GRE Over IPSec技术
分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道,现需要在GRE隧道之外再封装IPSec隧道,对总部和分部的通信进行加密保护。
GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPSec隧道中的加密传输。
GRE overIPSec可以结合GRE和IPSec两种技术的优点,使网络既可以支持多种上层协议和组播报文,又可以支持报文加密、身份认证机制和数据完整性校验。
当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。
GRE over IPSec可以使用两种封装模式∶
- 隧道模式
- 传输模式
GRE Over IPSec传输模式
传输模式不改变GRE封装后的报文头,IPSec隧道的源和目的地址就是GRE封装后的源和目的地址。
因传输模式不改变GRE封装后的报文头,IPSec隧道的源和目的地址就是GRE封装后的源和目的地址,故用户A访问用户B的报文有2个IP报头,分别为用户私网IP报头和GREIP报头。
对于私网IP报头,源地址为用户A的地址192.168.1.1,目的地址为用户B的地址 192.168.2.1。
对于GRE IP报头,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
GRE Over IPSec隧道模式
隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息。
隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息,封装后的消息共有三个报文头∶ 原始报文头、GRE报文头和IPSec报文头,Internet上的设备根据最外层的IPSec报文头来转发该消息。
封装GRE报文头时,源和目的地址可以与IPSec报文头中的源和目的地址相同,即使用公网地址来封装;也可以使用私网地址封装GRE报文头,例如,创建Loopback接口并配置私网地址,然后在GRE中借用Loopback接口的地址来封装。
在GRE over IPSec中,无论IPSec采用传输模式还是隧道模式,都可以保护两个网络之间通信的消息。这是因为GRE已经进行了一次封装,原始报文就可以是两个网络之间的报文。
注意∶隧道模式与传输模式相比多增加了新的IPSec报文头,导致报文长度更长,更容易导致分片。如果网络环境要求报文不能分片,推荐使用传输模式。
因隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息,故用户A访问用户B的报文有3个IP报头,分别为用户私网IP报头、GRE IP报头和IPSec IP报头。对于私网IP报头,源地址为用户A的地址192.168.1.1,目的地址为用户B的地址 192.168.2.1。
对于GRE IP报头,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
对于IPSecIP报头,同GREIP报头一致,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
GRE over IPSec配置思路
配置Tunnel逻辑接口时,需要指定GRE隧道使用的源地址及目的地址。配置到对端网络内网网段的路由时,下一跳为Tunnel口。
配置GRE over IPSec时,与单独配置GRE和IPSec没有太大的区别。唯一需要注意的地方是,通过ACL定义需要保护的数据流时,不能再以总部和分部内部私网地址为匹配条件,而是必须匹配经过GRE封装后的报文,即定义报文的源地址为GRE隧道的源地址,目的地址为GRE隧道的目的地址。
配置较为简单:略
GRE Over IPSec技术相关推荐
- GRE over IPSec技术原理
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术.GRE可以对某些网络层协议(如IPX.Apple Talk.IP等)的报文进 ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- 三十二、VPN技术概述——GRE、IPSec、MPLS vpn
文章目录 vpn 简介 用途 优缺 一.GRE-VPN 1.基础配置步骤: 2.可选配置 二.IPSEC-VPN 概述 1.IPSes 特性 2.IPSec 架构 3.IPSec 数据封装 三.GRE ...
- IPsec技术介绍(转)
目 录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过 ...
- GRE over IPsec配置及原理
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导 ...
- 华为IPsce以及GRE over IPSec配置练习
华为IPsce以及GRE over IPSec配置练习 一.拓扑以及需求 二.配置思路 (1)打通核心层 (2)利用GRE将PC1.PC2逻辑上连接起来 (3)需求加密1:加密PC3与PC4的通信数据 ...
- FD.io/VPP — GRE over IPSec
3# 目录 文章目录 GRE over IPSec VPP Responder(被动) 配置接口 配置 IPSec IKEv2 配置 GRE 隧道 VPP Initiator(主动) 配置接口 配置 ...
- GRE OVER IPSEC
实验五.GRE over IPSec 一.实验拓朴: 二.实验目的: 1. 所有流量通过GRE封装 2. 所有流量被IPSec保护 3. 实现路由协议数据只被GRE封装,用户业务数据被IPSec ...
- H3C GRE over IPsec实验
GRE over IPsec VPN实验 一.拓扑图 二.组网需求 三.配置步骤 1.配置各设备IP地址 2.配置默认路由 3.配置DHCP 4.配置 GRE over IPsec VPN (1)在 ...
- HUAWEI篇 NGFW与AR网关建立GRE over IPSec隧道
组网需求 如图1-1所示,企业希望总部和分支的内网可以安全互访,且分支和总部间要能够传送组播数据(例如企业内网部部署了动态路由,动态路由交互过程中存在组播报文交互).由于单纯的IPSec隧道不能传送组 ...
最新文章
- 什么是C++模板?_百度知道
- 【s操作】轻松优雅的解决孩子的小学数学题
- ASP.NET 4.0 的新特性(2 在WebForm中使用Routing)(翻译)
- Rancher搭建NFS服务器
- graphpad的折线图x轴自定义_Graphpad Prism绘制折线图
- webpack 引入jquery和第三方jquery插件
- Literal Web 服务器控件
- 关于Error.captureStackTrace
- sql avg和count_SQL sum(),count()和avg()函数
- python爬虫实例(爬取航班信息)
- UE4编辑器下Tick的实现
- 搜狗微信文章url解码
- unity 粒子系统面板参数释义
- electron坑: 缩小放大快捷键
- 努力工作,却永不升职,是种怎样的体验?
- Graham-Scan算法计算凸包的Python代码实现
- vue实现图片切换效果
- Mac安装Java反编译工具JD-GUI(解决打不开问题)
- i.MX6ULL GPIO
- zeppelin整合hive
热门文章
- 安卓实时打印kernel日志
- SEO内部优化与SEO外部优化
- RGB-D SLAM in Dynamic Environments Using Static Point Weighting论文笔记
- 名词用作动词举例_[名词的活用] 名词的活用例子
- 机器视觉技术的尺寸测量
- 计算机应用物联网应用技术论文,物联网的关键技术及计算机物联网的应用研究...
- php英语单词大全95
- 转载.NET技术-.NET各大网站-编程技术网址 - Road - 博客园
- phpcms数据库备份与恢复_Phpcms一键清理数据后完整找回数据
- 【团队绩效考核方案】命劫开发