[发明专利]一种通用路由封装隧道的配置方法及路由器

说明书

技术领域

本发明涉及数据通信技术领域中的通用路由封装(GRE，Generic Routing Encapsulation)技术领域，具体涉及一种GRE隧道的配置方法及路由器。

背景技术

GRE协议用于对某些网络层协议(如网际协议IP和包交换协议IPX)的 报文进行封装，使这些被封装的报文能够在另一个网络层协议(如IP)中传 输。GRE协议是虚拟专用网(VPN，Virtual Private Network)的第三层(网络 层)隧道协议，在协议层之间采用了一种被称之为隧道(tunnel)的技术。隧 道是一个虚拟的点对点的连接，在实际中可以看成支持点对点连接的虚拟接 口，这个接口提供了一条通路使封装的报文能够在这个通路上传输，并且在一 个隧道的两端分别对报文进行封装及解封装。

图1所示为现有技术中GRE技术的一种典型应用场景。图1中示，本地 网1和本地网2是运行X协议(如Novell IPX协议)的本地网。在路由器1 和路由器2上配置好GRE隧道之后，本地网1和本地网2之间就可以通过运 行IP协议的因特网进行通信。

GRE隧道的配置包括配置GRE隧道的隧道接口(tunnel interface)和配置 GRE隧道的源端和目的端，还可以包括配置隧道接口的识别关键字、隧道接 口使用校验和校验等参数。隧道接口通常是虚拟的逻辑接口，GRE的源端和 目的端是隧道两端设备，源端地址和目的端地址为两端设备上相应的物理接口 的网际协议(IP，Internet Protocol)地址。现有技术中在配置GRE隧道时， 需要分别在隧道两端设备上手工进行上述配置，手工配置工作量大且不够灵 活。

现有技术的GRE协议存在一个缺陷，就是隧道接口之间虽然相当于直连， 但由于缺乏相应的发现机制，GRE隧道的一端无法感知对端隧道接口的具体 IP地址，从而也就不能区分哪些IP地址是对端隧道接口真实存在的IP地址。 为了能够在隧道两端之间传输流量，现有的GRE协议中要求两端隧道接口的 IP地址配置成在同一网段，并且在隧道两端设备的全局路由表中分别生成去 往隧道接口IP地址所在网段的一个直连路由，该直连路由的出接口为隧道接 口。上述配置可能导致GRE隧道发生路由环路，影响到隧道的正常使用，带 来严重的安全问题。

以图1为例进行说明，假设图1中GRE隧道的隧道接口配置的掩码为24 位，路由器1配置的隧道接口的IP地址为10.1.2.2，路由器2配置的隧道接口 的IP地址为10.1.2.1，路由器1和2均无法感知隧道对端的隧道接口的IP地 址。当从路由器1发出一个数据包，该数据包的目的地址为隧道接口IP地址 所在网段中的一个不存在的主机地址，假设为10.1.2.3，该数据包通过GRE隧 道到达路由器2；路由器2收到该数据包后进行解GRE封装，然后继续解析 出内层IP头的目标地址10.1.2.3，然后查找自身全局路由表进行转发。由于缺 乏发现机制，路由器2不知道10.1.2.3是一个不存在的主机地址，并且在路由 器2进行GRE隧道配置时，路由器2在自身的全局路由表中生成了去往隧道 接口IP地址所在网段的一个直连路由，该直连路由的出接口为隧道接口，从 而路由器2根据该直连路由，将该数据包发给本设备的隧道接口，隧道接口收 到该数据包后将进行GRE封装，然后再封装IP报文头，最后通过GRE隧道 发送给路由器1，造成路由环路。同样的，路由器1在GRE隧道上接收到该 数据包后也会进行类似的处理，这样，该数据包将会在GRE隧道内往复传输， 直到该数据包的生存时间值(TTL，Time To Live)超时为止。假设发包的初 始TTL值为255，该数据包将在GRE隧道内循环往复传输127次，这样相当 于一个数据包被放大了127倍。如果恶意攻击者在GRE隧道所跨越的中间网 络中构造并发送大量的具有上述目的地址的网络流量，将会严重消耗隧道所跨 越网络之间的网络带宽资源，影响到GRE隧道的稳定性和安全性。

发明内容

本发明实施例所要解决的技术问题是提供一种GRE隧道的配置方法及路 由器，避免GRE隧道中的路由环路问题并提高GRE隧道配置的灵活性。

为解决上述技术问题，本发明实施例提供方案如下：

一种通用路由封装GRE隧道的配置方法，包括：