两个局域网（办公网-IDC）安全互通方案2：by GRE andlinux server&深入理解GRE

两个局域网（办公网-IDC）安全互通方案2：byGREandlinuxserver&深入理解GRE

【首先，需求描述】
办公网络和IDC2局域网(或者随机两个不同的局域网)互相保护。但是在日常运维管理和产品开发的整个过程中，你必须在办公网络中浏览IDC互联网。如果都按照公网ip路由，既不方便也不安全。如果用专线运输，是最稳定可靠的方法。但是作为一个技术悬簧，我想为企业省钱(也可以看作是技术使用价值的一部分)，所以我准备应用其他方案(自然是完全免费的方案，或者换句话说，利用现有资源的方案)。网络服务器自然要付费，但是你可以应用现有的网络服务器来处理这个需求。

[二、情况详细介绍]
办公网络为lan192.168.1.0/24，基于固定公共IP网络；
IDC有lan10.1.1.0/24，有多个公有ip，按照公有ip互联。
这就提出了一个问题:办公网络如何能即时浏览IDC的内网？至少，看起来单个用户可以立刻浏览主机房的内网。让每个客户都拨打XXX？很悲剧，而且管理得不好。
下面详细介绍两个方案:
1。点对点方案(可以设置为构建成功后的端到端方案)。之前看过一篇文章，实际可以读到《创业公司办公网络安全稳定接入机房网络方案1:by×××》http://h20fly.blog.51c，如果企业有不必要的固定公网ip或者无线路由器本身适用GRE，建议适用此方案。为什么？不用说了，呵呵。你可以对比应用两个方案，然后你就有感觉了。

[三、方案实施]
说了这么多，在 *** 作过程中印象会更深
办公网无线路由器(由linux网络服务器完成):LANIP:192.168.1.254，公网ip180.1.1.1配备
cat/usr/local/admin/GRE.sh#，

#!/bin/bash modprobe ip_gre#载入gre控制模块 ip tunnel add office mode gre remote 110.2.2.2 local 180.1.1.1 ttl 255#创建tunnel姓名叫office的device（可自定），应用gre mode。特定远端ip是110.2.2.2，本地ip是180.1.1.1。这儿为了更好地提高安全系数，你可以配备iptables，公网ip只接受来源于110.2.2.2的包，别的的都drop掉。 ip link set office up#起动device office  ip link set office up mtu 1500#设定mtu为1500 ip addr add 192.192.192.2/24 dev office #为office加上ip192.192.192.2 echo 1 > /proc/sys/net/ipv4/ip_forward #让网络服务器适用分享 ip route add 10.1.1.0/24 dev office #加上路由器，含意是：到10.1.1.0/24的包，由office机器设备承担分享 iptables -t nat -A POSTROUTING -d 10.1.1.0/24 -j SNAT --to 192.192.192.2#不然192.168.1.x等设备浏览10.1.1.x网段堵塞

IDC无线路由器(由linux网络服务器完成):局域网IP:10.1.1.1，公网ip110.2.2.2配备cat/usr/local/admin/GRE。

#!/bin/bash modprobe ip_gre ip tunnel add office mode gre remote 180.1.1.1 local 110.2.2.2 ttl 255 ip link set office up ip link set office up mtu 1500 ip addr add 192.192.192.1/24 dev office#为office加上ip192.192.192.1 echo 1 > /proc/sys/net/ipv4/ip_forward ip route add 192.168.1.0/24 dev office iptables -t nat -A POSTROUTING -s 192.192.192.2 -d 10.1.0.0/16 -j SNAT --to 10.1.1.1#不然192.168.1.X等设备浏览10.1.1.x网段堵塞 iptables -A FORWARD -s 192.192.192.2 -m state --state NEW -m tcp -p tcp --dport 3306 -j DROP #严禁立即浏览网上的3306，避免内部网被破

注:为了更好地防止greturnel不慎断线，您可以自行科研监督脚本制作。检查互联网不同后，运行这个脚本(一定要注意deviceoffice是否已经存在于 *** 作中间等。)，此处不详。请自己做。
[第四，检查实际效果]

【第五，深刻理解GRE】
实际 *** 作后，一定要多了解情况和基础理论，才能在出现异常时解决问题。
GRE(通用路由协议封装)协议是由Cisco和Net-Smith等公司于1994年提交给IETF的。它封装了传输层协议(ip)的一些数据报。它要求如何用一个网络层协议封装另一个网络层协议，适用于很多计算机设备。说白了就是gre封装了一般的包(比如ip包)，安装一般ip包的路由器方法相当于在ip包外面封装了一层gre包。这种情况下，gre包之外其实还有一层publicip包。

GRE应用隧道技术，数据报文在隧道两端封装，在这个通道上传输，在另一端解封装。您可以将隧道视为虚拟的点对点连接。(经过点对点的连接，加上路由协议和nat技术，就可以把两个阻塞的局域网连接在一起，完成了NetToNet的互联。)
一般gre隧道是在几个计算机设备(通常是无线路由器)之间创建的。由于linux服务项目有路由器共享的功能，所以在缺乏有技术专长的路由器设备时，可以使用linux网络服务器来完成greturnel的创建，这也说明了linux的实力(其实大部分电脑设备都在使用unix或linux系统软件)。

我对gre的了解如下:
(0)GRE的turnels的连通性
1。这整个过程就是为彼此创造隧道的整个过程。
(1)局域网路由器的全过程
1。服务器A推送一个来源为192.168.1.2，目的地为10.1.1.2的数据包
(2)封装的全过程
1。根据内部网络路由，您的默认路由网关ip可能会将其路由到192.168.1.254
2。升级gre呼和浩特，说明数据包的详细目的地址在192.192.192.1，源地址在192.192.192.2。
3、192.168.1.254第二次打包数据包，公网升级呼和浩特(否则公网没有路由器)，注明数据包详细目的地址110.2.2.2，源地址180.1.1.1。

4.192.168.1.254.来自10.1.1.0/24的所有数据包的地址将被转换为192.192.192.2(snat)。

(三)公网路由器的全过程
1。经过N个路由器和机器，包最终到达110.2.2.2
(4)解包的全过程
1。B端的无线路由器在检查到自己的ip
2后，刚刚开始拆包。开箱后发现有GRE协议。进一步解包
3。拆包后发现目的站不是自己的内网ip，意识到自己在本地做了snat，然后把源ip改成10.1.1.1
(5)局域网路由器
1。事实上，从1010.1.1.2如果设备明显是寄给自己的包裹，就会被接受。然后就进一步解决了。