GRE over IPSec技术原理

最新推荐文章于 2024-02-05 16:58:56 发布
最新推荐文章于 2024-02-05 16:58:56 发布
阅读量3.7w 收藏 257
点赞数 39
分类专栏: 网络安全 文章标签: IPSec VPN VPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38265137/article/details/89893808
版权

GRE原理

GRE简介:

General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。

GRE报文封装:

在这里插入图片描述

图:GRE报文格式

其中:

  • 净荷(Payload):系统收到的需要封装和路由的数据报称为净荷。
  • 乘客协议(Passenger Protocol):封装前的报文协议称为乘客协议。
  • 封装协议(Encapsulation Protocol):上述的GRE协议称为封装协议,也称为运载协议(Carrier Protocol)。
  • 传输协议(Transport Protocol或者Delivery Protocol):负责对封装后的报文进行转发的协议称为传输协议。

GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。

GRE首部各字段解释如下:

字段长度描述
C1 bit校验和验证位。如果该位置1,表示GRE头插入了校验和(Checksum)字段;该位为0表示GRE头不包含校验和字段。
K1 bit关键字位。如果该位置1,表示GRE头插入了关键字(Key)字段;该位为0表示GRE头不包含关键字字段。
Recursion3 bits用来表示GRE报文被封装的层数。完成一次GRE封装后将该字段加1。如果封装层数大于3,则丢弃该报文。该字段的作用是防止报文被无限次的封装。
Flags5 bits预留字段。当前必须设为0。
Version3 bits版本字段,必须置为0。Version为1是使用在RFC2637的PPTP中。
Protocol Type16 bits乘客协议的协议类型。
Checksum16 bits对GRE头及其负载的校验和字段。
Key31 bits关键字字段,隧道接收端用于对收到的报文进行验证。

因为VRP中的GRE头不包含源路由字段,因此Bit 1、Bit 3和Bit 4都置为0。

在这里插入图片描述

图:GRE报文抓包示例

GRE的的上层协议是IP,协议号为47.

GRE的实现–隧道接口:

隧道接口(Tunnel接口)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。

隧道接口必须配置的四项:封装类型、隧道接口地址、源地址、目的地址。

GRE的应用场景:

  • GRE over IPSec
  • IPv6 over IPv4
  • 扩大条数受限的网络工作范围
  • GRE VPN

GRE的优缺点:

优点:

  • 支持多种上层协议

  • 支持组播,QoS

    支持组播,就意味着可以运行组播类协议,如动态路由。

缺点:–薄弱的安全性

  • 不支持加密
  • 较弱的身份认证机制
  • 较弱的数据完整性校验

GRE over IPSec

IPSec的优缺点分析:

IPSec缺点:

  • 只支持IP协议的封装,不支持多层上层协议
  • 不支持组播

IPSec的优点 —较强的安全性:

  • 支持加密
  • 支持身份验证机制
  • 支持数据完整性校验

GRE over IPSec:

GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如视频会议或动态路由协议消息等。

当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头,导致报文长度更长,更容易导致分片,所以推荐采用传输模式GRE over IPSec。

在这里插入图片描述

图:GRE over IPSec报文封装和隧道协商过程

IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用IPSec安全策略的接口地址。

IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址,目的地址为GRE隧道的目的端地址。

GER over IPSec的两种封装模式:

(1) 传输模式 -------建议采用

  • 2个IP头部 原始IP头部 GRE头部

(2) 隧道模式

  • 3个IP头部 原始IP头部 GRE头部 IPSEC头部

GRE over IPSec配置实验

实验拓扑图:

FW1和FW2之间建立GRE over IPSec隧道,使PC1网络好PC2网络用户可通过隧道互相访问。

在这里插入图片描述

图:GRE Over IPSec实验拓扑图

实验一:IPSec策略在物理接口调用:

配置思路:

第一步: 完成接口基本配置。
第二步:分别创建GRE隧道接口,并配置 GRE 隧道接口的 IP 地址、源地址和目的地址。
FW1:
interface Tunnel0
 ip address 172.16.1.1 255.255.255.0 
 tunnel-protocol gre
 source 202.100.1.10
 destination 202.100.1.11

FW2
interface Tunnel0
 ip address 172.16.1.2 255.255.255.0 
 tunnel-protocol gre
 source 202.100.1.11
 destination 202.100.1.10
  
