快来看啊,华为路由器配置GRE over IPSec隧道案例来了!

于 2024-12-12 21:22:05 发布
阅读量969 收藏 11
点赞数 22
文章标签: 华为 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/144439930
版权

我们前面通过H3C路由器介绍了IPsec和GRE搭配使用的两种常见配置方法:GRE over IPsecGRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec和IPsec over GREGRE over IPsec,IPsec不服,要求IPsec over GRE

其中的over是在网络模型中的说法,比如说GRE over IPsec,就是GRE在IPsec之上,那在报文封装的时候就会先封装GRE,再封装IPsec,从报文结构上看起来就是IPsec封装在GRE封装之外,over前面的是内层报文封装,后面的才是外层封装,也是直接看到的报文结构。从效果上看就是用IPsec保护GRE隧道,说得不严谨一点,IPsec over GRE最终就是GRE封装格式的报文,GRE over IPsec就是IPsec封装格式的报文。

今天我们来简单学习一下华为AR1000V如何配置GRE over IPSec隧道,组网拓扑如下所示:

27bbf067e26203316b073d149f1bf388.png

配置也很简单,相比于上次单独配置的IPsec通过IKE协商方式建立IPSec隧道,只要把IPsec应用的接口调整为GRE隧道接口就可以了。

首先配置HW-AR1和HW-AR2之间的互通,再捎带着配一条GRE隧道。   

HW-AR1  

#
interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0
#
interface Tunnel0/0/0
 ip address 10.13.1.1 255.255.255.0
 tunnel-protocol gre
 source 12.1.1.1
 destination 23.1.1.3
#
ip route-static 23.1.1.0 255.255.255.0 12.1.1.2

H3C-MSR  

#
interface GigabitEthernet1/0
 ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet2/0
 ip address 23.1.1.2 255.255.255.0

HW-AR2  

#
interface GigabitEthernet0/0/1
 ip address 23.1.1.3 255.255.255.0
#
interface Tunnel0/0/0
 ip address 10.13.1.3 255.255.255.0
 tunnel-protocol gre
 source 23.1.1.3
 destination 12.1.1.1
#
ip route-static 12.1.1.0 255.255.255.0 23.1.1.2

此时,HW-AR1和HW-AR2之间就可以使用GRE隧道接口地址互通了。   

b7e84349da7af2630551519678f6db84.png

接下来,我们配置HW-AR1和HW-AR2采用IKE协商方式建立IPSec隧道。配置思路跟上次一样,需要通过ACL定义IPsec保护的数据流,配置IKE对等体,配置IPsec安全提议,再配置IPsec安全策略,只不过最后应用IPsec安全策略的接口变成了GRE隧道接口。

首先,我们在HW-AR1上配置IPsec保护数据流的ACL,配置不变。

#
acl number 3401
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

接下来,我们创建对应HW-AR2的IKE对等体,IKE安全提议使用默认配置。   

2c30a4862012463bf2191e948629c13b.png

默认情况下,IKE版本使用IKEv2版本,我们修改IKE版本使用IKEv1;此时的对端IP地址可以不配置,也可以配置成对端的GRE隧道接口地址;再设置好PSK预共享密钥就行了。注意:预共享密钥需要满足一定的复杂度要求。

#
ike peer ar2
 version 1
 pre-shared-key cipher HwIPsec.2024
 remote-address 10.13.1.3

然后,我们配置IPsec安全提议,默认的加密方式为ESP,使用的认证算法为SHA2-256,加密算法为AES-256;我们可以按需进行调整。   

afb5f9160b7c61be079108a53ca1e6a7.png

#
ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128

接下来,我们就可以创建使用IKE动态协商的安全策略了。

#
ipsec policy aripsec 10 isakmp
 security acl 3401
 ike-peer ar2
 proposal ipsec

最后,我们将创建好的IPsec安全策略应用到GRE隧道接口上。

#
interface Tunnel0/0/0
 ipsec policy aripsec

这次,我们必须要添加一条去往对端私网的明细路由,指定出接口为GRE隧道接口,或者指定下一跳IP地址为对端GRE隧道接口地址。   

#
ip route-static 10.1.2.0 255.255.255.0 10.13.1.3

至此,HW-AR1的配置就结束了。我们参考以上配置,完成HW-AR2的配置,配置命令如下:

