ipsec over GRE

最新推荐文章于 2024-07-05 06:24:01 发布
最新推荐文章于 2024-07-05 06:24:01 发布
阅读量885 收藏
点赞数
分类专栏: Cisco 思科
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blakegao/article/details/12784853
版权
需要注意的问题:
1.了解封装的过程:始终查询外层源目地址,并进行相应处理,例如:如果源目地址是隧道的,则进行隧道封装,变成以物理地址为源目的新包;如果在隧道封装之前已经进行了ESP封装,且新包的源目已经是物理地址,则不会进行隧道封装,而是直接送到物理接口发出
2.cryto map有两个作用,1.撞击从配置map接口发出且源目为感兴趣流的数据包,并进行封装。2.检查如果进入接口的数据包,如果是感兴趣流且没有加密,则丢弃数据包,因为从外面进来的数据包正常因该是被加密的,出现没有加密,很有可能是伪装的数据包,丢弃则更加安全,因此,
即使感兴趣流即使没有从某个接口发出,但同样建议在此物理接口上应用cryto map,用于丢弃没有被丢弃的感兴趣流。
3.因为可能在匹配了t0的cryto map之后,变成新包,因此送到t0的包可能在撞击cryto map之后不走t0,需要注意




site2:
!         
crypto isakmp policy 10
 encr 3des
 hash md5 
 authentication pre-share
 group 2  
crypto isakmp key l2lkey address 11.11.11.11
!         
!         
crypto ipsec transform-set trans esp-des esp-md5-hmac 
!         
crypto map cisco local-address Loopback1
crypto map cisco 10 ipsec-isakmp 
 set peer 11.11.11.11
 set transform-set trans 
 match address cisco         
!         
interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!         
interface Loopback1
 ip address 22.22.22.22 255.255.255.0
!         
interface Tunnel0
 ip address 123.1.1.2 255.255.255.0
 tunnel source 202.100.2.2
 tunnel destination 202.100.1.1
 crypto map cisco
!         
interface Ethernet0/0
 ip address 202.100.2.2 255.255.255.0
 half-duplex
!         
router ospf 1
 log-adjacency-changes
 network 2.2.2.0 0.0.0.255 area 0
 network 22.22.22.0 0.0.0.255 area 0
 network 123.1.1.0 0.0.0.255 area 0
!         
ip route 0.0.0.0 0.0.0.0 202.100.2.10
!         
        
ip access-list extended cisco
 permit ip host 2.2.2.2 host 1.1.1.1














site1:        
!         
crypto isakmp policy 10
 encr 3des
 hash md5 
 authentication pre-share
 group 2  
crypto isakmp key l2lkey address 22.22.22.22
!         
!         
crypto ipsec transform-set trans esp-des esp-md5-hmac 
!         
crypto map cisco local-address Loopback1
crypto map cisco 10 ipsec-isakmp 
 set peer 22.22.22.22
 set transform-set trans 
 match address cisco        
!         
interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!         
interface Loopback1
 ip address 11.11.11.11 255.255.255.0
!         
interface Tunnel0
 ip address 123.1.1.1 255.255.255.0
 tunnel source 202.100.1.1
 tunnel destination 202.100.2.2
 crypto map cisco
!         
interface Ethernet0/0
 ip address 202.100.1.1 255.255.255.0
 half-duplex
!         
router ospf 1
 log-adjacency-changes
 network 1.1.1.0 0.0.0.255 area 0
 network 11.11.11.0 0.0.0.255 area 0
 network 123.1.1.0 0.0.0.255 area 0

!         
ip route 0.0.0.0 0.0.0.0 202.100.1.10
!                 
ip access-list extended cisco
 permit ip host 1.1.1.1 host 2.2.2.2
!         

