GRE over IPSec 如何应用?如何在ensp上配置GRE over IPSec 实验?

于 2024-12-17 17:05:06 发布
阅读量684 收藏 15
点赞数 22
文章标签: 网络 IPSec GRE VPN ensp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83911225/article/details/144539896
版权

GRE over IPSec应用场景

IPSec VPN本端设备无法感知对端有几个设备 ,本端共用一个IPSec SA 。报文封装中没有对端设备的下一跳 ,所以无法传输组播、广播和非IP报文 ,比如OSPF协议 ,导致分支与总部的内部网络之间无法使用OSPF路由。

GRE over  IPSec可利用GRE和IPSec的优势 ,通过GRE将组播 、广播和非IP报文封装成普通的 IP报文 ,通过IPSec为封装后的IP报文提供安全地通信 ,进而可以提供在总部和分支之间安全地传送广播、组播的业务

GRE over IPSec报文封装

当网关之间采用GRE over IPSec连接时 ,先进行GRE封装 ,再进行IPSec封装 。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式 。采用AH协议的GRE over IPSec报文封装过程如下:

GRE over IPSec的优势

GRE over IPSec的实验

实验拓扑

实验配置

##.配置接口IP地址。

[AR1]interface g0/0/0

[AR1-GigabitEthernet0/0/0]ip  address  1.1.3.2  255.255.255.0

[AR1-GigabitEthernet0/0/0]quit

#

[AR1]interface g0/0/1

[AR1-GigabitEthernet0/0/1]ip  address  1.1.5.2  255.255.255.0

[AR1-GigabitEthernet0/0/1]quit

##配置OSPF

[AR1]ospf 1

[AR1-ospf-1]area 0.0.0.0

[AR1-ospf-1-area-0.0.0.0]network 1.1.3.0  0.0.0.255

[AR1-ospf-1-area-0.0.0.0]network 1.1.5.0  0.0.0.255

[AR1-ospf-1-area-0.0.0.0]quit

[AR1-ospf-1]quit

##.配置接口IP地址。

[FW1]interface gigabitethernet 1/0/0

[FW1-GigabitEthernet1/0/0]ip address 10.1.1.11 255.255.255.0

[FW1-GigabitEthernet1/0/0]quit

#

[FW1]interface gigabitethernet 1/0/1  

[FW1-GigabitEthernet1/0/1]ip address 1.1.3.11  255.255.255.0  

[FW1-GigabitEthernet1/0/1]quit

##.将接口加入相应的安全区域。

[FW1]firewall zone trust  

[FW1-zone-trust]add interface gigabitethernet 1/0/0  

[FW1-zone-trust]quit

#

[FW1]firewall zone untrust  

[FW1-zone-untrust]add interface gigabitethernet 1/0/1  

[FW1-zone-untrust]quit

##.配置域间安全策略。

[FW1]security-policy

[FW1-policy-security]rule name policy1

[FW1-policy-security-rule-policy1]source-zone trust

[FW1-policy-security-rule-policy1]destination-zone untrust

[FW1-policy-security-rule-policy1]source-address 10.1.1.0 24

[FW1-policy-security-rule-policy1]destination-address 10.1.2.0 24

[FW1-policy-security-rule-policy1]action permit

[FW1-policy-security-rule-policy1]quit

#

[FW1-policy-security]rule name policy2

[FW1-policy-security-rule-policy2]source-zone untrust

[FW1-policy-security-rule-policy2]destination-zone trust

[FW1-policy-security-rule-policy2]source-address 10.1.2.0 24

[FW1-policy-security-rule-policy2]destination-address 10.1.1.0 24

[FW1-policy-security-rule-policy2]action permit

[FW1-policy-security-rule-policy2]quit

#

[FW1-policy-security]rule name policy3

[FW1-policy-security-rule-policy3]source-zone local destination-zone untrust

[FW1-policy-security-rule-policy3]source-address 1.1.3.11 32

[FW1-policy-security-rule-policy3]destination-address 1.1.5.22 32

[FW1-policy-security-rule-policy3]action permit

[FW1-policy-security-rule-policy3]quit

#

[FW1-policy-security]rule name policy4

[FW1-policy-security-rule-policy4]source-zone untrust

[FW1-policy-security-rule-policy4]destination-zone local

[FW1-policy-security-rule-policy4]source-address 1.1.5.22 32

[FW1-policy-security-rule-policy4]destination-address 1.1.3.11 32

