APN业务GRE隧道使用.doc

《APN业务GRE隧道使用.doc》由会员分享，可在线阅读，更多相关《APN业务GRE隧道使用.doc（13页珍藏版）》请在三一办公上搜索。

1、GRE配置使用说明1 概述GRE(Generic Routing Encapsulation)即通用路由封装，它是一种三层隧道封装协议，是实现VPN的通常方式之一。GRE提供的隧道使得封装的数据报文能够在其中传输，通常采用的是IP+GRE的封装方式，将原始数据封装GRE头，然后再封装IP头，从而实现VPN功能。需要封装的数据报文，我们称之为有效报文（Payload）。GRE所建立起来的隧道只是在隧道源点和隧道终点可见，中间经过的设备只是按照外层IP在网络上进行普通的路由转发。使用GRE隧道对用户数据的封装格式如图2所示：图1: GRE封装格式在3G网络中通过GRE方式实现VPN功能的原理如图1

2、所示：图2：GRE应用原理图如图2所示,3G移动用户可能经常要远程访问其企业的私有网络，这时就可以充分利用3G网络提供的GRE功能在手机用户和企业之间建立起一条隧道，手机用户的IP地址可以由GGSN分配，也可以由企业分配，可以是私有地址，也可以是公有地址。手机用户所归属的GGSN和企业的私有网络之间虽然没有专线存在，但是通过在GGSN上打GRE隧道，用户数据报文同样可以通过公网到达企业网，即通过GRE隧道技术达到了租用专线的效果。3G移动用户采用什么方式接入到企业网，是通过签约的APN（接入点名）来决定的，中兴ZXW10 GGSN针对不同的APN可以有不同的接入方式，例如普通接入、GRE接入、

3、L2TP接入等。如果是GRE接入，不同的APN允许建立不同的GRE隧道，因此，对于GGSN来说，和企业之间建立的隧道是一对多的关系，如下图所示。图3 GGSN和企业之间的隧道连接当GGSN上行发现手机用户签约的APN接入方式是GRE接入，则对上行数据报文进行GRE隧道封装，然后将封装后的报文发送到公网上，并路由转发至企业网关。企业网关收到报文后，解开GRE封装，并将用户Playload取出并转发。下行报文由GGSN负责解开GRE封装，并通过3G网络发送给手机用户，完成VPN功能。2 业务的实现说明2.1 Gn口2.1.1 控制面发送SGSN或GGSN的IP协议栈收到发送请求后，先在协议栈IP层

4、构造包含GTP-C报文的常规IP包，然后根据GRE隧道源目的IP地址构造进行隧道封装的IP包，将GRE头，原常规IP包进行隧道封装，然后查路由表，将该报文转发出去.2.1.2 LP接收控制面GRE包LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本端控制面隧道地址、协议类型为GRE，则查数据库，得到其归属SGMP 或GGMP板协议栈进程的PID，然后执行GRE解封装后用R01消息将GTP-C包转发至其归属业务处理板。2.1.3 用户面GRE的发送SGSN或GGSN的IP协议栈收到收到发送请求后，先在协议栈IP层构造包含GTP-U报文的常规IP包，然后根据GRE隧道源目的IP地址构造进

5、行隧道封装的IP包，并构造GRE帧的首部、计算校验和，然后将GRE头，原常规IP包进行隧道封装，然后查路由表，将该报文转发出去。2.1.4 LP接收用户面GRE包LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本LP板用户面隧道地址、协议类型为GRE，则查数据库，得到其归属用户板的内部通信MAC地址，然后执行GRE解封装后通过内部数据通道将GTP-U包转发至其归属业务处理板。2.2 Gi口2.2.1 发送模块功能：对于从GGSN发向PDN的IP包判断是否需要进行GRE的封装，如果需要则进行GRE封装，发送。2.2.2 接受模块功能：对于从PDN接受到的IP包判断是否需要进行GRE的解

6、封，如果需要则进行GRE解封，解封之后再根据IP头的目的地址转发。2.2.3 GTP的GRE处理模块功能：根据从手机来的数据包的PDP上下文中的APN确定是否对该包进行GRE处理。2.2.4 数据库模块功能：后台对GRE隧道的对端进行配置，即配置目的网关节点集.3 安全变量无安全变量。4 配置使用说明4.1 Gn口配置4.1.1 组网图GGUPGGLPINTERNETSGLPSGUP30.1.136.3830.1.136.104200.38.2.160200.104.2.160tunnelGGSNSGSN10.1.136.3810.1.136.104目的: GGSN的私网地址可以穿越公网到达S

