GRE/VXLAN 过nat的一些尝试

最新推荐文章于 2026-04-06 02:59:28 发布
原创 最新推荐文章于 2026-04-06 02:59:28 发布 · 3.3k 阅读 · 3
标签
#网络 #ssl #服务器
本文探讨了GRE和VXLAN隧道如何在穿越NAT时保持连接。介绍了在网关设备为OVS的情况下,如何配置GRE和VXLAN以通过NAT,并强调了Nat-T的重要性。同时,提到了Linux内核中针对VXLAN的修改,以支持NAT穿越,并指出保活机制对于维持连接跟踪表的重要性。

支持nat-t的tunnel要么是标准的C/S模型,能够从墙内发起建立tunnel隧道,且有保活机制使防火墙上的ct持久生效。要么像IPSec一样,能够在协议层面支持,知道tunnel是经过nat的。

linux gre 和 vxlan 作为常用的tunnel口是无法过nat的,但其性能和复杂度比ssl,ipsec这些能够过nat的tunnel要好很多。

做了些gre/vxlan过nat的测试,做了些记录:
在这里插入图片描述

GRE过nat

如果网关设备为ovs,直接通过流表学习到nat过的gre头即可,如果网关设备为linux bridge需要改动内核gre模块,修改量不多。

网关设备为ovs:
网关设备上ovs上配置
* 创建br0

ovs-vsctl add-br br0

ip link set up dev br0

ip addr add 211.1.1.1/24 dev br0

* 创建gre口

ovs-vsctl add-port br0 gre1 -- set interface gre1 type=gre options:local_ip=192.168.121.177 options:remote_ip=flow options:key=flow