blakegao
关注
专栏目录
IPSec Over GRE配置实验
A soul tortured by desire
08-05 2645
实验目的: 配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通 组网需求: 如图,R1为总公司出口路由,R2为分公司出口路由,分支与总部通过公网建立通信。 原公司分支与总部通过GRE隧道实现私网互通,现要求对分支与总部之间互相访问的流量(不包括组播数据)进行安全保护。因此,可基于虚拟隧道接口方式建立IPSec Over GRE,对分支和总部互通的流量进行保护。 GRE配置: ***********总部R1**************** <Huawei>sy
IPSEC OVER GRE
weixin_46063117的博客
05-20 984
一.R1和R3之间建立GRE隧道 1.配ip地址 [R1-GigabitEthernet0/0]ip a 12.1.1.1 24 [R2-GigabitEthernet0/0]ip a 12.1.1.2 24 [R2-GigabitEthernet0/1]ip a 23.1.1.2 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R1]ip route-static 0.0.0.0 0.
IPSec over GRE(CISCO命令)
weixin_34383618的博客
07-22 579
注意:这里是IPSec over GRE,而不是GRE over IPSec,仅仅是将某些经过加密的流量放到GRE中去跑,首先GRE隧道必须UP,而不是对整个隧道的流量进行加密 试验拓扑: R2配置: hostname R2 ! crypto isakmp policy 1 authentication pre-share //这里的认证方式使...
华为IPsec over GRE隧道的介绍配置实例以及故障案例分析-(值得收藏)
最新发布
满地找牙的博客
07-05 1616
华为IPsec over GRE隧道是一种结合了GRE(Generic Routing Encapsulation,通用路由封装)与IPsec(Internet Protocol Security,互联网协议安全)技术的网络解决方案,用于在不安全的公共网络上创建安全的私有数据传输通道。
ipsec over gRE 详解1
weixin_34050427的博客
05-01 275
下面我们开始第一种ipsec over ger ,拓扑图如下:     配置: R1: crypto isakmp policy 10  encr 3des  hash md5  authentication pre-share  group 2  lifetime 3600 crypto isakmp key ro...
ipsec_over_gre
weixin_34138139的博客
07-27 75
Ipsec over gre 这个技术在现实中基本不用 R1 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 10000 crypto isakmp key benet address 202.102.1.2 ...
IPSEC over GRE
weixin_46639226的博客
11-09 4865
顾名思义,就是对数据包先进行ipsec的封装,然后再外面加上一层GRE的封装,但是这种封装方式缺点很多,ipsec无法支持组播,所以tunnel口的两端不能运行关于组播的一些路由协议,比如ospf,如果运行,那么私网数据在公网上依然能被看到,那么vpn就没意义了。华三的官方配置手册上面也说了这种方式不能充分利用二者的优势,一般不推荐使用,但是它可以不好,但是我们不能不会。 实验组网 需求: 三台路由器模拟公网,公网运行ospf保证两端公网可达,在R1和R3上运行ipsec over gre保证两端私网可达
【HCL】ipsec over gre配置
weixin_48243271的博客
08-08 978
HCL中,ipsec over gre配置过程。
IPSec over GRE -Tunnel口
12-01
IPSec over GRE Tunnel IPSec over GRE Tunnel 是一种安全的隧道技术,结合了 IPSec 和 GRE 两种技术的优势,提供了高级别的安全保护和灵活的网络拓扑结构。本文将通过实验环境,详细介绍 IPSec over GRE Tunnel 的...
H3Cv7版本ipsecovergre配置指导.doc
10-07
H3Cv7版本ipsecovergre配置指导.doc
IPsec Over GRE
weixin_45161890的博客
09-21 462
原理:先封装IPsec在封装GRE, 配置思路:配置acl匹配内网流量,进行ipsec的封装,再配置gre隧道,配置路由互通,把ipsec策略导入gre隧道中。 配置: 1、acl匹配本地内网地址和对端内网地址 2、建立gre隧道 int Tunnel 0 mode gre ip add 隧道ip source 源ip destination 目的ip 3、建立ipsec ike proposal 1 ike keychian r3 pre-shared-key remote address 对端隧道口i
