3.3、GRE Over IP sec

已于 2023-01-03 15:18:25 修改
阅读量343 收藏
点赞数 1
分类专栏: 网络 文章标签: tcp/ip 网络 网络协议
于 2023-01-03 15:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33782021/article/details/128529125
版权

1、GRE

        缺点:不安全,无认证无加密

        优点:支持多协议,支持IP组播,配置简单容易理解

2、IP sec

        缺点:只支持IPv4单播

        优点:安全,加密认证都有

3、配置步骤(GRE Over IP sec)

3.1、第一步:确保公网通、内网通(略)

3.2、第二步:先实现GRE配置

R1配置:

interface Tunne10/0/0
 ip address 192.168.3.1 255.255.255.0 tunnel-protocol gre 
 source 12.1.1.1
 destination 12.1.1.2

ip route-static 192.168.2.0 255.255.255.0 Tunnel 0/0/0

R2配置:

interface Tunnel0/0/0
 ip address 192.168.3.2 255.255.255.0 tunnel-protocol gre
 source 12.1.1.2 
 destination 12.1.1.1
 ip route-static 192.168.1.0 255.255.255.0 Tunnel0/0/0

3.3、实现IP sec配置(分为物理口和Tunnel口两种方法)

  • 第一种:应用在物理口

注意:匹配感兴趣流量的时候,需要考虑前面一步中GRE会给数据报文封装上新的IP头部,所以报文的源地址已经变为12.1.1.1,目的地址为12.1.1.2。

首先,匹配感兴趣流;

R1配置:匹配感兴趣流

acl number 3000  
 rule 5 permit ip source 12.1.1.1 0 destination 12.1.1.2 0

R2配置:匹配感兴趣流 

acl number 3000
 rule 5 permit ip source 12.1.1.2 0 destination 12.1.1.1 0 

其次,配置两个阶段;

R1配置:配置第一阶段IKE SA/第二阶段IPSec SA

ike peer huawei v1
 pre-shared-key simple huawei
 remote-address 12.1.1.2 
 ipsec proposal tran1

R2配置:配置第一阶段IKE SA/第二阶段IPSec SA 

ike peer huawei v1 
 pre-shared-key simple huawei 
 remote-address 12.1.1.1 
 ipsec proposal tran1//第二阶段

最后,物理口应用。

R1配置:物理接口应用,配置安全策略及应用安全策略

ipsec policy vpn 1 isakmp
 security acl 3000
 ike-peer huawei
 proposal tran1

interface GigabitEthernet0/0/0 
 ipsec policy vpn 

R2配置:物理接口应用,配置安全策略及应用安全策略 

ipsec policy vpn 1 isakmp 
 security acl 3000 
 ike-peer huawei 
 proposal tran1

interface GigabitEthernet0/0/0
 ipsec policy vpn
  • 第二种:应用在Tunnel口

首先,配置两个阶段;

R1/R2:配置第一阶段IKE SA

ike proposal 10 //IKE 安全提议名称
 ##默认des-cbc
 encryption-algorithm des-cbc 
 ##默认SHA1  
 authentication-algorithm sha1 
 ##默认预共享 
 authentication-method pre-share 

ike peer huaweiv1 //对端协商名称
 ##协商模式主模式,默认此模式
 exchange-mode main 
 ## 预共享密钥 ike-proposal 10,IKE 提议使用传输模式不用配置IKE 协商对端地址 
 pre-shared-key cipher funnet
 ##调用IKE安全提议
 ike-proposal 10

R1/R2配置:第二阶段IPSEC 协商

ipsec proposal funnet
 ##默认模式
 transform esp 
 ##esp默认MD5 
 esp authentication-algorithm md5 
 ##esp默认des 
 esp encryption-algorithm des