第三步:配置静态路由,将出接口指定为 GRE 隧道接口,将流量引入到隧道中。
注意:也可以动态路由方式
FW1:
 ip route-static 10.1.2.0 255.255.255.0 Tunnel0

FW2
 ip route-static 10.1.1.0 255.255.255.0 Tunnel0

第四步:配置 IPSec 隧道。包括配置 IPSec 策略的基本信息、配置待加密的数据流和配置安全提议。
IPSEC配置:
阶段一:
ike proposal 10
 authentication-algorithm sha2-256
 integrity-algorithm aes-xcbc-96 hmac-sha2-256

ike peer 10           
 pre-shared-key Huawei@123
 ike-proposal 10  
 remote-address 202.100.1.11

阶段二:
acl number 3000
 rule 5 permit ip source 202.100.1.10 0 destination 202.100.1.11 0
注意: 保护的是GRE的隧道 

ipsec proposal 10  
 encapsulation-mode auto
 esp authentication-algorithm sha2-256
#
ipsec policy ipsec_policy 10 isakmp
 security acl 3000
 ike-peer 10  
 proposal 10  


interface GigabitEthernet0/0/2  --------------在物理接口调用 
 ip address 202.100.1.10 255.255.255.0
 ipsec policy ipsec_policy

安全策略的放行:

在这里插入图片描述

图:安全策略的放行

注意:关于需不需要放行gre流量的问题。
因为gre头部是在esp头部或公网IP头部中封装的,实际流量会被esp加密传输。应该是不需要放行gre的,但是在实际测试中需要放行。

在华为防火墙实际测试中,放行gre流量后IPSec SA可以正常建立,双方的主机也可以互相通信。而不放行gre的话,IPSec SA可以正常建立,但是双方的主机不能互相通信。

检查测试:

在这里插入图片描述

图:PC1与PC2的连通性测试

在这里插入图片描述

图:IPSec SA状态

实验二:IPSec策略在Tunnel口调用:

配置思路:

IPSEC 配置思路:  
阶段一: 
ike proposal 10
 authentication-algorithm sha2-256
 integrity-algorithm aes-xcbc-96 hmac-sha2-256
#
ike peer 10            
 pre-shared-key Huawei@123
 ike-proposal 10
 
注意:不能配置remote-address.

阶段二:
不需要感兴趣流 
ipsec proposal 10
 encapsulation-mode auto
 esp
#
ipsec profile ipsec_pro
 ike-peer 10
 proposal 10

不能调用ACL 

调用:
interface Tunnel0
 ipsec profile ipsec_pro

放行策略:
security-policy
 rule name IPSEC1
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 202.100.1.10 mask 255.255.255.255
  source-address 202.100.1.11 mask 255.255.255.255
  destination-address 202.100.1.10 mask 255.255.255.255
  destination-address 202.100.1.11 mask 255.255.255.255
  service ISAKMP
  service esp
  action permit

 rule name IPSEC2
  source-zone trust
  source-zone vpn
  destination-zone trust
  destination-zone vpn
  source-address 10.1.1.0 mask 255.255.255.0
  source-address 10.1.2.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  destination-address 10.1.2.0 mask 255.255.255.0
  action permit    
                       
  rule name vpn_local  ----------只需要放行VPN-LOCAL
  source-zone vpn
  destination-zone local 
  service gre
  action permit

注意:当在Tunnel口调用IPSec后,可以成功建立IPSec SA,需要流量的触发。但是在防火墙的Web管理界面的IPSec监控中看不到有关IPSec的信息,只能通过命令行查看。

在配置IPSec Profile(模板)的时候:

