GRE over IPsec,IPsec不服,要求IPsec over GRE

最新推荐文章于 2024-06-26 15:10:29 发布
最新推荐文章于 2024-06-26 15:10:29 发布
阅读量889 收藏 7
点赞数
分类专栏: 网络技术 文章标签: IPsec GRE ESP AH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/118975753
版权
本文档详细介绍了IPsec over GRE的实验配置,包括组网需求、配置步骤和验证过程。配置中涉及GRE隧道的建立、IPsec策略的设定以及ACL规则的修改。实验结果显示,尽管GRE封装在外层,但内部仍能看到IPsec隧道,最终MTU为1384字节。此外,通过traceroute验证了相同子网的互通性。
摘要由CSDN通过智能技术生成

上个实验介绍了GRE over IPsec,就是GRE在IPsec之上,在报文封装的时候先封装GRE,再封装IPsec,从报文结构上看起来就是一个IPsec封装的报文,看不到GRE封装的痕迹,是用IPsec保护GRE隧道。

今天在上个实验基础上做一下IPsec over GRE实验,也就是GRE在IPsec之上,在报文封装的时候先封装IPsec,再封装GRE。因为GRE是不加密的,所以今天从报文结构上看,应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的,不能说用GRE隧道保护IPsec隧道了,应该是用GRE隧道转发IPsec报文了。

组网需求

RT2和RT4分别连接IPv4私有网络SUBNET 1和SUBNET 5。这两个私有网络使用相同的私网地址192.168.1.0/24。通过在RT2和RT4之间建立IPsec隧道,实现两个相同私有网络的加密互访,并对通过GRE隧道转发IPsec加密报文。

组网拓扑

 

配置步骤

开头提到,IPsec over GRE,在报文封装的时候先封装IPsec,再封装GRE,是用GRE隧道转发IPsec报文。

1、相比于上个实验,我们要修改访问控制列表需匹配数据的原始范围,把IPsec的保护数据流更改为两端互访的数据流量;

2、为了对网络间传输的数据先进行IPsec封装,再进行GRE封装,需要配置IPsec隧道的对端IP地址为GRE隧道的接口地址;

3、再把流量丢进GRE隧道就可以了,也就是将IPsec应用到GRE隧道接口上。

怎么样,听起来是不是也很简单?直接看看配置吧!

RT2

#

 sysname RT2

#

interface GigabitEthernet0/0

ip address 192.168.1.2 255.255.255.0

 proxy-arp enable

#

interface GigabitEthernet0/1

ip address 23.1.1.2 255.255.255.0

#

interface Tunnel0 mode gre

 ip address 1.1.1.2 255.255.255.0

 source 23.1.1.2

 destination 34.1.1.4

 gre key 123321

 gre checksum

 ipsec apply policy ipsecogre

#

 ip route-static 34.1.1.0 24 23.1.1.3

 ip route-static 192.168.1.4 32 Tunnel0

 ip route-static 192.168.1.5 32 Tunnel0

#

acl advanced 3400

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

ipsec transform-set TRAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy ipsecogre 10 isakmp

 transform-set TRAN

 security acl 3400

 remote-address 1.1.1.4

#

ike keychain key

 pre-shared-key address 1.1.1.4 255.255.255.0 key simple ipsecogre

RT-ISP

#

interface GigabitEthernet0/0

ip address 34.1.1.3 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.3 255.255.255.0

RT4

#

 sysname RT4

#

interface GigabitEthernet0/0

ip address 192.168.1.4 255.255.255.0

 proxy-arp enable

#

interface GigabitEthernet0/1

ip address 34.1.1.4 255.255.255.0

#

interface Tunnel0 mode gre

 ip address 1.1.1.4 255.255.255.0

 source 34.1.1.4

 destination 23.1.1.2

 gre key 123321

 gre checksum

 ipsec apply policy ipsecogre

#

 ip route-static 23.1.1.0 24 34.1.1.3

 ip route-static 192.168.1.1 32 Tunnel0

 ip route-static 192.168.1.2 32 Tunnel0

#

acl advanced 3400

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

ipsec transform-set TRAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy ipsecogre 10 isakmp

 transform-set TRAN

 security acl 3400

 remote-address 1.1.1.2

#

ike keychain key

 pre-shared-key address 1.1.1.2 255.255.255.0 key simple ipsecogre

配置说明

1、删除物理接口上的IPsec策略;

2、修改ACL匹配流量为两端的私网地址;

3、修改IKE预共享密钥的对端地址和密钥;

4、创建新的IPsec策略,对端地址为对端GRE隧道地址;

4、在GRE隧道接口上应用IPsec策略。

验证配置

查看RT4设备Tunnel口状态。

 

可以看到有几个相对关键的指标项:

1、MTU为1468字节,跟GRE over IPsec相同;

2、隧道keepalive功能未开启,开启命令如下:

 

3、隧道TTL值为255;

4、GRE over IPv4隧道中安全功能key已设置,密钥为123321;

5、GRE over IPv4隧道中安全功能checksum已设置。

使用display ike sa命令,可以看到第一阶段的SA正常建立。

 

使用display ipsec sa命令可以看到IPsec SA的建立情况。

 

可以看到,IPsec封装在内层,MTU是1412字节;GRE封装在外层,MTU是1468字节。那这次最后会是多少呢?

