镜像流量能送到gre吗
镜像流量能送到gre。根据查询相关资料信息显示,镜像流无需两端协商,实现简单,可直接通过使用GRE隧道对镜像流量进行封装,镜像流量能送到gre。流量镜像(Mirroring/traffic-shadow),也叫作影子流量,是指通过一定的配置将线上的真实流量复制一份到镜像服务中去,通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的。
gre over ipsec 为什么最后应用在物理接口,而不是隧道接口
ipsec over gre ,加密是在隧道口。
而gre over ipsec , 先把数据分装成GRE包,然后再封装成IPSEC包。而ipsec的加密,是在物理接口上监控,是否有需要加密的GRE流量 。
cisco ipsec +gre +ospf route 0 0 外网 route 192.168.0.0/16 192.168.253.1 还有个nat 转发不保护的流量
要保护的流量先引入tunnel隧道进行GRE封装(根据这条路由route 192.168.0.0/16 192.168.253.1),封装了之后有新的源目IP地址,再根据这个新的源目IP地址,用IPSec的加密ACL据此抓出这流量进行加密。至于NAT转发不保护的流量,只要IPSec加密ACL不抓这些不需要保护的流量即可。
怎样通过gre隧道技术,实现bgp路由拓扑自动发现
当我们说一个在两个AS之间的连接时,意味着两件事:物理连接:两个AS之间存在一条共享的数据链路子网,并且在该子网上,每个AS至少有一台自己的边界网关路由器。因此,每个AS的边界网关路由器可以转发数据包到其他AS的边界网关路由器,无需借助于AS内到AS间的路由。BGP连接:在各个AS的BGP发言人之间有一个BGP会话进程,通过会话沟通路由,经过声明的AS到达某目标网络。本文档中,我们对构成BGP连接的BGP发言人加以额外限制:他们必须是自己直接共享数据链路子网。因此,相邻AS间的BGP会话无需AS内或AS间的路由。超出本文范围的案例可能与该限制不符。因此,在每个连接中,每个AS拥有一个以上的BGP发言人和边界网关路由器,这些BGP发言人和边界网关路由器分布在共享数据链路子网上。注意到,BGP发言人不一定是边界网关路由器,反之亦然。一条连接上一个AS的BGP发言人声明的路径可以被同一个共享子网上其他AS的边界网关路由器使用,也就是非直接的邻居是允许的。一个AS内的流量,要么是源于该AS,要么是终于该AS(也就是说,IP数据包的源IP或目的IP在该AS内)。符合以上描述的流量称为本地流量,否则称为过渡流量。BGP使用的主要目的是控制过渡流量。按照某AS如何处理过渡流量,AS可以分为以下几类:末端AS:只连接到一个其他AS。自然地,末端AS只运输本地流量。多宿主AS:连接到超过一个的其他AS,但不运输过渡流量。过渡AS:连接到超过一个的其他AS,可以运输本地和过渡流量。一个完整的ASpath提供了有效和简捷的方式来避免路由回路、消除伴随距离向量算法的计数到无穷问题,因此,BGP没有对AS之间的连接拓扑加以任何限制。
联系我们请扫一扫上面二维码