IPsec over GRE over IPv6配置案例

于 2024-08-20 21:41:45 发布
阅读量624 收藏 12
点赞数 8
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/141381646
版权

f3d03afd8428116bd38db484064f4fc1.gif

正文共:888 字 7 图,预估阅读时间:1 分钟

我们前面介绍了GRE over IPv6隧道的配置方法配置GRE over IPv6隧道,有同学评价,这种在公网上裸奔的隧道还是不太安全。既然如此,那就搞个IPsec加密一下。

这次中间用不到那么多设备了,简化一下组网模型,如下所示:

98417f1344e193cba2fb924485de2d5e.png

首先参考上次的配置过程,完成GRE over IPv6隧道的配置。

33082f01612b946e7a0e36e8f5722974.png

VSR1

#
interface GigabitEthernet1/0
 ip address 10.1.0.1 255.255.255.0
#
interface GigabitEthernet2/0
 ipv6 address 1002::1/64
#
interface Tunnel1 mode gre ipv6
 ip address 10.13.0.1 255.255.255.0
 source 1002::1
 destination 2003::3
#
ipv6 route-static 2003:: 64 1002::2

a974416c6946ca87080c6d46cc1c5101.png

VSR2

#
interface GigabitEthernet1/0
 ipv6 address 1002::2/64
#
interface GigabitEthernet2/0
 ipv6 address 2003::2/64

510440db9a399386f18afbb6e12d6aab.png

VSR3

#
interface GigabitEthernet1/0
 ip address 10.3.0.1 255.255.255.0
#
interface GigabitEthernet2/0
 ipv6 address 2003::3/64
#
interface Tunnel1 mode gre ipv6
 ip address 10.13.0.3 255.255.255.0
 source 2003::3
 destination 1002::1
#
ipv6 route-static 1002:: 64 2003::2

c301a2de336395d3ae66f5184818917f.png

通过抓包我们可以看到,外层的IPv6报文头,内层的IPv4封装报文头和ICMP报文数据一览无余,确实没有什么安全性可言。

3cce7f7bccc67bf79ce759258b0ce3e4.png

接下来,我们配置IPsec。其实也简单,跟之前的IPsec over GRE差别不大GRE over IPsec,IPsec不服,要求IPsec over GRE

回顾一下,IPsec over GRE,也就是从网络层级上看,GRE在IPsec之上,即在报文封装的时候先封装IPsec,再封装GRE;如果再算上over IPv6,也就是最后封装IPv6报文头。

从配置上来看,我们要配置感兴趣流匹配数据报文的地址段为两端的私网网段,保护两端互访的数据流量;从转发上看,需要将加密流量丢进GRE隧道进行转发,所以在IPsec封装之后,再进行GRE封装,需要配置IPsec隧道的对端IP地址为GRE隧道的接口地址;最后,将IPsec策略应用到GRE隧道接口上就可以了。

知道了这些,配置就简单多了,我们直接看配置。

b3092035c062bbd18c576e14c84aaec6.png

VSR1

#
ike keychain ipv6
 pre-shared-key address 10.13.0.3 255.255.255.0 key simple ipv6
#
ike profile ipv6
 keychain ipv6
 match remote identity address 10.13.0.3 255.255.255.255
#
acl advanced 3400
 rule 0 permit ip source 10.1.0.0 0.0.0.255 destination 10.3.0.0 0.0.0.255
#
ipsec transform-set ipv6
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy ipv6 6 isakmp
 transform-set ipv6
 security acl 3400
 remote-address 10.13.0.3
 ike-profile ipv6
#
ip route-static 10.3.0.0 24 10.13.0.3
#
interface Tunnel1 mode gre ipv6
 ipsec apply policy ipv6

09619a15c73c97485fb0ca3c19f99bdb.png

VSR3

#
ike keychain ipv6
 pre-shared-key address 10.13.0.1 255.255.255.0 key simple ipv6
#
ike profile ipv6
 keychain ipv6
 match remote identity address 10.13.0.1 255.255.255.255
#
acl advanced 3400
 rule 0 permit ip source 10.3.0.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
#
ipsec transform-set ipv6
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy ipv6 6 isakmp
 transform-set ipv6
 security acl 3400
 remote-address 10.13.0.1
 ike-profile ipv6
#
ip route-static 10.1.0.0 24 10.13.0.1
#
interface Tunnel1 mode gre ipv6
 ipsec apply policy ipv6

