IPSec 与 GRE 共存介绍【基于CA数字认证建立TUNNEL】

已于 2022-10-21 14:36:47 修改
阅读量534 收藏
点赞数
文章标签: 服务器 运维
于 2022-10-17 11:55:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63152656/article/details/127333438
版权

配置好IPv4与IPv6地址   配置好底层路由

中间ISP配置RIP路由协议并下发默认路由

AR4配置

rip 1
 undo summary
 default-route originate  #下发默认路由
 version 2
 network 14.0.0.0
 network 24.0.0.0
 network 34.0.0.0

三台边界防火墙分别为IPV4和IPV6下发缺省路由

防火墙上如果有缺省路由则会下发成功,如果没有则不会下发成功,而这里IP v4显然是有的,因为AR4给三台防火墙下发缺省路由了,所以ipv4的缺省可以下发成功,而ipv6则需要强制下发,命令如下(三台一样的配置)

IPV4的
[FW1]ospf 100
[FW1-ospf-100]dis this
2022-10-17 03:06:34.520 
#
ospf 100 router-id 11.11.11.11
 default-route-advertise
 area 0.0.0.0
  network 192.168.11.1 0.0.0.0
#



IPV6的
#
ospfv3 100
 router-id 11.11.11.11
 default-route-advertise always
#
return

然后现在所需的路由齐全,需要配置TUNNEL隧道建立链接(三台防火墙效仿类似)

去往site2 的隧道

[FW1-Tunnel2]di this
2022-10-17 03:08:31.000 
#
interface Tunnel2
 ipv6 enable
 ip address 12.1.1.1 255.255.255.0
 ipv6 address auto link-local
 tunnel-protocol gre
 source 14.1.1.2
 destination 24.1.1.2
#



去往site3的隧道
[FW1-Tunnel3]di thi
2022-10-17 03:09:08.700 
#
interface Tunnel3
 ipv6 enable
 ip address 13.1.1.1 255.255.255.0
 ipv6 address auto link-local
 tunnel-protocol gre
 source 14.1.1.2
 destination 34.1.1.2
#

然后配置了Tunnel 一定记得加到防火墙的安全区域内,否则不会有流量放出去

#
untrust
 priority is 5
 interface of the zone is (3):
    GigabitEthernet1/0/0
    Tunnel2
    Tunnel3

三台防火墙g0/0/0口要与主机联通然后将咱们用xca建立的各种密钥和证书导入进去

xca是个可以创建密钥和数字证书的软件

 记住这个密码,这是你模拟的CA数据库的密码

创建一个CA的私钥

 继而创建证书

 然后继而为FW123配置证书和密钥,步骤一样这里只演示FW1

最后挨个全部导出到你的电脑里就行 

  三台防火墙分别创建g0/0/0并和自己的主机联通 用cmd测试ping服务

FW123 都要开启ping服务
#

interface GigabitEthernet0/0/0
 ip address 192.168.153.11 255.255.255.0
 service-manage ping permit

 在三台防火墙上都开启FTP的服务,三台防火墙一样的配置

ftp server enable
manager-user ftpuser
  password cipher Huawei@123
  service-type ftp
  level 15
  ftp-directory hda1:/pki/public/

#
aaa

 manager-user ftpuser
  password cipher Huawei@123
  service-type ftp
  level 15
  ftp-directory hda1:/pki/public/

#

 防火墙安全策略也要放行ftp的流量

 rule name ftp
  source-zone trust   //g0/0/0默认放到trust内
  destination-zone local
  source-address 192.168.153.1 mask 255.255.255.255
  destination-address 192.168.153.22 mask 255.255.255.255
  service ftp
  action permit

然后利用本地电脑上传证书和密钥,三台一样的配置

 上传到防护墙本地完成后要安装到本地防火墙内(每台防火墙在sy 试图下直接输入一下命令即可,注意FW1只能安装FW1.crt和FW1.pem,FW23同理,FW123共同安装CA.crt)

安装一下认证证书
pki import rsa-key-pair FW3 pem FW3.pem
hts       //刚刚创建xca时让你记住的数据库密码输入进来
pki import-certificate ca filename ca.crt

pki import-certificate local  filename FW3.crt

ok万事具备,开始配置ipsec VPN(FW23同理,需要改一下源和目的地址)

先配置感兴趣流

[FW1]dis acl all

ACL 3000  //控制去往site2的感兴趣流,其实就是上面配置的FW的g1/0/0接口地址
 rule 5 permit ip source 14.1.1.2 0 destination 24.1.1.2 0

