实验五、GRE over IPSec

一、实验拓朴:

二、实验目的:

1、  所有流量通过GRE封装

2、  所有流量被IPSec保护

3、  实现路由协议数据只被GRE封装,用户业务数据被IPSec所保护

三、实验配置:

(1)、实现单播通信

RT1#

interface Tunnel1  //设置tunnel通道

ip address 1.1.1.1 255.255.255.0

tunnel source 202.103.96.112  //定义tunnel源地址

tunnel destination 202.103.95.112  //定义tunnel目标地址

keepalive 20 3  //定义keepalive机制

!

interface Ethernet0/0

ip address 202.103.96.112 255.255.255.0

half-duplex

!

ip route 0.0.0.0 0.0.0.0 202.103.96.111

ip route 192.168.2.0 255.255.255.0 tunnel1  //定义细化路由,GRE是基于路由的***

!

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  //定义感兴趣流量(多余配置,便于后面的实现)

!

RT2如RT1所配

(2)、ospf over GRE,且ospf 流量只被GRE封装,用户业务数据被IPSec保护

RT1#

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key cisco address 202.103.95.112

!

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

mode transport

!

crypto map cisco 10 ipsec-isakmp

set peer 202.103.95.112

set transform-set cisco

match address 101

!

interface Loopback0

ip address 192.168.1.1 255.255.255.0

!

interface Tunnel1

ip address 1.1.1.1 255.255.255.0

tunnel source 202.103.96.112

tunnel destination 202.103.95.112

crypto map cisco

!

interface Ethernet0/0

ip address 202.103.96.112 255.255.255.0

half-duplex

!

router ospf 1

router-id 1.1.1.3

log-adjacency-changes

passive-interface Ethernet0/0

network 1.1.1.1 0.0.0.0 area 0

network 192.168.1.0 0.0.0.255 area 0

!

ip route 0.0.0.0 0.0.0.0 202.103.96.111

!

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

!

如果所有流量均被IPSec所保护的话,感兴趣流量应定义为:

access-list 101 permit ip host 202.103.96.112 host 202.103.95.112

并将map应用于出站口

RT2如RT1配置

四、实验调试:

RT1#show ip route

C    202.103.96.0/24 is directly connected, Ethernet0/0

1.0.0.0/24 is subnetted, 1 subnets

C       1.1.1.0 is directly connected, Tunnel1

C    192.168.1.0/24 is directly connected, Loopback0

S    192.168.2.0/24 is directly connected, Tunnel1

S*   0.0.0.0/0 [1/0] via 202.103.96.111

RT1#show ip route

C    202.103.96.0/24 is directly connected, Ethernet0/0

1.0.0.0/24 is subnetted, 1 subnets

C       1.1.1.0 is directly connected, Tunnel1

C    192.168.1.0/24 is directly connected, Loopback0

192.168.2.0/32 is subnetted, 1 subnets

O       192.168.2.1 [110/11112] via 1.1.1.2, 00:02:47, Tunnel1

S*   0.0.0.0/0 [1/0] via 202.103.96.111

RT1#

五、数据包分析:

(1)、单播通信

所有的流量均被GRE封装,此处用的icmp协议,报文格式为:

新IP头(协议号47)

GRE头

原IP头

上层协议头

Data

新ip头:S:202.103.95.112   D:202.103.96.112

原ip头: S:192.168.2.1   D:192.168.1.1

上层协议头为:icmp 类型为8,代码为0 的请求报文

(2)、ospf流量只被GRE封装,用户业务数据被IPSec所保护

业务数据均通过udp传输,封装isakmp头部

报文格式为:

IP头

UDP 头

isakmp头

Data

IP头为set peer的地址:S:202.103.95.112  D:202.103.96.112

UDP源目端口均为500

Ospf协议数据均被GRE封装传输

封装一个新的ip头以及一个GRE头,实际的ip封装在内部,源ip为1.1.1.2,目标ip为224.0.0.5

转载于:https://blog.51cto.com/liaoyuanchen/1194664

GRE OVER IPSEC相关推荐

  1. FD.io/VPP — GRE over IPSec

    3# 目录 文章目录 GRE over IPSec VPP Responder(被动) 配置接口 配置 IPSec IKEv2 配置 GRE 隧道 VPP Initiator(主动) 配置接口 配置 ...

  2. GRE over IPSec 隧道配置案例

    我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...

  3. H3C GRE over IPsec实验

    GRE over IPsec VPN实验 一.拓扑图 二.组网需求 三.配置步骤 1.配置各设备IP地址 2.配置默认路由 3.配置DHCP 4.配置 GRE over IPsec VPN (1)在 ...

  4. HUAWEI篇 NGFW与AR网关建立GRE over IPSec隧道

    组网需求 如图1-1所示,企业希望总部和分支的内网可以安全互访,且分支和总部间要能够传送组播数据(例如企业内网部部署了动态路由,动态路由交互过程中存在组播报文交互).由于单纯的IPSec隧道不能传送组 ...

  5. 三十二、VPN技术概述——GRE、IPSec、MPLS vpn

    文章目录 vpn 简介 用途 优缺 一.GRE-VPN 1.基础配置步骤: 2.可选配置 二.IPSEC-VPN 概述 1.IPSes 特性 2.IPSec 架构 3.IPSec 数据封装 三.GRE ...

  6. GRE over IPSec技术原理

    GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术.GRE可以对某些网络层协议(如IPX.Apple Talk.IP等)的报文进 ...

  7. 华为路由器:IPSec加密GRE通道(GRE over IPsec)

    IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec ove ...

  8. GRE over IPsec VPN配置

    GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...

  9. 华三(H3C)GRE OVER IPsec实验

    实验拓扑 目录 实验需求 1. 某企业北京总部.上海分支.武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopba ...

最新文章

  1. 深入理解卷II ---ICS源代码下载
  2. 操作系统原理第五章:CPU调度
  3. angularjs 上传
  4. 63 SD配置-交货凭证配置-定义交货的项目类别
  5. proteus里面没有stm32怎么办_使用C#编写STM32对接物联网平台IoTSharp发送遥测数据
  6. Spring Cloud 未来发展方向
  7. 绝对定位的div的居中方法,下面的写法兼容IE系列浏览器和火狐浏览器。
  8. 保险的现金价值是什么意思?
  9. SpringCloud之Zuul网关
  10. perl 语言(数组)
  11. IDEA快捷键大全 + 动图演示,提升效率
  12. [每日一氵] 正则表达式以x开头,以x结尾的字符串
  13. 程序员PK律师——瑞幸咖啡战局
  14. New Year Garland
  15. 【Python】python脚本实例
  16. 禅道安装/禅道远程数据库连接
  17. Spring Cloud Contract 初识之一 :简介
  18. C# 金额大写转小写
  19. 【读书笔记】浪潮之巅~与时代同行
  20. 触觉马达DRV2605

热门文章

  1. python读取 .mat 文件(matlab文件)
  2. react源码学习笔记
  3. 运维 + 数据 + AI=企业数字化难题的应对之法?
  4. 不重复,distinct
  5. IO知识点整理(序列化,管道流,数据流,字节数组流,与编码)
  6. Nginx概述与安装
  7. 不同数据库中两列字段相减(某列有空值)
  8. ai ci ba logon use infomation
  9. linux存储--inode详解(六)
  10. DPDK 大页内存实现(二十二)