配置完成之后,在PCB上发起ping测,触发IPsec隧道协商,并验证联通性。

5d2c58fc3cddb3e00b57dc5dd3719462.png

没有问题,协商成功。

在VSR1上查看IKE和IPsec的SA信息。

5b0d603b97a1b21153c353b2a806924b.png

再次抓包看一下,虽然Wireshark显示的源目IP地址都是GRE封装的IPv4地址,但是如果我们查看报文封装,就会发现在GRE封装的内层是ESP封装的IPsec报文,外层是IPv6封装的报文头,跟我们开头提到的完全一致。

48bfd5f9fa15b1cddf7738f27557938b.png

因为外层的IPsec封装和GRE封装是不加密的,所以我们能够清楚的看到报文结构,但无法查看加密后的业务数据,相对来说安全性还是有所提升。与GRE over IPsec相比,不能说IPsec over GRE是用GRE隧道保护IPsec隧道,应该说是用GRE隧道转发IPsec报文更恰当一些。

前面我们测试IPsec over GRE时,测得PMTU是1384字节IPV6 的路径 MTU 发现,那IPv6是多少呢?

f12d64adb3808d755f5024e0c2e0bc1c.png

测试结果是1372字节,比IPv4少了12字节,你知道是为什么吗?

204422301b5a840b787147f77846a393.gif

长按二维码
关注我们吧

8449c54f3dbcf51f28dd40a4254097bf.jpeg

94dbd8715d1cdd402657a6c1393513db.png

配置GRE over IPv6隧道

配置PPPoEv6服务器为终端分配IPv6地址

企业路由器配置IPv6家用宽带的PPPoE拨号示例

H3C MSR NAT66配置指北

在笔记本上装完KVM,发现VirtIO的性能比E1000高出不少

CentOS编译安装OpenSSL 3.3.1

OpenSSL命令手册

CentOS 7停服之后该怎么安装软件呢?

配置strongSwan和H3C VSR的IPsec对接案例

对比华三设备配置,讲解Linux主机如何配置strongSwan

在Ubuntu系统手撸一个自动创建SSL证书的SHELL脚本

在Ubuntu系统手撸一个自动搭建openVPN服务端的SHELL脚本

与CentOS用户态完全兼容的TencentOS你用过没?