  • 不能配置远端的IP地址
  • 不能绑定ACL,即感兴趣流

在Tunnel口上绑定IPSec策略时,放行gre的流量的方向是,从vpn --> local的方向的流量。

参考文档:华为HedEx文档

曹世宏的博客
关注
  • 39
    点赞
  • 257
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
华为GRE over IPsec的配置思路原理以及安全策略的设置
qq_47529104的博客
04-08 2348
1、建立IPsec隧道 2、创建tunnel接口,且指定封装协议是GRE 3、创建静态路由进行tunnel接口的引流,也就是指定哪些流量想要进行gre的封装 4、在ipsec策略中指定感兴趣流为进行gre封装后的源目IP,也就是指定只要流量是gre隧道的两端那么就进行ipsec的隧道封装 原理 流量进入防火墙的时候会先进行路由表查表,而只有流量到达接口上准备发送的时候才会进行ipsec的隧道封装,于是相关流量如果被静态路由引入tunnel接口后,先做的操作其实是gre的封装,然后该流量到达与i
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 7894
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
【华三】GRE Over IPsec 实验配置
最新发布
2301_77161465的博客
02-05 1098
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端。
GRE over IPSec
BJH23的博客
09-04 2763
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSecVpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
GRE OVER IPSEC过程解析
weixin_33802505的博客
08-23 1189
GRE OVER IPSEC过程解析一,产生背景IPsec是如今十分主流的分支机构互联×××协议,其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全,但是面对当前多元化的访问需求,Ipsec ×××并不能满足客户对私网网段之间复杂的互访要求;在实际环境中,分隔两地的机构要求通过×××隧道建立私网之间的路由邻居关系,而Ipsec ×××本身并不具备传递路由的能力,所以...
网络信息安全:五、GRE和IPSEC
四川的小熊猫的博客
06-07 5238
GRE VPN VPN概述 概念: ​ 在传统的企业网络中,进行远程访问的方法是租用DDN专线或帧中继,必然会导致高额的网络通信和维护费用.因此采用VPN技术.VPN称为虚拟专用网络,其实实质是利用加密技术在公网上封装出一个加密数据通信隧道. ​ 总而言之,虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公网网络架设专用网络,通过加密\身份验证\访问控制列表等技术保证通道安全,通过对数据包目标地址的转换实现远程路由. 分类 功能 远程接入VPN(Remote Access VPN)
IPSec Over GRE和GRE Over IPSec技术
qq_56228347的博客
04-19 7811
IPSec Over GRE 和 GRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip流量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
GRE over IPsec配置及原理
qq_45309500的博客
04-05 5045
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GRE 和IPsec的联动解决了这个问题 GRE隧道传输的同时
IPSEC over GRE
weixin_46639226的博客
11-09 4333
顾名思义,就是对数据包先进行ipsec的封装,然后再外面加上一层GRE的封装,但是这种封装方式缺点很多,ipsec无法支持组播,所以tunnel口的两端不能运行关于组播的一些路由协议,比如ospf,如果运行,那么私网数据在公网上依然能被看到,那么vpn就没意义了。华三的官方配置手册上面也说了这种方式不能充分利用二者的优势,一般不推荐使用,但是它可以不好,但是我们不能不会。 实验组网 需求: 三台路由器模拟公网,公网运行ospf保证两端公网可达,在R1和R3上运行ipsec over gre保证两端私网可达
GRE Over IPSec技术
weixin_51045259的博客
03-07 5516
分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道,现需要在GRE隧道之外再封装IPSec隧道,对总部和分部的通信进行加密保护。 GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPSec隧道中的加密传输。 GRE overIPSec可以结合GRE和IPSec两种技术
华为HCIP-RS V2.5培训视频教程【共35集】.rar
01-03