#
acl number 3402
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ike peer ar1
 version 1
 pre-shared-key cipher HwIPsec.2024
 remote-address 10.13.1.1
#
ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128
#
ipsec policy aripsec 10 isakmp
 security acl 3402
 ike-peer ar1    
 proposal ipsec
#
interface GigabitEthernet0/0/1
 ipsec policy aripsec
#
ip route-static 10.1.1.0 255.255.255.0 10.13.1.1

其实,配置完成之后,设备就自动发起了协商,协商成功之后直接就有IKE SA和IPsec SA了。   

2bc6dbfd2fd5f5f987c4d4895046f423.png    

测试一下业务联通性。

fce77403a52142ae9842b0654ffbff3f.png

首包实验稍大这个并不是因为触发了协商,纠正一下。

查看IKE SA信息。   

3592f8f4b9ee476d5b1dd58b7ff0f814.png    

经过我的研究,发现这里显示的两个IKE SA,Phase显示的v1指的是IKEv1,后面的数字确定是阶段;也就是一个是一阶段,即建立安全通道进行通信的阶段,此阶段建立IKE SA;另一个是二阶段,即协商安全服务的阶段,此阶段建立IPSec SA。

我们再看一下IPsec SA信息。   

fc015e964f70886fd6bcf67cafbd2a62.png

简简单单,配置就完成了。 

***推荐阅读***

如何配置使用Telnet远程登录华为AR1000V路由器?

Telnet不安全?如何配置使用更安全的STelnet远程登录华为AR1000V路由器?

华为交换机S3700/S5700/CE6800配置SSH远程登录

华为模拟器eNSP安装初体验

中华之名,有为之势!看eNSP如何吊打HCL

GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec

GRE over IPsec,IPsec不服,要求IPsec over GRE

使用IKE数字签名RSA认证建立IPsec隧道的配置案例

太卷了,能配置ADVPN的云主机一年只要37块钱!