IPsec over GRE
繁星流动天际
04-12 235
IPSEC over GRE Configuration 技术特点:利用tunnel跑动态路由协议 实验 1 : R2(config)#interface tunnel 23 R2(config-if)#ip address 23.1.1.2 255.255.255.0 <===起tunnel地址 R2(config-if)#tunnel s...
网络安全篇 IPSec over GRE-31
佐德将军的博客
06-14 641
实验难度 3 实验复杂度 3 目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 一、实验原理 把GRE与IPSec结合起来就可以实现数据机密性传输的同时,也可以实现内网的互通。本章节会把IPSec封装在GRE中传输,以达上述的目的,好了,我们直接上实验。 二、实验拓扑 三、实验步骤 1.如图搭建网络拓扑; 2.初始化设备,配置相应的IP地址,测试直连网络的连通性; 3.在R1与R3上配置默认路由,使得它们可以相互通信; 4...
H3C IPSEC OVER GRE配置
weixin_34270865的博客
12-01 930
网络拓扑如下 1、公司A端路由器配置 # //定义需要保护的安全数据流 acl number 3000 rule 10 permit ip source192.168.1.00.0.0.255destination192.168.2.0 0.0.0.255 # //定义IKE对等体 ike peer to...
华为防火墙 IPSec over GRE 配置
白话聊网络的博客
03-19 2030
GRE OVER IPSEC 是 gre 做内层封装, ipsec 做外层封装,ipsec 感兴趣数据流为 gre源目地址,适用于两点都是固定 ip 或者一方是动态 IP 或内网环境,由于 ipsec 不能传广播和组播,gre 可以,这种环境还可以运行一些适用组播和广播的协议。GRE是一种三层VPN封装技术。IPSEC OVER GRE 是 IPSEC 做内层封装,GRE 做外层封装,适用于两端路由器都是固定IP,ipsec 策略应用在物理口,ipsec 感兴趣数据流为业务网段,只对业务数据进行加密。
Ensp实验随心记——IPSec Over gre
Uniqueness981121的博客
08-23 1162
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。 IPSec Over gre基础配置IPSec Over gre:将GRE的数据流保护起来 配置IPSec Over gre:将GRE的数据流保护起来 温馨提示:此实验延用上一章实验GRE: https://blog.csdn.net/Uniqueness981121/article/details/108177494 R2也要配置: 这时候出现了一些问题:1.ospf被down掉了。2.
ipsec over gre 详解3
weixin_33790053的博客
05-01 172
拓扑: R1: crypto isakmp policy 10  encr 3des  hash md5  authentication pre-share  group 2  lifetime 3600 crypto isakmp key root address 3.3.3.3 ! ! crypto ipsec transform-set r1set esp-3des...
IPsec Over GRE与GRE Over IPsec的比较
07-23
IPsec Over GRE(IPsec在GRE上)和GRE Over IPsec(GRE在IPsec上)是两种不同的组合方式,用于在广域网中提供加密和隧道功能。 IPsec Over GRE是指在GRE隧道中使用IPsec加密和身份验证的方式。它将GRE数据包封装在IPsec数据包中,以实现数据的安全传输。这种方式可以提供端到端的加密和认证,保护数据的机密性和完整性。然而,由于IPsec的额外开销,会增加数据包的大小和传输延迟。 GRE Over IPsec是指在IPsec隧道中使用GRE封装的方式。它将IPsec数据包封装在GRE数据包中,以实现数据的封装和隧道功能。这种方式可以提供更高的灵活性和可扩展性,因为GRE可以支持多个协议和多个隧道。然而,由于GRE的额外开销,会增加数据包的大小和传输延迟。 比较这两种方式时,需要考虑具体的应用场景和需求。如果对数据的加密和认证有较高要求,并且可以容忍一定的传输延迟,那么IPsec Over GRE可能是一个合适的选择。如果对灵活性和可扩展性有较高要求,并且可以容忍一定的数据包大小增加,那么GRE Over IPsec可能更合适。 综上所述,选择IPsec Over GRE还是GRE Over IPsec取决于具体需求和权衡。在实际应用中,需要综合考虑安全性、性能、灵活性和可扩展性等因素,并进行适当的配置和测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值