GRE (protokol)

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 21. února 2015; kontroly vyžadují 14 úprav .

GRE ( Generic Routing Encapsulation  - generic route encapsulation) je protokol pro tunelování síťových paketů vyvinutý společností Cisco Systems .  Jeho hlavním účelem je zapouzdřit pakety síťové vrstvy modelu sítě OSI do paketů IP . Číslo protokolu v IP je 47.

Tunelování zahrnuje tři protokoly :

Příklad aplikace

Příklad zásobníku protokolu

Modelová vrstva OSI Protokol
5. Zasedání X.225
4. Doprava UDP
3. Síť (zapouzdření GRE) IPv6
Zapouzdření GRE
3. Síťově IPv4
2. Kanál ethernet
1. Fyzikální ethernet

Jak můžete vidět z diagramu, zapouzdření (ne nutně GRE) narušuje hierarchii v modelu OSI . Tento jev lze chápat jako předěl mezi dvěma zásobníky protokolů, kde jeden funguje jako „poskytovatel služeb“ pro druhý.

Problém s bitem DF

Ve spojení s hlavičkou služby je zmenšena velikost dat přenášených v rámci IP paketu skrz GRE tunel při zachování celkové velikosti paketu. IP paket má bit DF (nefragmentovat), který zakazuje rozdělení paketu na několik při přenosu přes médium s menší velikostí MTU . V tomto případě je paket s velikostí užitečného zatížení přesahující MTU  IP paketu v tunelu GRE zahozen, což vede ke ztrátě paketů při značné zátěži (procházejí malé pakety, např. TCP SYN pakety, ICMP zprávy (ping), ale datové pakety jsou ztraceny v toku TCP (tj. spojení je přerušeno)). Pro vyřešení tohoto problému se doporučuje při přenosu dat tunelem GRE použít path-mtu-discovery (definice TCP MSS, tedy maximální velikost IP paketů podél celé cesty), aby nedocházelo k nadměrné fragmentaci nebo ztrátě velkých paketů. . [1] [2]

Problém NAT

Protože GRE je protokol síťové vrstvy a nepoužívá porty (na rozdíl od protokolů TCP a UDP ) a jednou z nezbytných podmínek pro fungování mechanismu PAT je přítomnost „otevřeného“ portu, provoz protokolu GRE přes firewall může být obtížné [3] .

Konkrétním případem řešení problému pro protokol PPTP je technologie PPTP Passthrough, v tomto případě firewall „umožňuje“ odchozí ( klientské ) připojení ze zabezpečené sítě.

Poznámky

  1. O řešení problému DF-bit a MTU na hardwaru Cisco: [1] Archivováno 29. června 2013 na Wayback Machine
  2. O problému fragmentace paketů v tunelech GRE a IPSEC: [2] Archivováno 26. června 2013 na Wayback Machine
  3. NAT a PPTP . Datum přístupu: 3. února 2013. Archivováno z originálu 7. října 2013.

Odkazy