍵字（Key）驗證是指對Tunnel接口進行校驗。通過這種弱安全機制，可以防止錯誤識別、接收其它地方來的報文。
RFC1701中規定：若GRE報文頭中的K位為1，則在GRE頭中插入一個四字節長關鍵字字段，收發雙方將進行識別關鍵字的驗證。
關鍵字的作用是標志隧道中的流量，屬于同一流量的報文使用相同的關鍵字。在報文解封裝時，GRE將基于關鍵字來識別屬于相同流量的數據報文。只有Tunnel兩端設置的識別關鍵字完全一致時才能通過驗證，否則將報文丟棄。這里的“完全一致”是指兩端都不設置識別關鍵字，或者兩端都設置相同的關鍵字。
 

GRE的Keepalive檢測

由于GRE協議并不具備檢測鏈路狀態的功能，如果對端接口不可達，隧道并不能及時關閉該Tunnel連接，這樣會造成源端會不斷的向對端轉發數據，而對端卻因隧道不通接收不到報文，由此就會形成數據空洞。
GRE的Keepalive檢測功能可以檢測隧道狀態，即檢測隧道對端是否可達。如果對端不可達，隧道連接就會及時關閉，避免因對端不可達而造成的數據丟失，有效防止數據空洞，保證數據傳輸的可靠性。
Keepalive檢測功能的實現過程如下：
當GRE隧道的源端使能Keepalive檢測功能后，就創建一個定時器，周期地發送Keepalive探測報文，同時通過計數器進行不可達計數。每發送一個探測報文，不可達計數加1。
對端每收到一個探測報文，就給源端發送一個回應報文。
如果源端的計數器值未達到預先設置的值就收到回應報文，就表明對端可達。如果源端的計數器值到達預先設置的值——重試次數（Retry Times）時，還沒收到回送報文，就認為對端不可達。此時，源端將關閉隧道連接。但是源端口仍會繼續發送Keepalive報文，若對端Up，則源端口也會Up，建立隧道鏈接。
對于設備實現的GRE Keepalive檢測功能，只要在隧道一端配置Keepalive，該端就具備Keepalive功能，而不要求隧道對端也具備該功能。隧道對端收到報文，如果是Keepalive探測報文，無論是否配置Keepalive，都會給源端發送一個回應報文。

GRE具有如下的優點：

多協議的本地網可以通過單一協議的骨干網實現傳輸；
將一些不能連續的子網連接起來，用于組建VPN；
擴大了網絡的工作范圍，包括那些路由網管有限的協議。如IPX包最多可以轉發16次（即經過16個路由器），而在一個Tunnel連接中看上去只經過一個路由器。
由于GRE是將一個數據包封裝到另一個數據包中，因此可能會遇到GRE的數據報大于網絡接口所設定的數據包最大尺寸的情況。解決這種問題的方法是在隧道接口上配置ip tcp adjust-mss 1436。另外，雖然GRE并不支持加密，但是可以通過Tunnel key命令在隧道的兩頭各設置一個密鑰。這個密鑰其實就是一個明文的密碼。由于GRE隧道沒有狀態控制，可能隧道的一端已經關閉，而另一端仍然開啟。這一問題的解決方案就是在隧道兩端開啟keepalive數據包，它可以讓隧道一端定時向另一端發送keepalive數據，確認端口保持開啟狀態。如果隧道的某一端沒有按時收到keepalive數據，那么這一側的隧道端口也會關閉。

IPSec（VPN）

IPSec（IP Security）是一組開放協議的總稱，特定的通信方之間的IP層通過加密與數據源驗證，以保證數據包在Internet網上傳輸時的私有性、完整性和真實性。IPSec通過AH（Authentication Header）和ESP（Encapsulating Security Payload）這兩個安全協議來實現。

AH在IP包中的位置(隧道方式):
    -------------------                ------------------------------
    | IP | TCP | Data |  ---------->   | IP2 | AH | IP | TCP | Data |  
    -------------------                ------------------------------
1
2
3

ESP將需要保護的用戶數據進行加密后再封裝到IP包中，ESP可以保證數據的完整性、真實性和私有性。

ESP頭在IP包中的位置(隧道方式)：


    -------------------                ------------------------------------------------
    | IP | TCP | Data |  ---------->   | IP2 | ESP | IP | TCP | Data | Trailer | Auth |
    -------------------                ------------------------------------------------
 

###IPv6 over IPv4隧道

在IPv4網絡向IPv6網絡過渡的初期，IPv4網絡已被大量部署，而IPv6網絡只是散布在世界各地的一些孤島。利用隧道技術可以在IPv4網絡上創建隧道，從而實現IPv6孤島之間的互連。在IPv4網絡上用于連接IPv6孤島的隧道成為IPv6 over IPv4隧道。為了實現IPv6 over IPv4隧道，需要在IPv4孤島的隧道稱為IPv6 over IPv4隧道。為了實現IPv6 over IPv4隧道，需要在IPv4網絡與IPv6網絡交界的邊界路由設備商啟動IPv4/IPv6雙協議棧。

IPv6 over IPv4隧道技術的原理:

邊界路由設備啟動IPv4/IPv6雙協議棧，并配置IPv6 over IPv4隧道。
邊界路由設備在收到從IPv6網絡側發來的報文后，如果報文的目的地址不是自身且下一跳出接口為Tunnel接口，就要把收到的IPv6報文作為負載，加上Ipv4報文頭，封裝成IPv4報文。
在IPv4網絡中，封裝后的報文被傳遞到對端的邊界路由設備。

對端邊界路由設備對報文解封裝，去掉IPv4報文頭，然后將封裝后的IPv6報文發送到對端的IPv6網絡中。

其他隧道原理類似。

IPv4 over IPv6隧道

在IPv4 Internet向IPv6 Internet過渡后期，IPv6網絡被大量部署后，而IPv4網絡只是散布在世界各地的一些孤島。利用隧道技術可以在IPv6網絡上創建隧道，從而實現IPv4孤島的互聯，IPv4孤島能通過IPv6公網訪問其他IPv4網絡。

http://www.alotcer.com/index.php?c=product&a=type&tid=1