[FW1-policy-security-rule-policy4]action permit

[FW1-policy-security-rule-policy4]quit

[FW1-policy-security-rule-policy4]quit

##.在FW1上配置GRE。

[FW1]interface tunnel 1

[FW1-Tunnel1]tunnel-protocol gre

[FW1-Tunnel1]ip address 30.1.1.1  255.255.255.0

[FW1-Tunnel1]source 1.1.3.11

[FW1-Tunnel1]destination 1.1.5.22

[FW1-Tunnel1]quit

##.将接口Tunnel 1加入Untrust区域。

[FW1]firewall zone untrust

[FW1-zone-untrust]add interface tunnel 1

[FW1-zone-untrust]quit

# 配置ospf路由

[FW1]ospf

[FW1-ospf-1]a 0

[FW1-ospf-1-area-0.0.0.0]network  10.1.1.0 0.0.0.255

[FW1-ospf-1-area-0.0.0.0]network  1.1.3.0 0.0.0.255

##创建高级ACL 3000,配置源IP地址为1.1.3.11、目的IP地址为1.1.5.22的规则。

[FW1]acl 3000

[FW1-acl-adv-3000]rule 5 permit ip source 1.1.3.11 0 destination 1.1.5.22 0

[FW1-acl-adv-3000]quit

##.配置IPSec安全提议tran1,采用缺省参数。

[FW1]ipsec proposal tran1

[FW1-ipsec-proposal-tran1]esp authentication-algorithm sha2-256

[FW1-ipsec-proposal-tran1]esp encryption-algorithm aes-256

[FW1-ipsec-proposal-tran1]quit

##.配置IKE安全提议,采用缺省参数。

[FW1]ike proposal 10

[FW1-ike-proposal-10]authentication-method pre-share

[FW1-ike-proposal-10]prf hmac-sha2-256

[FW1-ike-proposal-10]encryption-algorithm aes-256

[FW1-ike-proposal-10]dh group14

[FW1-ike-proposal-10]integrity-algorithm hmac-sha2-256

[FW1-ike-proposal-10]quit

##.配置IKE Peer。

[FW1]ike peer b

[FW1-ike-peer-b]ike-proposal 10

[FW1-ike-peer-b]remote-address 1.1.5.22

[FW1-ike-peer-b]pre-shared-key Test!123

[FW1-ike-peer-b]quit

##.配置采用IKE方式协商的IPSec策略。

[FW1]ipsec policy map1 10 isakmp

[FW1-ipsec-policy-isakmp-map1-10]security acl 3000

[FW1-ipsec-policy-isakmp-map1-10]proposal tran1

[FW1-ipsec-policy-isakmp-map1-10]ike-peer b

[FW1-ipsec-policy-isakmp-map1-10]quit

##.在接口GE1/0/1上应用IPSec策略组map1。

[FW1]interface gigabitethernet 1/0/1

[FW1-GigabitEthernet1/0/1]ipsec policy map1

[FW1-GigabitEthernet1/0/1]quit

##.配置接口IP地址。

[FW2]interface gigabitethernet 1/0/0  

[FW2-GigabitEthernet1/0/0]ip  address 10.1.2.22  255.255.255.0  

[FW2-GigabitEthernet1/0/0]quit

#

[FW2]interface gigabitethernet 1/0/1  

[FW2-GigabitEthernet1/0/1]ip  address 1.1.5.22  255.255.255.0

[FW2-GigabitEthernet1/0/1]quit

##.配置接口加入相应的安全区域。

[FW2]firewall zone trust  

[FW2-zone-trust]add interface gigabitethernet 1/0/0

[FW2-zone-trust]quit

#

[FW2]firewall zone untrust  

[FW2-zone-untrust]add interface gigabitethernet 1/0/1  

[FW2-zone-untrust]quit

##.配置域间安全策略。

[FW2]security-policy

[FW2-policy-security]rule name policy1

[FW2-policy-security-rule-policy1]source-zone trust

[FW2-policy-security-rule-policy1]destination-zone untrust

[FW2-policy-security-rule-policy1]source-address 10.1.2.0 24

[FW2-policy-security-rule-policy1]destination-address 10.1.1.0 24

[FW2-policy-security-rule-policy1]action permit

[FW2-policy-security-rule-policy1]quit

#

[FW2-policy-security]rule name policy2

[FW2-policy-security-rule-policy2]source-zone untrust

[FW2-policy-security-rule-policy2]destination-zone trust

[FW2-policy-security-rule-policy2]source-address 10.1.1.0 24