ufw命令简介

Ubuntu配置openVPN服务端和客户端

Ubuntu一键导入openVPN配置文件

Danileaf_Guo
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
华为路由器IPv6 over IPv4 GRE隧道配置详解
游离态De猫
04-10 1万+
IPv6 over IPv4自动隧道 先来简单讲一下原理: IPv6 over IPv4 GRE隧道使用标准的BRE隧道技术提供的点到点连接服务,需要手工指定隧道的端点地址,GRE本身并不限制被封装和传输的协议,一个GRE隧道中被封装的协议是协议中允许的任何协议(I...
GRE over IPSec 配置实例(HCL模拟器)
weixin_43795942的博客
08-07 2167
GRE简介 General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE的应用场景 GRE over IPSec IPv6 over IPv4 扩大条数受限的网络工作范围 GRE VPN GRE的优缺点 优点: 支持多种上层协议 支持组播(支持组
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 1236
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
华为IPsec over GRE隧道的介绍配置实例以及故障案例分析-(值得收藏)
满地找牙的博客
07-05 1531
华为IPsec over GRE隧道是一种结合了GRE(Generic Routing Encapsulation,通用路由封装)与IPsec(Internet Protocol Security,互联网协议安全)技术的网络解决方案,用于在不安全的公共网络上创建安全的私有数据传输通道。
GRE over IPSec
BJH23的博客
09-04 4264
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
CCIE理论-第十六篇-IPV6-GRE隧道+IPV6 OVER IPV4 隧道
weixin_48137911的博客
04-17 4141
CCIE理论-第十六篇-IPV6-GRE隧道+IPV6 OVER IPV4 隧道 IPV6也写了好多篇章, 后面还有两篇,一个IPV6的NAT,一个综合实验,那么就结束IPV6到MPLS了,其实还挺多的哈,差不多应该有10篇章都是在讲IPV6里面的技术了,后面的MPLS,各种VPN,IPSEC呀,GRE,DMPVN,SSL-VPN,L2TP等 看着哥哥双战技术的第二第三句话,其实呢很好理解 比如前面讲的路由协议中,一个协议是可以支持两个版本的地址同时允许的,这种技术没什么缺点,还很多好处 唯一的缺点
gre over ipsec
weixin_44548030的博客
02-27 473
gre over ipsec
Cisco IOS Router Configuration: IPSec over GRE or GRE over IPSec(1)
Cyber Security Memo
10-29 1673
IPSec over GRE means Outer Header is GRE. In other words, IPSec is riding over GRE. Please refer: Chapter: Point-to-Point GRE over IPSec Design and Implementation IPSEC over GRE Tunnel IPsec over GR...
gre.rar_GRE_Over
09-24
4. **GRE over IPv4**:在这种配置下,GRE封装的数据包会有一个IPv4头部,这使得GRE可以穿越只支持IPv4的网络。GRE头通常跟在IPv4头后面,形成一个嵌套的结构。 5. **GRE解复用器驱动**:在操作系统内核中,GRE ...
遂宁职业高级玩法跳过运行商gre_over_ipsec
03-17
标题 "遂宁职业高级玩法跳过运行商gre_over_ipsec" 暗示了这是一个关于在遂宁地区采用高级技术规避运营商限制,通过GRE(通用路由封装)协议和IPSec(Internet协议安全)进行网络通信的实践教程。GRE通常用于在不同...
华为 GRE常见故障处理
03-31
- 会话建立失败:对于基于协议的GRE,如GRE over IPSec,需要检查安全策略和会话状态。 1.5 故障总结 在处理GRE故障时,关键在于理解GRE的工作原理和配置细节,以及网络基础架构的其他组件如何与GRE交互。通过系统...
【qt】基于tcp的消息发送
yyqzjw的博客
08-18 348
我们需要实现客户端发消息,服务端接收消息。
Linux网络设置
Lwc1027的博客
08-18 1238
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
Spring websocket并发发送消息异常的解决
最新发布
ls1120623840的博客
08-19 290
本文主要介绍了 Spring websocket并发发送消息异常的解决,当多个线程同时尝试通过 WebSocket 会话发送消息时,会抛出异常,下面就来解决一下,感兴趣的可以了解一下。
Linux 软件编程 网络 tcp
mxyzhy的博客
08-17 1365
Linux网络编程学习
IPsec Over GRE与GRE Over IPsec的比较
07-23
IPsec Over GRE(IPsec在GRE上)和GRE Over IPsec(GRE在IPsec上)是两种不同的组合方式,用于在广域网中提供加密和隧道功能。 IPsec Over GRE是指在GRE隧道中使用IPsec加密和身份验证的方式。它将GRE数据包封装在IPsec数据包中,以实现数据的安全传输。这种方式可以提供端到端的加密和认证,保护数据的机密性和完整性。然而,由于IPsec的额外开销,会增加数据包的大小和传输延迟。 GRE Over IPsec是指在IPsec隧道中使用GRE封装的方式。它将IPsec数据包封装在GRE数据包中,以实现数据的封装和隧道功能。这种方式可以提供更高的灵活性和可扩展性,因为GRE可以支持多个协议和多个隧道。然而,由于GRE的额外开销,会增加数据包的大小和传输延迟。 比较这两种方式时,需要考虑具体的应用场景和需求。如果对数据的加密和认证有较高要求,并且可以容忍一定的传输延迟,那么IPsec Over GRE可能是一个合适的选择。如果对灵活性和可扩展性有较高要求,并且可以容忍一定的数据包大小增加,那么GRE Over IPsec可能更合适。 综上所述,选择IPsec Over GRE还是GRE Over IPsec取决于具体需求和权衡。在实际应用中,需要综合考虑安全性、性能、灵活性和可扩展性等因素,并进行适当的配置和测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值