[资料分享] IPSEC OVER GRE和GRE OVER IPSEC的配置区别及IPSEC的VPN难点注意事项(原创)
刚才总结了下IPSEC over GRE 和 GRE over IPSEC 和大家分享下
1、 GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的
IPSEC over GRE:acl匹配的就是业务流
2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC:ipsec policy应用在本地物理接口上
IPSEC over GRE:ipsec policy应用在本地tunnel接口上
4.、 对于GRE VPN,若公网地址不固定,则应在tunnel中的源和目的参数选用本地loopback接口地址,公网打通Loopback,
如果GRE路由选用OSPF等动态路由协议发布千万不要发布loopback接口地址,会引起表内自环路由动荡
5、 对于IPSEC VPN,若一端公网地址固定,一端公网地址不固定(如通过PPPOE拨号方式,或DHCP分配等),则两端IKE对 等体需配置为野蛮模式,且公网地址不固定端需使用id-type name (默认是id-type ip)、remote name(ike local name默认是网关设备名称)和 remote addess方式,IPSEC流量触发为有固定公网地址端单向触发;
6、 对于IPSEC VPN的NAT穿越功能,必须IKE对等体配置为野蛮模式,必须使用ESP封装方式,不能用AH封装也不能AH+ESP,且ipsec的安全提议必须工作在隧道模式(默认),而不能为传输模式;也由私网内部(藏在NAT后方)触发,在两端配置nat-traversal
如果本网关也是nat设备需要deny掉Ipsec的流防止nat修改ipsec流导致ipsec失败
7、 对于总部多分支机构的情况下做IPSEC VPN,总部端可以通过IPSEC的安全模板来实现,然后在IPSEC的安全策略中调用安
IPSec协议产生的背景
用户在互联网上传输的数据容易遭受窃取,需要安全手段保证通信的机密性、完整性、合法性。
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。
IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。
IPSec不是一个单独的协议,而是一组协议,IPSec协议已经成为工业标准的网络安全协议。
IPSec协议使用下面两种协议对IP报文进行保护
AH协议(Authentication Header ,IP协议号51 )
可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法HMAC-MD5和HMAC-SHA1实现该特性。
ESP协议(Encapsulating Security Payload ,IP协议号50 )
可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用HMAC-MD5或HMAC-SHA1来实现数据完整性。
SA
安全关联(Security Association ,简称SA )是两个IPSec实体(主机、安全网关)之间经过协商建立起来的一种协定,内容包括:采用何种IPSec协议(AH还是ESP )、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口,从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成IPSec的基础。
AH和ESP都使用SA中的参数来对IP数据进行保护。
SA是单向的,入方向(inbound )SA负责处理接收到的数据包,出方向(outbound )SA负责处理要发送的数据包。因此每个通信方必须要有两种SA , 一个入方向SA ,一个出方向SA ,这两个SA构成了一个SA束(SA Bundle )。
两个IPSec实体之间的IKE协商的两个阶段
第一阶段&