GRE over IPsec配置及原理
GRE over IPsec配置及原理
背景:
ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态
GRE具有很牛的隧道技术,传输速度快,并且支持组播技术
但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高
怎么才能使通信即快,又方便,又安全呢?
GRE 和IPsec的联动解决了这个问题
GRE隧道传输的同时,ipsec又为他保驾护航
配置:
- 先配置GRE的隧道,并且可以通过ospf宣告网段建立邻居,但是,不能宣告公网口地址,否则会造成路由黑洞,详细的解释可以看另一篇博客:GRE配置详解和路由黑洞及检测技术
RT1:
int tunnel 0/0/1
tunn gre
ip add 172.16.13.1 24
sour 12.0.0.1 des
23.0.0.3ospf 1 router-id 1.1.1.1
a 0
net 192.168.10.0 0.0.0.255
net 172.16.13.0 0.0.0.255
RT3:
int tunnel 0/0/1
tunn gre
ip add 172.16.13.2 24
sour 23.0.0.3
des 12.0.0.1
ospf 1 router-id 3.3.3.3
a 0
net 192.168.20.0 0.0.0.255
net 172.16.13.0 0.0.0.255
配置完GRE后,隧道已经建立好了,可以配置IPsec来进行加密
这里ipsec可以选择传输模式,因为GRE会在头部封装公网地址,ipsec隧道模式也会在esp外面封装公网地址,所以可以选择传输模式,节约开销
配置:
RT3:(使用的是ipsec传输模式和ike协商模式)
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm md5
dh group2
ipsec proposal hefei
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
ike peer hefei v1
pre-shared-key cipher 123.com
ike-proposal 1
local-address 23.0.0.3
remote-address 12.0.0.1
acl 3000
rule 5 per gre so 23.0.0.3 0 des 12.0.0.1 0
ipsec policy hefei 1 isakmp
pro hefei
ike-peer hefei
sec acl 3000
RT1:(使用的是ipsec传输模式和ike协商模式)
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm md5
dh group2
ipsec proposal shanghai
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
ike peer shanghai v1
pre-shared-key cipher 123.com
ike-proposal 1
local-address 12.0.0.1
remote-address 23.0.0.3
acl 3000
rule 5 per gre so 12.0.0.1 0 des 23.0.0.3 0
ipsec policy shanghai 1 isakmp
pro shanghai
ike-peer shanghai
sec acl 3000
这里的acl感兴趣流的地址要配置公网地址,因为会先到GRE的隧道中,打上新的ip头部,新的头部使用的是公网地址,ipsec是根据流量触发的,如果使用私网地址无法触发ipsec的机制
在接口未调用ipsec前是可以看到GRE头部,GRE封装的新ip头部,并且里面的私网地址,数据,以及数据包类型都可以看的一清二楚
根据推测,这个应该是ospf的hello报文,但是通过ipsec的封装,除了公网地址,其他什么也看不见
巧妙的解决了刚开始的问题
ipesc sa 验证:
GRE验证:
路由表
GRE over IPsec配置及原理相关推荐
- 华为IPsce以及GRE over IPSec配置练习
华为IPsce以及GRE over IPSec配置练习 一.拓扑以及需求 二.配置思路 (1)打通核心层 (2)利用GRE将PC1.PC2逻辑上连接起来 (3)需求加密1:加密PC3与PC4的通信数据 ...
- 山石网科GRE over IPSec 配置
拓扑图 一.配置左侧设备 配置设备接口IP及安全域 配置设备安全策略(实验为了方便全放行) 配置p1提议 配置p2提议 配置VPN对端列表 配置IKE VPN列表 配置GRE 和 tunnel1 接口 ...
- H3C GRE over ipsec配置
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle. 总部: 公网地址:100.0 ...
- GRE over IPSec技术原理
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术.GRE可以对某些网络层协议(如IPX.Apple Talk.IP等)的报文进 ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- DCN-2655 gre隧道 vpn 嵌入IPSec配置:
DCN-2655 gre隧道 vpn 嵌入IPSec配置: RT1配置: Ip route 183.203.10.128 255.255.255.252 183.203.10.2 Interface ...
- GRE over IPsec VPN配置
GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...
- GNS3 配置Static p2p GRE over IPsec
1.实验拓扑 2.基础网络配置 R1配置: interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 interface FastEthe ...
- 【HUAWEIH3C】对比华为和华三的IPSec配置
有关IPSec VPN的原理,这里就不展开了,我们直接上图上配置 一.固定IP,主模式VPN配置 华为: # ike proposal 1 encryption-algorithm aes-cbc- ...
最新文章
- darknet53的网络结构笔记
- CentOS5.4下安装短信猫
- laravel 5.5 顶部带条件分页查询
- make xconfig 报‘ptrdiff_t’ does not name a type错误解决方法
- react 与 Vue的一些比较
- vue定义一个全局价格处理函数
- resin指定java版本_resin的几个常用配置
- 只在当前页面生效的css样式,修改页面中的一个样式 仅在当前页面生效
- Spring Boot Redis
- 天齐锂业高管减持后定增160亿 收到深交所关注函
- 通向财务自由之路07_利用方案设法启动你的系统
- eclipse3.2 汉化 汉化包下载
- Java 开源报表制作
- Android SurfaceView动画(一)
- ORB-SLAM3 一张图梳理rgbd_tum.cc主流程
- mysql 07001_MySQL迁移文件的小问题
- 如何在pe里加载阵列卡驱动_PE中RAID卡驱动的添加办法
- 2020mysql下载教程
- 分享两个好玩好看的特效
- eth0 eth0:1 eth0.1 的区别