* 创建流表,in_port=1是gre1的端口编号,流表主要用于学习反向nat过的流表。流表需要配置老化时间防止对端不可用后流表残留,这里只是测试没配置。

ovs-ofctl add-flow br0 "priority=1,in_port=1,actions=learn(priority=1,NXM_OF_ETH_DST[]=NXM_OF_ETH_SRC[] load:NXM_NX_TUN_ID[]->NXM_NX_TUN_ID[
最低0.47元/天 解锁文章
bigsheng2
关注
vxlan配置详解
04-26
vxlan配置详解本文提供高水平概述虚拟可扩展LAN (VXLAN)和验证命令和输出按照的一些配置示例
【sdwan实验】versa分支vxlan双向NAT打通
yb890102的博客
11-01 1361
versa sdwan实验
Linux vxlanNAT穿透和UDPspeeder黑科技
weixin_42657276的博客
04-28 1003
众所周知,Linux的vxlan实现不支持穿透NAT网络环境。并且由于它没有分离listen port和dst port(两者都使用dst_port),没法整活UDPspeeder这种暴力发包工具。言归正传,要让vxlan支持NAT穿透,必然要改造源码,直接贴patch(针对linux-5.10.146)
华三设备VXLAN集中式网关配置避坑指南:从Underlay到NAT的完整流程
最新发布
weixin_33734785的博客
04-06 401
本文详细解析了华三设备VXLAN集中式网关的配置流程与常见问题,涵盖从Underlay网络搭建到NAT协同配置的全过程。通过实战案例和排错技巧,帮助网络工程师避免常见陷阱,确保VXLAN组网的高效稳定运行。
GRE,MGRE技术
qq_44685426的博客
01-08 1652
VPN: 通常我们联通外网,是使用ISP联通从运营商获取的公网地址,但是NAT基础无法去从一个私网连接登录到另外一个私网地址。 例如:我们从分公司的网络去登录公司总部的某一台服务器。此时我们的源MAC地址是本地PC,目标MAC地址是网关,源IP是本地的私网ip,而目标ip是总公司的一个私网ip。而我们通过ISP路由器,此时查看我们的三层ip地址来更改我们的ip地址,但是我们只能去修改我们去的ip地址。 --- NAT技术只能去修改目标/源ip地址中的一个,无法做到用私网...
防火墙GRENAT
qq_62449917的博客
04-30 1605
pc2与pc3访问公网pc1要做地址转换。Pc2和pc3之间互通;这里实现pc2与pc3互通;
实验10:NATGRE综合配置
Sum
06-11 2075
实验10:NATGRE综合配置 一、实验目的和要求 目的:进一步掌握NATGRE的配置方法。 要求:独立完成实验任务和实验报告、截图完整,并辅以必要的文字说明,实验步骤有条理、内容清楚流畅。 二、实验设备 计算机1台,思科模拟器(2811路由器3台,pc机3台,R3需增加一个NM-1FE2W模块) 三、实验步骤及要求: 要求: R1和R2模拟二个内网路由器,R3模拟互联网路由器,pc1和pc2要访问pc3需进行NAT转换,pc1和pc2可以互相访问,通过建立GRE隧道实现。 其中,R1和R2的隧道接口
OpenStack OVS GRE/VXLAN
dechen6073的博客
02-10 1237
https://www.jianshu.com/p/0b52de73a4b3 OpenStackOVSGRE/VXLAN网络 学习或者使用OpenStack普遍有这样的现象:50%的时间花费在了网络部分;30%的时间花费在了存储方面;20%的时间花费在了计算方面。OpenStack网络是不得不逾越的鸿沟,接下来我们一起尝试努力穿越这个沟壑吧……J 主要参考: RDO官...
OpenStack OVS GRE/VXLAN网络
不积跬步,无以至千里;不积小流,无以成江海!
08-13 4168
学习或者使用OpenStack普遍有这样的现象:50%的时间花费在了网络部分;30%的时间花费在了存储方面;20%的时间花费在了计算方面。OpenStack网络是不得不逾越的鸿沟,接下来我们一起尝试努力穿越这个沟壑吧……J 主要参考: RDO官网对GRE网络的分析: http://openstack.redhat.com/Networking_in_too_much_detail Open
OpenStack 入门学习之八:OpenStack OVS GRE/VXLAN网络
lgshendy的专栏
06-28 714
文章来自:http://blog.sina.com.cn/s/blog_9762b74e010135vv.html   学习或者使用OpenStack普遍有这样的现象:50%的时间花费在了网络部分;30%的时间花费在了存储方面;20%的时间花费在了计算方面。OpenStack网络是不得不逾越的鸿沟,接下来我们一起尝试努力穿越这个沟壑吧……J 主要参考: RDO官网对GRE网络的分析: ...
华为策略路由/GRE/NAT简单实例
NeverGUM的博客
01-24 2320
需求背景 需求1:总公司有董事办网和员工网,并且有两条出口线路,其中1.1.1.2为中国电信1Gbps高速线路,2.2.2.2为中国移动100Mbps专线低速链路,公司希望董事办192.168.1.0/24可以总是走1Gbps专线,而员工网走中国移动100Mpbs专线; 思路:使用策略路由,对内网流量进行过滤,IP重定向,自定义公网出口,并且使用NAT技术进行IP地址转换,使得内网IP使用公网IP可以访问互联网; 需求2:总公司和分公司需要内网直接通信,内网互相访问,公司希望建立一条VPN GRE隧道
NAT、V*N、隧道技术
GraceQin97的博客
10-11 3667
Network Address Translation,NAT网络地址转换Virtual Private Network, 虚拟专用网络Virtual:虚拟的,在计算机网络的相关名词中,Virtual很常见,Virtual Local Network(VLAN),又如虚拟端口,在trunk link等中都有广泛应用。我个人理解的虚拟也即逻辑上的概念,并非物理存在,而是建立在物理连接上的虚拟、逻辑概念。因此,虚拟专用网络没有自己的物理专线,而是建立在已有公网上的逻辑概念上的网络
网络工程师:VXLAN这9个术语要精通!
网络技术联盟站
05-19 1359
VXLAN技术通过创建虚拟网络隧道,提供了灵活、高效的网络虚拟化解决方案。在VXLAN架构中,租户、Underlay网络和Overlay网络、NVE、VTEP、VNI、BD、VBDIF接口、VAP和网关等关键术语构成了其核心组件。理解这些术语及其功能,对于构建和管理大规模数据中心网络至关重要。通过本文的详细介绍,希望能帮助读者更好地理解和应用VXLAN技术,以实现高效的网络虚拟化和管理。
Neutron总结-linuxbridge+vxlan网络
创新是灵魂,执行是生命。
04-16 3357
本篇文章介绍如何规划及创建linuxbridge+vxlan网络,实现实例间及实例与外部的通讯。
为何vxlan需要封装在UDP里而不是直接使用IP包封装?
lingshengxiyou的博客
11-07 2560
如果使用IP封装,VxLAN 协议头需要提供字段支持NAT,即使这样,还需要VxLAN端点之间路径上的NAT设备升级软件,这是吃力不讨好的方案。由于源端口号基于内层以太网头的HASH,不同的Source MAC/ Destination MAC对应不同的业务,会将不同的业务映射到不同的。看到另外两位同学的答案,UDP端口提供了更灵活的负载均衡的潜能,观点正确,算是使用UDP封装的一个原因,在这里我给大家分析一下。如果运营商不支持用户组播,则需要头端设备将用户的广播、组播,复制为多份进行单播传输,无状态的。
eNSP作业中NAT+GRE综合练习案例(个人学习笔记,如有问题可评论)
2301_76546331的博客
06-03 683
GRE的全称叫作通用路由封装,其目的是在原本因为封装协议的问题而无法通过路由协议相互学习路由的设备之间能够相互通告路由信息。
互联网应用如何穿越NAT
探秘
02-11 1096
什么是穿越NAT   在上图中,ICG网关后面有两台主机分别是有线主机192.168.1.2和无线主机192.168.1.3,现在这两台主机都要访问网站www.tektalk.cn(弯曲评论,域名解析后地址为74.220.215.202),根据专栏第三期介绍,ICG要将内部主机地址进行转换(NAT),换成网关的WAN口地址发起访问,否则网站数据无法正确返回。 我们先看看问题是怎么产生的,19
技术点详解---互联网应用如何穿越NAT
maimang1001的专栏
02-18 806
技术点详解---互联网应用如何穿越NAT - IP技术专栏 - 技术甜甜圈 - 新华三集团-H3C 什么是穿越NAT 在上图中,ICG网关后面有两台主机分别是有线主机192.168.1.2和无线主机192.168.1.3,现在这两台主机都要访问网站www.tektalk.cn(弯曲评论,域名解析后地址为74.220.215.202),根据专栏第三期介绍,ICG要将内部主机地址进行转换(NAT),换成网关的WAN口地址发起访问,否则网站数据无法正确返回。 我们先看看问题是怎么产生的,192.1.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值