ACL 3001  //控制去往site3的感兴趣流,
 rule 5 permit ip source 14.1.1.2 0 destination 34.1.1.2 0 (0 times matched)

第二部配置ike   (防火墙23同理,注意修改ip地址即可)

ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method rsa-signature   //这里需要修改成rsa的其他地方时默认的
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256




ike peer S01_S02  //配置site1去往site2的
 undo version 2
 ike-proposal 10
 remote-address 24.1.1.2
 certificate local-filename fw1.crt
ike peer S01_S03 //配置site1去往site3的
 undo version 2
 ike-proposal 10
 remote-address 34.1.1.2
 certificate local-filename fw1.crt

第三配置ipsec策略(防火墙23同理)

ipsec proposal 10   //只需要输入此行即可,其内部都是默认的不用修改



ipsec policy S01 2 isakmp //配置好去往site2的ipsec策略
 security acl 3000
 ike-peer S01_S02
 proposal 10
ipsec policy S01 3 isakmp //配置好去往site3的ipsec策略
 security acl 3001
 ike-peer S01_S03
 proposal 10

最后一步,应用到接口下,(防火墙23同理)

2022-10-17 03:48:01.230 
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 14.1.1.2 255.255.255.0
 service-manage ping permit
 ipsec policy S01

这里偷懒把防护墙安全策略修改为全部放行(FW23 同理)

[FW1-policy-security]dis this
security-policy
 default action permit

至此大功告成,你可以去抓包测试联通性了,后续你可以继续配置安全策略细节方面,注意放行esp 和端口即可,下面仅供参考,并不是本实验的,但你动动脑袋瓜,想想该修改什么即可

security-policy
 rule name LOCAL_TO_UNTRUST
  source-zone local
  destination-zone untrust
  source-address 14.1.1.2 mask 255.255.255.255
  destination-address 24.1.1.2 mask 255.255.255.255
  service esp
  service protocol udp source-port 500 destination-port 500 
  action permit
 rule name UNTRUST_TO_LOCAL
  source-zone untrust
  destination-zone local
  source-address 24.1.1.2 mask 255.255.255.255
  destination-address 14.1.1.2 mask 255.255.255.255
  service esp
  service protocol udp source-port 500 destination-port 500
  action permit                           
 rule name TRUST_TO_UNTRUST
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  service icmp
  action permit
 rule name UNTRUST_TO_TRUST
  source-zone untrust
  destination-zone trust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 192.168.10.0 mask 255.255.255.0
  service icmp
  action permit