验证隧道MTU

 

可以发现,实际能通过的最大报文大小也是1384字节,跟GRE over IPsec相同。抓个包分析一下。

 

这个地方我们捋一下,报文的封装结构应该是[以太网包头][外层IPv4包头] [GRE封装] [ESP报文头] [内层IPv4包头] [ICMP报文] [ESP-T校验字段]。

反过来看,内层数据报文IPsec封装后长度为1464字节,比1384字节的数据长80字节,[ESP报文头] [内层IPv4包头] [ICMP报文] [ESP-T校验字段] 段长度为1444字节,比业务报文还要长60字节;单独使用IPsec封装时,ESP封装的数据长度为1476字节,比业务报文的1400字节长76字节。这次少了16字节,问题出在哪了呢?看来后面要和上次的问题一起验证一下了。

验证两端同子网

现在已经知道两端相同子网互通也是没有问题了。但是单独的IPsec实验不能查看traceroute路径,GRE over IPsec就可以,那这次我们看一下IPsec over GRE可不可以?

 

很棒,traceroute路径显示和上次一样,原来使用IPsec over GRE也可以解决,那是不是可以理解为用了GRE隧道就能解决这个问题?

总结

1、IPsec over GRE就是用GRE隧道保护IPsec隧道,从报文结构看起来和GRE报文比较像,但是因为内层封装的是IPsec报文,所以外层显示还是ESP报文。可以看到GRE隧道里面还套了一层IPsec隧道,最终的MTU也是1384字节,和GRE over IPsec相同;

2、不管是先封装GRE隧道,还是先封装IPsec隧道,都可以看到内层报文的traceroute路径,提高了实用性;

3、因为先封装IPsec隧道,所以在调整保护流量时,还是要和单独使用IPsec隧道一样,调整ACL的兴趣流,配置比GRE over IPsec要麻烦。其实,这个麻烦是相对而言的,只是配置ACL要指定两端的网段,并且还是反掩码,而路由则是目的网段和下一跳;

4、补充了上次的遗留问题,IPsec over GRE实际能通过的最大报文大小为1384字节,ESP封装字段的长度为1444字节,比业务报文长60字节;单独使用IPsec封装时,ESP封装的数据长度为1476字节,比业务报文的1400字节长76字节。上次多余的4个字节哪里去了?这次少了16字节,问题又出在哪里呢?

Danileaf_Guo
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
GRE Over IPsec
qq_51577576的博客
01-06 1345
GRE Over IPsec(GRE 结合 IPsce) IPsec: 不支持组播(意味着不能传递路由 IGP路由利用组播学习)(不是传递路由表 而是 通过ACL交给隧道 走公网 ) 不支持其他网络协议 只支持IP GRE: 找路由表(更灵活 不用写ACL 用IPsce 需要写很多ACL GRE不需要) IPsce IP安全的虚拟专用网络 通用路由封装协议 GRE 协议号47 支持多个上层协议 IPX协议 OSI模型里面的 GRE...
GRE Over IPSec配置
weixin_30247781的博客
12-13 1864
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN的配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯通 *由于没有虚...
GRE over IPSec
BJH23的博客
09-04 4400
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
防火墙GRE over IPSec配置
最新发布
weixin_45564816的博客
06-26 1404
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
gre over ipsec
weixin_44548030的博客
02-27 513
gre over ipsec
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
GRE over IPsec
七汣的博客
02-04 234
GRE over IPsec技术的配置和注意
GRE Over IPSec
KangVcar
07-04 1304
GRE Over IPSec GRE Over IPSec配置命令: 创建GRE隧道: GW(config)#interface tunnel 0            //启用一个虚拟隧道接口,ID两端可以不匹配 GW(config-if)#ip address 12.12.12.1 255.255.255.0    //为隧道配置隧道IP GW(config-
GRE over IPSEC
weixin_46639226的博客
07-11 1464
华三配置(gre over ipsec) vpn 主模式 拓扑 配置思路: 1.公网igp 2.配置ike ipsec 3.配置gre 一、配地址 RTA <H3C>sys System View: return to User View with Ctrl+Z. [H3C] [H3C]in [H3C]interface g0/1 [H3C-GigabitEthernet0/1]ip address 192.168.1.254 24 [H3C-GigabitEthernet0/1]in g
华为路由器:IPSec加密GRE通道(GRE over IPsec
热门推荐
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
IPsec Over GRE与GRE Over IPsec的比较
07-23
IPsec Over GRE(IPsec在GRE上)和GRE Over IPsec(GRE在IPsec上)是两种不同的组合方式,用于在广域网中提供加密和隧道功能。 IPsec Over GRE是指在GRE隧道中使用IPsec加密和身份验证的方式。它将GRE数据包封装在IPsec数据包中,以实现数据的安全传输。这种方式可以提供端到端的加密和认证,保护数据的机密性和完整性。然而,由于IPsec的额外开销,会增加数据包的大小和传输延迟。 GRE Over IPsec是指在IPsec隧道中使用GRE封装的方式。它将IPsec数据包封装在GRE数据包中,以实现数据的封装和隧道功能。这种方式可以提供更高的灵活性和可扩展性,因为GRE可以支持多个协议和多个隧道。然而,由于GRE的额外开销,会增加数据包的大小和传输延迟。 比较这两种方式时,需要考虑具体的应用场景和需求。如果对数据的加密和认证有较高要求,并且可以容忍一定的传输延迟,那么IPsec Over GRE可能是一个合适的选择。如果对灵活性和可扩展性有较高要求,并且可以容忍一定的数据包大小增加,那么GRE Over IPsec可能更合适。 综上所述,选择IPsec Over GRE还是GRE Over IPsec取决于具体需求和权衡。在实际应用中,需要综合考虑安全性、性能、灵活性和可扩展性等因素,并进行适当的配置和测试。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值