7、GSN;SGSN的私网地址可以穿越公网到达GGSNGGSN:接口板地址为30.1.136.38, 控制面地址为200.38.1.159, 用户面地址为200.38.2.160GGSN侧隧道源地址为30.1.136.38,目的地址为30.1.136.104, 隧道IP地址为10.1.136.38SGSN接口板地址为30.1.136.104, 控制面地址为200.104.1.159,用户面地址为200.104.2.160SGSN侧隧道源地址为30.1.136.104,目的地址为30.1.136.38, 隧道IP地址为10.1.136.1044.1.2 SGSN配置4.1.2.1 配置Tunnel接

8、口4.1.2.2 隧道封装地址配置隧道源地址为SGSN接口板地址:30.1.136.104,目的地址为GGSN接口板地址30.1.136.384.1.2.3 隧道IP地址配置配置隧道IP地址为10.1.136.1044.1.2.4 配置静态路由如到GGSN控制面需走GRE隧道,则配置到GGSN控制面200.38.1.159静态路由下一跳到GGSN隧道IP地址10.1.136.38.同样,如到GGSN用户面需走GRE隧道,则配置到GGSN用户面200.38.2.160静态路由下一跳到GGSN隧道IP地址10.1.136.38. 当然,如控制面,用户面都走GRE隧道,只配置一条静态路由200.38

9、.0.0 掩码为255.255.0.0,下一跳地址为10.1.136.38即可4.1.2.5 业务地址配置在业务地址配置中,将SGSN隧道源地址即接口板30.1.136.104属性配置为GRE源地址.4.1.3 GGSN配置GGSN配置和SGSN配置方法相同,雷同之处不再赘述,只列出相应的步骤.4.1.3.1 配置Tunnlel接口同1.2.14.1.3.2 隧道封装地址配置隧道源地址为GGSN接口板地址:30.1.136.38,目的地址为SGSN接口板地址30.1.136.1044.1.3.3 隧道IP地址配置配置隧道IP地址为10.1.136.384.1.3.4 配置静态路由如到SGSN控

10、制面需走GRE隧道,则配置到SGSN控制面200.104.1.159静态路由下一跳到SGSN隧道IP地址10.1.136.104.同样,如到SGSN用户面需走GRE隧道,则配置到SGSN用户面200.104.2.160静态路由下一跳到SGSN隧道IP地址10.1.136.104.当然,如控制面,用户面都走GRE隧道,只配置一条静态路由200.104.0.0 掩码为255.255.0.0,下一跳地址为10.1.136.38即可.4.1.3.5 业务地址配置在业务地址配置中,将GGSN隧道源地址即接口板30.1.136.38属性配置为GRE源地址4.1.4 注意事项 测试时MS发起激活,与PDN间

11、互发ping包,在GN口抓SGSN,GGSN控制面,用户面包,看报文中是否有正确的GRE封装.注意: 1) 隧道配置了源地址,目的地址后才生效,所以必须先配置隧道源地址,目的地址,再配置隧道IP地址,否则,隧道IP地址不生效.2) 目前GRE只是实现了最基本的功能,其他功能未实现,如checksum等未实现,所以即使隧道一端配置有checksum, 另一端配置没有checksum,也无所谓.4.2 Gi口配置4.2.1 组网图10.41.82.127Ethernet2/0: 10.41.82.148 HUBEthernet2/1: 30.1.136.5830.1.136.38PDNGGSNRO

12、UTEREthernet2/1端口地址30.1.136.58，GGLP端口地址30.1.136.38，PDN PC地址10.41.82.127视为私网地址，路由器Ethernet2/0端口地址10.41.82.148为公网地址,视为企业私网对外的网关。移动终端激活后，其数据由GGSN经过GRE封装，经过公网到达私网的网关Ethernet2/0端口10.41.82.148，进行GRE解封装，去掉GRE头部。回来的数据处理过程正好相反，给手机的数据在私网网关进行GRE封装，在GGSN进行解封装。移动终端和企业私网的数据通过隧道穿梭，可以跨越广阔的因特网，从而实现VPN功能。4.2.2 GGSN侧配