hts0336
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPSec over GRE -Tunnel
12-01
本文将通过实验环境,详细介绍 IPSec over GRE Tunnel 的实现过程和技术原理。 首先,实验环境使用 Win7 下的 GNS3,R1 和 R2 使用 NM-4E 和 NM-1FE-TX,Internet 使用 NM-4E,PC1 和 PC2 使用 VPC 模拟。实验的...
GRE tunnel
11-26
GRE(Generic Routing Encapsulation,通用路由封装)隧道已经广泛应用了很长一段时间,GRE首先由Cisco公司提出,目的是提供IP网络承载其他被路由协议。某些网络管理员为了降低其网络核心的管理开销,将除IP外所有...
***--第五篇(IPSEC+GRE)2
weixin_34072159的博客
12-01 118
在上篇呢我们做了一个相对比较简单的连个站点之间的互联! 这篇呢我就演示一个复杂点的:拓扑是星际拓扑,即一个中心与多个分支之间的互联。我们可以用上GRE,也可以用上NAT这样呢就比较综合了。 下面开始,拓扑: 步骤: R1:crypto isakmp policy 10hash md5authentication pre-share!crypto isakmp ...
IPsec Over GRE
weixin_33724059的博客
12-21 149
1、IPsec是怎么对GRE进行加密的GRE:公网地址+GRE隧道接口地址+原始数据包地址IPSECoverGRE:公网地址+IPsec加密点地址+原始数据包地址2、匹配MAP的条件:在接口上必须有map源和目的地址必须满足map中的acl3、关于IPSECoverGRE目的:配置GRE的目的是可以在隧道两边使用动态路由协议,通过隧道相互之间进行...
IPsec VPN与GRE
weixin_56909238的博客
12-22 1592
同时,通信双方通过交换密钥交换材料来计算共享的密钥,即使第三方截获了双方用于计算密钥的所有交换数据,也无法计算出真正的密钥。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。该阶段使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
华为路由器:IPSec加密GRE通道(GRE over IPsec
兔子乖乖
08-08 1950
由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE;加密数据流后从隧道传输,称为GRE over IPsec。下面将配置一个简单的IPsec over GRE实验。
思科与华为GRE Tunnel
06-10
GRE Tunnel,全称为Generic Routing Encapsulation(通用路由封装),是一种网络隧道技术,它允许将一种协议的数据包封装在另一种协议的数据包中进行传输,从而在不同的网络之间建立虚拟的点对点连接。GRE Tunnel ...
基于linux的ipsec之路.pptx
03-03
本文将详细介绍基于 Linux 的 IPSEC 之路,包括 Tunnel 概念、Linux Tunnel 模式、IPSEC 协议、StrongSwan 等相关知识点。 Tunnel 概念 Tunnel 技术可以实现不同办公点之间的数据包传送。Tunnel 的工作原理是将...
IPSec的GRE实现
01-17
分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE -Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
HCL下IPsec+GRE 多连接 作业
qq_40363162的博客
05-13 1004
实验拓扑图 整个实验是在新华三的HCL模拟器上做的 整体的一个配置思路,是根据实验题目来的 首先是配置ipsec,ike,在这里都是的ipse我都是依靠ike来自动建立的 然后是GRE的配置 流程 配置高级ACL ike 提议(提议默认的就是预共享密钥,默认就行) 创建预共享密钥 选择对端的地址,密钥是什么 创建ikecel 调用安全提议 调用密钥 指定对端地址(可以是FQDN,也可以是user-FQDN) 指定本端地址(与之对应) 是...
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8452
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
使用GRE协议建立IPSEC
永远是少年
07-07 766
一、实验拓扑及要求 二、配置讲解说明 三、附录——配置命令
深入理解GRE与IPsec VPN结合的实践
fjh200714的博客
11-21 447
在当今数字化时代,企业网络的安全性和可靠性至关重要。本文将深入探讨如何通过结合使用GRE(Generic Routing Encapsulation)和IPsec(Internet Protocol Security)构建强大的VPN,实现跨网络的安全数据传输
Gre+IPsec实验
qq_44948209的博客
01-15 1490
IPsec理论详见 https://blog.csdn.net/qq_44948209/article/details/122511237 该实验GRE+IPsec主要实践了IPsec的两个阶段配置,请在了解IPsec基本原理后进行本实验
GRE over IPSec 隧道配置案例,网络安全面试基础问题
最新发布
2301_82242296的博客
04-17 342
通过GRE隧道的hello包没有加密无安全性。青海分部IP地址、DHCP、NAT、路由。上海总部IP地址、DHCP、NAT、路由。OSPF邻居建立成功。
GRE+IPSEC的实例配置
Stephen_jj的博客
04-24 2178
GRE+IPSEC的实例配置 为何有GRE+IPSec的出现,原因是GRE是没有对数据报文进行加密操作的。而IPsec由于不支持组播,也没有虚拟的隧道接口,而动态路由协议往往都是已组播的方式来发送路由更新。因此IPsec对动态路由协议并没有太好的支持。因此有了GRE over IPsec的出现。 实例 网络基本配置: R1: R1(config)#interface f0/0 R1(config...
IPSec/GRE与PPTP的比较
bytxl的专栏
04-24 8226
PPTP PPTP(Point to  Point Tunneling Protocol)是点对点的协议,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法MPPE。 而L2TP(Layer 2 Tunneling Protocol)是 L2FP(Layer 2 Forwarding Protocol)和PPTP的结合,依赖PPP协议建
【VPN-GRE|IPSEC学习】
小白
09-16 356
第3、4个报文交换DH产生密钥—SKEYID基础密钥、–>SKEYID-a–>SKEYID-e–>SKEYID-d,用于推出ipsec报文加密、验证密钥。IKE动态协商方式:只需要对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。第1、2个报文协商加密算法、认证算法、封装协议(ESP、ah、)模式(tunnel、transport)等。1、第一阶段:建立一个IKE SA(也称为ISAKMP SA),为第二阶段的协调提供保护。第1、2个报文协商:加密算法、认证算法、认证方式、DH等。
华为路由器与H3C路由器之间配置GRE OVER IPSEC
07-14
配置完成后,华为路由器和H3C路由器之间的GRE over IPsec隧道将建立起来,可以实现跨网络的安全通信。请注意,这只是一个简单的示例,实际配置可能会有所不同,取决于具体的设备型号和操作系统版本。建议参考设备的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值