[FW2-policy-security-rule-policy2]destination-address 10.1.2.0 24

[FW2-policy-security-rule-policy2]action permit

[FW2-policy-security-rule-policy2]quit

#

[FW2-policy-security]rule name policy3

[FW2-policy-security-rule-policy3]source-zone local

[FW2-policy-security-rule-policy3]destination-zone untrust

[FW2-policy-security-rule-policy3]source-address 1.1.5.22 32

[FW2-policy-security-rule-policy3]destination-address 1.1.3.11 32

[FW2-policy-security-rule-policy3]action permit

[FW2-policy-security-rule-policy3]quit

#

[FW2-policy-security]rule name policy4

[FW2-policy-security-rule-policy4]source-zone untrust

[FW2-policy-security-rule-policy4]destination-zone local

[FW2-policy-security-rule-policy4]source-address 1.1.3.11 32

[FW2-policy-security-rule-policy4]destination-address 1.1.5.22 32

[FW2-policy-security-rule-policy4]action permit

[FW2-policy-security-rule-policy4]quit

[FW2-policy-security-rule-policy4]quit

##.在FW2上配置GRE。

[FW2]interface tunnel  1

[FW2-Tunnel1]tunnel-protocol gre

[FW2-Tunnel1]ip address 30.1.1.2 24

[FW2-Tunnel1]source 1.1.5.22

[FW2-Tunnel1]destination 1.1.3.11

[FW2-Tunnel1]quit

##.将接口Tunnel 1加入Untrust区域。

[FW2]firewall zone untrust  

[FW2-zone-untrust]add interface tunnel 1  

[FW2-zone-untrust]quit

##.配置路由

[FW2]ospf 1

[FW2-ospf-1]a 0

[FW2-ospf-1-area-0.0.0.0]network  10.1.2.0 0.0.0.255

[FW2-ospf-1-area-0.0.0.0]network  1.1.5.0 0.0.0.255

##.创建高级ACL 3000,配置源IP地址为1.1.5.22、目的IP地址为1.1.3.11的规则。

[FW2]acl 3000  

[FW2-acl-adv-3000]rule 5 permit ip source 1.1.5.22 0 destination 1.1.3.11 0

[FW2-acl-adv-3000]quit

#

##.配置IKE安全提议,采用缺省参数。

[FW2]ike proposal 10

[FW2-ike-proposal-10]authentication-method pre-share

[FW2-ike-proposal-10]prf hmac-sha2-256

[FW2-ike-proposal-10]encryption-algorithm aes-256

[FW2-ike-proposal-10]dh group14

[FW2-ike-proposal-10]integrity-algorithm hmac-sha2-256   

[FW2-ike-proposal-10]quit

#

##.配置IKE peer。

[FW2]ike peer a  

[FW2-ike-peer-a]ike-proposal 10

[FW2-ike-peer-a]remote-address 1.1.3.11

[FW2-ike-peer-a]pre-shared-key Test!123

[FW2-ike-peer-a]quit

#

##.配置IPSec安全提议tran1,采用缺省参数。

[FW2] ipsec proposal tran1

[FW2-ipsec-proposal-tran1]esp authentication-algorithm sha2-256

[FW2-ipsec-proposal-tran1]esp encryption-algorithm aes-256

[FW2-ipsec-proposal-tran1]quit

#

##.配置IPSec安全策略。

[FW2]ipsec policy map1 10 isakmp  

[FW2-ipsec-policy-isakmp-map1-10]security acl 3000  

[FW2-ipsec-policy-isakmp-map1-10]proposal tran1  

[FW2-ipsec-policy-isakmp-map1-10]ike-peer a  

[FW2-ipsec-policy-isakmp-map1-10]quit

##.在接口GE1/0/1上应用IPSec策略组map1。

[FW2]interface gigabitethernet 1/0/1  

[FW2-GigabitEthernet1/0/1]ipsec policy map1

[FW2-GigabitEthernet1/0/1]quit

[SW1]user-interface console 0

[SW1]idle-timeout 0

[SW1]quit

##.配置接口IP地址。

[SW1]interface Vlanif 1

[SW1-Vlanif1]ip address 10.1.1.254 255.255.255.0

[SW1-Vlanif1]quit

##.配置OSPF

[SW1]ospf 1

[SW1-ospf-1]area 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0]quit

[SW1-ospf-1]quit

>clock timezone beijing add 8

<huawei>system-view

[huawei]sysname SW2

[SW2]user-interface console 0