13、置4.2.2.1 配置APN建立一个APN (如),用户面Gi口连接方式选择GRE隧道连接4.2.2.2 Gi口隧道封装源地址配置PDN源地址配置为路由器上和GGSN连接这一侧的地址: 30.1.136.58GGSN源地址配置为GGLP地址:30.1.136.384.2.2.3 业务地址配置4.2.3 路由器配置路由器配置只要是对网口，虚接口进行配置，并设置GRE隧道。网口和虚接口的配置与用Telnet配置路由基本类似。主要说虚接口和隧道配置。进入全局配置模式：Router#conf tEnter configuration commands, one per line. End with C

14、NTL/Z.Router(config)#配置虚接口和GRE隧道。虚接口：Router(config)#intTunnel 1设置隧道模式为GRE：Router(config-if)#tunnel mode gre ip设置隧道源地址和隧道目的地址：Router(config-if)#tunnel source 30.1.136.58Router(config-if)#tunnel destination 30.1.136.38 设置GRE隧道规则：如果GRE隧道配置了一个网段的地址，则向这个网段的其他地址发数据包时，将对其中进行GRE封装。如手机动态获得的IP地址为38.38.38.* 网段

15、，则在路由器的GRE隧道要配置一个该网段的地址,如38.38.38.58Router(config-if)#ip address 38.38.38.58 255.255.255.0配置完成后，用exit退出配置模式。用show run命令可以察看配置结果：interface Tunnel1 ip address 38.38.38.58 255.255.255.0 tunnel source 30.1.136.58 tunnel destination 30.1.136.38interface Ethernet2/0 ip address 10.41.82.148 255.255.252.0 h

16、alf-duplexinterface Ethernet2/1 ip address 30.1.136.58 255.255.255.0 half-duplex4.2.4 SGSN侧配置SGSN中配置Gi口具有GRE隧道连接方式的APN: 4.2.5 注意事项测试时使用激活一个PDP上下文,然后MS与PDN间互发PING包,抓GGSN接口板地址30.1.136.38的包,看抓到的ICMP包中是否有正确的GRE封装.另外,当GGSN无法发送GRE报文时,很可能是取报文地址寻找路由有问题,如200o版本Gi口GRE采用报文目的地址查找路由，导致路由不通，无法发送GRE报文，应该采用GRE隧道目的地

17、址来查找路由.如需使用该版本测试,可以增加一条到私网IP地址(比如PDN地址10.41.82.127)的路由,下一跳指向隧道目的地址(30.1.136.58)即可,这样就可以在不修改版本的情况下Gi口能正常发出GRE报文.5 特别说明6 现场测试条例测试编号测试目的预置条件测试步骤通过准则1验证SGSN/GGSN能正确封装/解封Gn口控制面的报文1.无线网和核心网工作正常；2.移动用户已经在HLR签约，并签约GPRS业务.1. 配置SGSN,GGSN控制面走GRE隧道.2移动用户开机附着,发起激活请求.在Gn口使用第三方工具抓隧道地址上的包，能看到SGSN向GGSN发送的Create PDP

18、Context Request消息以及GGSN向SGSN发送Create PDP Context Response消息中有正确的GRE封装。2验证SGSN/GGSN能正确封装/解封Gn口用户面的报文1.无线网和核心网工作正常；2.移动用户已经在HLR签约，并签约GPRS业务1. 配置SGSN,GGSN用户面走GRE隧道.2移动用户开机附着,发起激活请求.3. 激活成功后,在PDN上PING手机地址.在Gn口使用第三方工具抓隧道地址上的包，能看到SGSN/GGSN用户面发送/收到的GTP报文中有正确的GRE封装。3.验证GGSN正确封装/解封Gi口用户面报文1.无线网和核心网工作正常；2.移动用户已经在HLR签约，并签约GPRS业务1.GGSN与路由器上已做好GRE配置2.移动用户开机附着,发起激活请求.3. 激活成功后,在外部网关上PING手机地址.1.GGSN正确接封GRE报文，经GTP封装发送到Gn口；2.GGSN正确封装手机返回的上行报文，发送到PDN.