配置Windows系统对接天翼云VPN连接

GRE Over IPsec
qq_51577576的博客
01-06 1444
GRE Over IPsecGRE 结合 IPsce) IPsec: 不支持组播(意味着不能传递路由 IGP路由利用组播学习)(不是传递路由表 而是 通过ACL交给隧道 走公网 ) 不支持其他网络协议 只支持IP GRE: 找路由表(更灵活 不用写ACL 用IPsce 需要写很多ACL GRE不需要) IPsce IP安全的虚拟专用网络 通用路由封装协议 GRE 协议号47 支持多个上层协议 IPX协议 OSI模型里面的 GRE...
关于eNSP实现GRE over IPSec 配置解法
最新发布
2301_80344964的博客
04-12 272
R1与R3作为公司的出口设备,R2作为运营商设备,要求在R1与R3之间部署GRE over IPSec VPN,以此实现总部PC1和分部PC2的私网之间互通。
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1207
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
gre over ipsec
weixin_44548030的博客
02-27 627
gre over ipsec
GRE over IPsec
七汣的博客
02-04 309
GRE over IPsec技术的配置和注意
93.华为路由器IPSec加密GRE通道(GRE over IPsec
热门推荐
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3069
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
【HUAWEI】配置案例GRE Over IPSec
u012468770的博客
11-07 8528
【背景】 某公司拥有两地办事机构,这里用AR1和AR3代表,分别拥有各自的子网。出口网关分别从ISP处获得一公网IP(此处分别以10.0.12.1/24和10.0.23.3/24网络代表)。架设一个网络,使得内部子网能够通信。 这是一个两地办公经常会遇到的网络问题。 【解决方案】 为了使得两地可以相互访问内网,冒无疑问的需要使用到VPN技术。为了保证传输的安全性,这里直接使用IPSec...
GRE over IPSec
BJH23的博客
09-04 5197
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
GRE Over IPSec
KangVcar
07-04 1349
GRE Over IPSec GRE Over IPSec配置命令: 创建GRE隧道: GW(config)#interface tunnel 0            //启用一个虚拟隧道接口,ID两端可以不匹配 GW(config-if)#ip address 12.12.12.1 255.255.255.0    //为隧道配置隧道IP GW(config-
GRE over IPSEC
weixin_46639226的博客
07-11 1576
华三配置(gre over ipsec) vpn 主模式 拓扑 配置思路: 1.公网igp 2.配置ike ipsec 3.配置gre 一、配地址 RTA <H3C>sys System View: return to User View with Ctrl+Z. [H3C] [H3C]in [H3C]interface g0/1 [H3C-GigabitEthernet0/1]ip address 192.168.1.254 24 [H3C-GigabitEthernet0/1]in g
GRE Over IPsec(华三)
qq_73757784的博客
10-30 1629
当总部想要访问分部172.16.10.0网段时,下一跳为tunnel接口,进入接口后,首先会被GRE封装,封装为源1.1.1.1,目的3.3.3.3然后从G0/1发出,因为在g0/1接口调用了ipsec策略,又会被感兴趣流匹配上,封装为公网地址源100.1.1.1,目的200.1.1.2从g0/1接口发出。那么当数据进入tunnel隧道后,会先被GRE封装后再进行IPsec感兴趣流acl匹配,匹配上了则封装IPsec,没匹配上则丢包。GRE Over IPsec 顾名思义,GRE在内,IPsec在外。
华为路由器与H3C路由器之间配置GRE OVER IPSEC
07-14
华为路由器和H3C路由器之间配置GRE over IPsec(IP安全隧道协议)可以实现安全的跨网段通信。下面是一个简单的配置示例: 在华为路由器上的配置步骤: 1. 创建GRE隧道接口,并指定本地和远程IP地址: ``` interface Tunnel 0 ip address 192.168.1.1 255.255.255.0 tunnel-protocol gre source GigabitEthernet 0/0/0 destination 10.0.0.1 ``` 2. 创建IPsec策略,并指定加密算法、密钥等参数: ``` ipsec proposal myproposal esp authentication-algorithm md5 esp encryption-algorithm des ipsec policy mypolicy 10 isakmp security acl 3001 proposal myproposal acl number 3001 rule 5 permit gre source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 ike proposal myproposal authentication-method pre-share encryption-algorithm des integrity-algorithm md5 sa duration time-based 28800 ike-peer 10.0.0.1 pre-shared-key cipher %^%#zjhuawei%^%# ike-proposal myproposal ``` 在H3C路由器上的配置步骤: 1. 创建GRE隧道接口,并指定本地和远程IP地址: ``` interface Tunnel 0 ip address 192.168.1.2 255.255.255.0 tunnel-protocol gre source GigabitEthernet 0/0/0 destination 10.0.0.2 ``` 2. 创建IPsec策略,并指定加密算法、密钥等参数: ``` ipsec proposal myproposal esp authentication-algorithm md5 esp encryption-algorithm des ipsec policy mypolicy 10 isakmp security acl 3001 proposal myproposal acl number 3001 rule 5 permit gre source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 ike proposal myproposal authentication-method pre-share encryption-algorithm des integrity-algorithm md5 sa duration time-based 28800 ike-peer 10.0.0.2 pre-shared-key cipher %^%#h3c%^%# ike-proposal myproposal ``` 以上配置示例中,需要根据实际情况替换IP地址、接口名称、加密算法、密钥等参数。配置完成后,华为路由器和H3C路由器之间的GRE over IPsec隧道将建立起来,可以实现跨网络的安全通信。请注意,这只是一个简单的示例,实际配置可能会有所不同,取决于具体的设备型号和操作系统版本。建议参考设备的官方文档或咨询厂商获取更详细的配置指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值