企业分支与总部配置GRE over IPSec双链路综合实验(设备:USG6000、AR2240)并配置策略路由实现不同网段通过不同的供应商上网

已于 2022-01-29 18:59:50 修改
阅读量2.1k 收藏 12
点赞数 2
分类专栏: 路由交换配置 文章标签: 网络
于 2020-12-09 18:00:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WannaHaha/article/details/110922352
版权

实验背景:

企业总部和分支机构之间要可以相互访问内网,现在一般采用在总部和分支的出口设备上建立隧道的方式,这种方式需要在公网上传输总部与分支之间的数据流。

IPSec仅支持单播,如果采用IPSec 只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。

由于GRE隧道不提供安全性保障,传输明文在公网显然很不安全;

综上两点:考虑到路由和安全性两点,利用它们的优点并互补缺点,使用ipsec配合gre隧道,是目前比较常用的方式。

它的加密方式分为两种,可以使用IPSec来加密隧道进行传输,叫做IPSec over GRE,也可以加密数据流后从隧道传输,称为GRE over IPSec。

此实验中采用GRE over IPSec

但是为了保证链路的冗余,建立主备两条GRE over IPSec;

实验思路

1、配置经过ISP1的GRE隧道;

了解本专栏 订阅专栏 解锁全文 超级会员免费看
刘林锋blog
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
订阅专栏
两个网关之间建立GRE over IPSec VPN(IPSec安全策略方式)
加油!
06-26 788
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播和非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
单路由器多线路接入运营商冗余实战
07-01
适合人群: 网络规划人员 系统管理员 课程目标: 单路由/防火墙,多线路ISP接入,实现自动切换和负载均衡 课程简介: 在实际生产环境中,很多场景在局端和出口之间会存在一些关联设备(光纤交换机,光电转换盒),虽然局端出现故障时,但出口链路实际还是UP的,所以路由不会改变。因此我们希望:链路自动转换。这种情况最好使用网络质量分析(NQA)来定时追踪局端状态,如果局端口出现问题(Down/拥塞),自动转为另外出口。 本课程分三部分: 1、策略路由(PBR)概述 2、策略路由直连方式 3、策略路由+NQA联动方式
IPSec Over GRE配置实验
A soul tortured by desire
08-05 2524
实验目的: 配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通 组网需求: 如图,R1为总公司出口路由,R2为分公司出口路由,分支总部通过公网建立通信。 原公司分支总部通过GRE隧道实现私网互通,现要求对分支总部之间互相访问的流量(不包括组播数据)进行安全保护。因此,可基于虚拟隧道接口方式建立IPSec Over GRE,对分支总部互通的流量进行保护。 GRE配置: ***********总部R1**************** <Huawei>sy
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)
weixin_43996007的博客
01-26 7923
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道 IPSec介绍 IPSec的英文是Internet Protocol Security,是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 IPsec主要由以下协议组成: 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。 二、封装安全...
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 2735
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
GRE over IPSec
BJH23的博客
09-04 2961
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
华三(H3C)GRE OVER IPsec实验
h320758724的博客
04-27 3263
实验需求 1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置 5. 总部分支
用Mikrotik Router搭建GRE over IPSec 备用链路
weixin_34376562的博客
01-06 530
公司在国内、日本、美国、德国、新加坡等多地均有业务,中间业务网络用的公司专有GPN(Global Private Network中文名是全球私有化网络链路,目前测试搭建一条备用链路,用于网络冗余和故障切换。 初步选用方案GRE over IPSec,跑ospf路由协议。一、为何要选GRE over IPSec:各个site网络比较多,需要使用路由协议进行互联;IPS...
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8018
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
华为USG6000, USG6000E, USG9500, NGFW Module)快速配置指南
09-16
HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南(旧界面版) HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南(新界面版)
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V4.0)
03-09
华为防火墙配置案例
华为Usg6000配置文档.chm
12-17
华为Usg6000配置文档
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
USG6000v设备包和NE5000E设备
04-17
该资源为eNSP的USG6000v防火墙设备包以及NE5000E设备包,下载导入即可使用,防火墙默认账号密码为:user:admin password:Admin@123
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3079
华为防火墙NAT环境下配置IPSec——NAT穿透
GRE over IPSec讲解与实验
m0_49864110的博客
05-25 548
目录 GRE over IPSec讲解 IPSec over GRE讲解(一般不用) GRE over IPSec实验配置 基础配置(以FW1为例子,FW2和FW1类似) 配置GRE 配置IPSec 配置安全策略 GRE over IPSec讲解 可以弥补GRE隧道无法加密的缺点,并且可以借助GRE传播组播流量等 防火墙——图解隧道技术数据报文传输解封装过程_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details
ensp usg6000v gre 基础配置(一)
sgslwms的博客
12-22 1473
1:配置ip地址(略) 2:防火墙接口加区域 [fw1]firewall zone trust [fw1-zone-trust]add int g1/0/1 [fw1-zone-trust]q [fw1]firewall zone untrust [fw1-zone-untrust]add int g1/0/0 [fw1-zone-untrust]q [fw2]firewall zone trust [fw2-zone-trust]add int g1/0/1 [fw2-z...
USG6000v安全策略配置
最新发布
09-20
USG6000v的安全策略配置可以通过以下步骤实现: 1. 首先,你可以使用默认的安全区域(local、trust、dmz、untrust),它们的安全级别分别为100、85、50、5。当然,你也可以自己手动创建安全区域并定义安全等级。 2. 其次,将防火墙g口加入相应的安全区域。可以使用以下命令将g1/0/0加入trust区域:firewall zone trust,然后使用add int g1/0/0命令添加接口。 3. 接下来,需要配置域间包过滤,以保证网络基本通信正常。你可以配置trust区域到local区域的安全策略,以允许telnet流量通过。可以使用以下命令进行配置: - 进入trust区域:[USG6000V1-zone-trust]quit - 进入安全策略配置模式:[USG6000V1]security-policy - 创建规则名称为allow_telnet的规则:[USG6000V1-policy-security]rule name allow_telnet - 设置源安全区域为trust:[USG6000V1-policy-security-rule-allow_telnet]source-zone trust - 设置目标安全区域为local:[USG6000V1-policy-security-rule-allow_telnet]destination-zone local - 设置动作为允许:[USG6000V1-policy-security-rule-allow_telnet]action permit - 退出安全策略配置模式:[USG6000V1-policy-security-rule-allow_telnet]quit - 退出安全策略配置模式:[USG6000V1-policy-security]quit 以上就是USG6000v的安全策略配置步骤。如果你还有其他相关问题,请告诉我。 相关问题: 1. 如何添加防火墙接口到dmz区域? 2. 怎样配置USG6000v的安全策略来限制特定IP访问? 3. 如何修改USG6000v的安全区域的安全级别?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘林锋blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值