其次,应用到Tunnel口。

R1配置:配置安全策略及应用安全策略

ipsec profile HCIE  
 ike-peer huawei
 proposal funnet

interface tunnel 0/0/0 
 ipsec profile HCIE

R2配置:配置安全策略及应用安全策略 

ipsec profile HCIE
 ike-peer huawei 
 proposal funnet 

interface tunnel 0/0/0
 ipsec profile HCIE

​​​​​​​

网运少年
关注
专栏目录
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
GRE over IPSec
BJH23的博客
09-04 4677
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
锐捷GRE over ipsec vxn配置 ----尚文网络奎哥
weixin_42081313的博客
09-13 3163
IPsec vpn作为目前网络中较为常见的VPN技术,存在着不能传递组播量的缺点,致使使用ipsec vpn不能使用ospf实现网段的动态添加,有内部网段信息改变配置比较麻烦。GRE vpn可以传递组播量使用ospf,配置也比较简单,但是不能实现加密不够安全。那么为什么不将两个vpn结合起来使用呢?
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8955
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
IPSec Over GRE和GRE Over IPSec技术
qq_56228347的博客
04-19 8592
IPSec Over GRE 和 GRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
GRE over IPsec配置及原理
qq_45309500的博客
04-05 5757
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GRE 和IPsec的联动解决了这个问题 GRE隧道传输的同时
gre.rar_GRE_Over
09-24
标题中的“GRE.rar_GRE_Over”表明我们关注的是与通用路由封装(Generic Routing Encapsulation, 简称GRE)相关的技术,特别是在IPv4环境下的应用。GRE是一种网络协议,允许在IP数据包中封装任意网络层协议的数据,...
IP OVER GRE
06-02
IP OVER GRE IP OVER GRE IP OVER GRE IP OVER GRE
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3700
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣,是的,它的量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
防火墙GRE over IPSec配置
最新发布
weixin_45564816的博客
06-26 1985
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
三分钟教会你搭建gre over ipsec隧道
weixin_44799797的博客
05-30 5183
GRE OVER IPSEC VPN实验技术简介实验拓扑环境介绍配置文件 技术简介 VPN:虚拟专用网络,旨在解决不同内网穿越公网实现互访的问题,主要实现途径是在公网中搭建一个隧道,用于传输跨公网的内网量。说人话就是在家里能上公司内网 -_- IPSEC VPN:是VPN的一种,通过IPSEC来加密内网量,实现量在公网中的安全传输 GRE OVER IPSEC VPN:旨在解决IPSEC VPN无法传输组播量的问题,IPSEC加上GRE隧道可实现组播量的可靠传输 实验拓扑 环境介绍 现总部需与分
GRE Over IPSec技术
weixin_51045259的博客
03-07 5689
分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道,现需要在GRE隧道之外再封装IPSec隧道,对总部和分部的通信进行加密保护。 GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPSec隧道中的加密传输。 GRE overIPSec可以结合GRE和IPSec两种技术
任务十一:部署GRE over IPSec
2301_76274559的博客
12-18 1350
理解IPSec安全提议和IKE协商参数,掌握GRE over IPSec配置过程。
GRE over IPSec解决OSPF跨公网问题
weixin_45457085的博客
03-29 1万+
拓扑背景 A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访 知识回顾 1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。 2、ipsec VPN与GRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网环境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。 注意:ISIS虽然也是常用的IG..
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
gre over ipsec
weixin_44548030的博客
02-27 555
gre over ipsec
GRE over IPSec vs IPSec over GRE
潇峰的博客
05-30 1918
GRE over IPSecIPSec 在最外层(或称最底层)。意思是先在 R1 与 R2 之间建立 IPSec Tunnel,把里面的 GRE Tunnel 整个进行加密,Routing Protocol 在 GRE Tunnel 里面完成 Route 交换,最后 Data 在 GRE Tunnel 里面传送。从下图所见,因整个 GRE Tunnel 被加密,所以里面的 Routing Protocol 及 Data 都会被加密。 GRE over IPSec隧道示例 配置思路 采用如下思路配置
gre over ipsec特点
03-26
1. 安全性:GRE过程在IP层上运行,因此需要使用IPSec提供的安全机制,包括身份验证、加密和完整性保护,以确保隧道中传输的数据的机密性和完整性。 2. 可靠性:由于它是在IPSec隧道中运行,因此GRE over IPSec可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网运少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值