GRE Over IPSec技术

分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道，现需要在GRE隧道之外再封装IPSec隧道，对总部和分部的通信进行加密保护。

GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护，因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况，可以通过建立GRE隧道，并对组播数据进行GRE封装，然后对封装后的报文进行IPSec的加密处理，就实现了组播数据在IPSec隧道中的加密传输。

GRE overIPSec可以结合GRE和IPSec两种技术的优点，使网络既可以支持多种上层协议和组播报文，又可以支持报文加密、身份认证机制和数据完整性校验。

当网关之间采用GRE over IPSec连接时，先进行GRE封装，再进行IPSec封装。

GRE over IPSec可以使用两种封装模式∶

隧道模式
传输模式

GRE Over IPSec传输模式

传输模式不改变GRE封装后的报文头，IPSec隧道的源和目的地址就是GRE封装后的源和目的地址。

因传输模式不改变GRE封装后的报文头，IPSec隧道的源和目的地址就是GRE封装后的源和目的地址，故用户A访问用户B的报文有2个IP报头，分别为用户私网IP报头和GREIP报头。

对于私网IP报头，源地址为用户A的地址192.168.1.1，目的地址为用户B的地址 192.168.2.1。

对于GRE IP报头，源地址为NGFW_A的公网出口地址1.1.1.1，目的地址为NGFW_B的公网出口地址3.3.3.3。

GRE Over IPSec隧道模式

隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息。

隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息，封装后的消息共有三个报文头∶ 原始报文头、GRE报文头和IPSec报文头，Internet上的设备根据最外层的IPSec报文头来转发该消息。

封装GRE报文头时，源和目的地址可以与IPSec报文头中的源和目的地址相同，即使用公网地址来封装;也可以使用私网地址封装GRE报文头，例如，创建Loopback接口并配置私网地址，然后在GRE中借用Loopback接口的地址来封装。

在GRE over IPSec中，无论IPSec采用传输模式还是隧道模式，都可以保护两个网络之间通信的消息。这是因为GRE已经进行了一次封装，原始报文就可以是两个网络之间的报文。

注意∶隧道模式与传输模式相比多增加了新的IPSec报文头，导致报文长度更长，更容易导致分片。如果网络环境要求报文不能分片，推荐使用传输模式。

因隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息，故用户A访问用户B的报文有3个IP报头，分别为用户私网IP报头、GRE IP报头和IPSec IP报头。对于私网IP报头，源地址为用户A的地址192.168.1.1，目的地址为用户B的地址 192.168.2.1。

对于GRE IP报头，源地址为NGFW_A的公网出口地址1.1.1.1，目的地址为NGFW_B的公网出口地址3.3.3.3。

对于IPSecIP报头，同GREIP报头一致，源地址为NGFW_A的公网出口地址1.1.1.1，目的地址为NGFW_B的公网出口地址3.3.3.3。

GRE over IPSec配置思路

配置Tunnel逻辑接口时，需要指定GRE隧道使用的源地址及目的地址。配置到对端网络内网网段的路由时，下一跳为Tunnel口。

配置GRE over IPSec时，与单独配置GRE和IPSec没有太大的区别。唯一需要注意的地方是，通过ACL定义需要保护的数据流时，不能再以总部和分部内部私网地址为匹配条件，而是必须匹配经过GRE封装后的报文，即定义报文的源地址为GRE隧道的源地址，目的地址为GRE隧道的目的地址。

配置较为简单：略