查看接口状态,能直接看到key的值,不知道这算不算不安全。
如果两端设置的key不一致,不会有错误提示,接口状态也不会协议DOWN,但是业务确实中断了。
好,接下来我们把两边设置成相同的key,验证一下。
连通性正常。抓个包看一下数据是否加密。
啊,亮瞎了我的狗眼。密码是明文显示的,数据依旧是明文显示的。这个GRE确实方便,但是安全性有待提高啊。
验证两端同子网
跟测试IPsec一样,我们试一下两端相同子网能不能互通。
很棒,跟上次配置相同,能实现两端配置相同子网的互通,而且可以看到traceroute路径。
验证隧道DF
在RT2设备上开启DF位标志,验证发现能通过的数据包长度少了4个。
这是什么原因?抓个包看一眼。
好像也没什么,只是开了DF之后,MTU就小了4字节。
总结
1、GRE的配置确实很简单,简单到几条命令就能实现;
2、GRE的安全性确实比较差,差到验证隧道的密钥都是明文传输的,而且对封装的数据报文没有任何加密措施;
3、GRE隧道中如果开启不允许分片,会导致MTU变为1468字节;
4、GRE封装和VXLAN封装的MTU都是1472字节,要是你,你怎么选择?