[SW2]idle-timeout 0

[SW2]quit

##.配置接口IP地址。

[SW2]interface Vlanif 1

[SW1-Vlanif2]ip address 10.1.2.254 255.255.255.0

[SW1-Vlanif2]quit

##.配置OSPF

[SW2]ospf 1

[SW2-ospf-1]area 0.0.0.0

[SW2-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255

[SW2-ospf-1-area-0.0.0.0]quit

[SW2-ospf-1-area]quit

IPSec Over GRE配置实验
A soul tortured by desire
08-05 2883
实验目的: 配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通 组网需求: 如图,R1为总公司出口路由,R2为分公司出口路由,分支与总部通过公网建立通信。 原公司分支与总部通过GRE隧道实现私网互通,现要求对分支与总部之间互相访问的流量(不包括组播数据)进行安全保护。因此,可基于虚拟隧道接口方式建立IPSec Over GRE,对分支和总部互通的流量进行保护。 GRE配置: ***********总部R1**************** <Huawei>sy
防火墙Gre over IPSec的原理和配置
最新发布
2403_83112422的博客
03-09 1183
实现PC1与PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口
华为eNSP-GRE实验
weixin_45745641的博客
12-15 4146
文章目录实验1实验环境实验需求实验步骤1.配置PC1和PC2的IP、子网掩码、网关2.配置路由器IP3.配置GRE4.配置默认路由5.检测是否互通PC1 ping PC2实验2实验环境实验需求实验步骤1.配置ip2.配置FW1、FW2 ip3.创建tunnel借口并添加安全区域4.设置默认路由和静态路由5.配置安全策略6.ping命令测试 实验1 实验环境 实验需求 实现PC1和PC2跨公网互访 实验步骤 1.配置PC1和PC2的IP、子网掩码、网关 2.配置路由器IP R1 : G0/0/0 IP:
GRE OVER IPSEC配置方法
weixin_33812433的博客
04-17 1190
试验目的:GRE OVER IPSEC配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
华为eNSP防火墙 配置使用GRE over IPSec隧道
m0_75102488的博客
08-31 2497
华为eNSP防火墙配置
华为eNSP模拟器防火墙GRE OVER IPSEC VPN
IThqx的博客
06-25 650
admin/Admin@1234(注意原始密码是Admin@123,因为第一次用命名配置的话会强制改密码!源地址:to-1:118.122.120.90 目的地址ip:to-2:118.122.120.80。gre-to-ipsec源地址:118.122.120.80。to-2目的地址:118.122.120.90。注意:ip地址可以自己规划!
[eNSP]GRE over IPSec(对GRE通道进行加密)
ZXW_NUDT的博客
04-07 3982
首先要打通GRE通道: https://blog.csdn.net/ZXW_NUDT/article/details/115480258 然后: 2、创建IKE提议 [AR 1]ike proposal 1 # 创建IKE提议 [AR 1-ike-proposal-1]encryption-algorithm 3des-cbc # 指定加密算法 [AR 1-ike-proposal-1]authentication-algorithm md5 # 认证算法 [AR 3]ike pr.
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 963
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3021
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4598
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
华为eNSP模拟[GRE通用路由封装协议]【视频教程+拓扑实验】.zip
09-08
华为eNSP模拟[GRE通用路由封装协议]【视频教程+拓扑实验】: 包含视频教程、华为eNSP网络模拟器搭建的实验GRE是通用路由封装协议,仅供学习参考!
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 2608
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
ENSP_GRE实验
siwexing的博客
01-13 213
ensp_实验gre
gre over ipsec隧道实验eNSP测试)
热门推荐
qq_34549869的博客
03-14 4万+
1、实验拓扑 2、实验配置# 3、实验效果 在AR1的G0/0/1口捉包,PC2对PC2进行ping操作,以下是捉包看到的IP,已经给加密了,看不到两端实际的通信IP了。 1 该实验实在上个实验基础上拓展的,建议先看上个实验-VPNgre隧道实验eNSP测试) 链接: link. ↩︎ ...
核心实验23_GRE over IPsec vpn_ENSP
garliccc的博客
09-14 544
核心实验23_GRE over IPsec vpn_ENSP
华为GRE over IPSEC结局方案
DREW德鲁
07-30 621
GRE over IPSECIPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由 使用场合 总部与分支机构跨越Internet互联。 总部与分支机构之间的路由协议为动态路由协议。 1,配置GRE [AR1]int t0/0/0 [AR1-Tunnel0/0/0]ip add 10.1.1.1 24 [AR1-Tunnel0/0/0]tunnel-protoco gre [
ENSP中的GRE实验:Tunnel 0/0/0配置指南
在该文件描述的“ensp-gre实验 tunnel 0/0/0”中,可能是在某种网络模拟软件(如华为的eNSP,即Enterprise Network Simulation Platform)中进行GRE隧道的配置实验。 在进行GRE实验之前,我们首先需要理解GRE隧道的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值