目录:网盘文件,永久连接 1.1.0 NA回顾 2.1.1 OSPF协议(上) 3.1.1 OSPF 协议基础(中) 4.1.1 OSPF协议(下)+1.2 OSPF 内部路由 5.1.3 ospf 区域间路由 6.1.4 OSPF外部路由 7.1.5 OSPF 特殊区域及其他特性 8.1.5 特殊区域及其他特性(下) 9.2.1 路由引入 10.2.2 路由控制(上) 11.2.2 路由控制(下) 12.2.2.1OSPF作业讲解 13.3.1 BGP协议介绍与工作原理 14.3.1 BGP协议介绍与工作原理(下) 15.3.2 BGP属性及选路 16.3.2 BGP属性及选路(下) 17.3.3 BGP反射、联盟与路由聚合 18.3.3 BGP路由聚合+5.1 VLAN 19.4.1 组播基础与IGMP协议,前面复习了下BGP 20.4.2 PIM协议介绍与工作原理 (上) 21.4.2PIM协议介绍与工作原理 (下)及VLAN原理与QinQ技术 22.5.1 VLAN、MUX VLAN、QinQ(下) 23.5.2 RSTP 原理与配置 24.5.2 RSTP 原理与配置(下)+MSTP原理与配置(上) 25.6.2 VRRP协议配置与NQA 26.7.1 GRE 原理与配置(下)+7.2 IPsec 原理与配置 27.7.1 GRE 与IPSec 原理(下) 28.7.2 GRE over IPsec+10.1网络安全(上) 29.8.1 MPLS 协议基础 30.8.2 MPLS 技术原理+8.3 MPLS 配置 31.9.1 QOS基本服务模型、分类与标记 32.9.2 拥塞管理、拥塞避免、流量监管、流量整形 33.10.1 网络安全(中) 34.10.1网络安全(下)+10.2 故障排查 35.10.2故障排查+NP总结
H3C路由器技术专题之IPsec篇.chm
02-27
目录: 1.基础知识篇 1.1 理解篇 1.2 IPsec基本原理 2.典型配置案例资料 2.1 ACG常见IPSEC对接案例 2.2 ERG2路由器IPSEC对接 2.3 GRE over ipsec 2.4 IPSEC主备隧道场景 2.6 V5_V7常见对接常规场景 2.7 V5常规案例 2.8 V7常规案例 2.9 一总多分支IPSEC场景 2.10 两端设备均在私网建立IPSEC场景 .......
H3CSE V2.0 培训视频教程【MP4版】【共三科73集】.rar
10-04
目录:网盘文件永久链接 BGL MPLS VPN BGP基础 BGP增强配置 BGP属性控制 EPON&EPCN&DSL GRE over IPsec VPN GRE VPN HA概述&链路聚合 IGMP IPsec over GRE VPN IPsec IPv6-概述 IRF IS-IS Monitor-link&RRPP-1 MPLS MSTP ND&IPv6路由 OSOF基本原理 OSPF基本原理实验 OSPF高级特性 PBR PIM Private VLAN QOS RRPP Smart-link STP STP保护 VLAN概述 VLAN路由 VRRP 以太网接入 企业网模型 园区网概述 大规模路由概述 大规模路由综合实验 数据安全基础 端口安全&SSH 组播概述 路由协议概述&RIP 路由备份&聚合实验 路由控制与转发&路由负载与备份 路由策略&路由引入 路由过滤
华为官方HCIE安全培训PPT资料合集.zip
09-01
HC13031068 GRE Over IPsec HC13031071 SSL VPN技术原理 HC13031072 SSL VPN功能配置 HC13031073 SSL VPN故障排除 HC13031081 IPv6技术 HC13031091 Agile Controller产品概述 HC13031092 Agile Controller产品安装...
华为HCIE-Security1.5华为认证网络安全精英培训教材、实验手册等
11-17
虚拟防火墙技术原理 虚拟防火墙应用分析 防火墙带宽管理技术" "虚拟防火墙实验 防火墙带宽管理实验" "IPSec PKI证书" IPSec 实验 "L2TP Over IPSec GRE Over IPSec " Efficient IPSec 高可用技术 NAT穿越
华为HCNP-Security LVC公开课培训视频教程汇总集【共3科84集】.rar
09-24
6.1_Portal认证技术_Portal技术原理 6.2.1_Portal认证技术_Portal配置部署1 6.2.2_Portal认证技术_Portal配置部署2 6.3_Portal认证技术_Portal故障处理 7.1_访客管理技术_访客管理功能及接入原理 7.2_访客管理...
华为HCIE-Security培训视频汇总集【共70集】.rar
09-19
63. GRE over IPsec 65. L2TP VPN 简介和部署方式 68. NAT-T 技术 69. DPD 死亡对端检测 70. SSL 协议介绍 71. SSLVPN 虚拟网关讲解 72. SSLVPN Web 代理 介绍 73.SSLVPN 文件共享 74. SSLVPN 端口转发 76....
gre over ipsec特点
03-26
GRE over IPSec(IKEv2 / ESP)隧道具有以下特点: 1. 安全性:GRE过程在IP层上运行,因此需要使用IPSec提供的安全机制,包括身份验证、加密和完整性保护,以确保隧道中传输的数据的机密性和完整性。 2. 可靠性:由于它是在IPSec隧道中运行,因此GRE over IPSec可以提供高可靠性的数据传输,避免数据包丢失或损坏的情况。 3. 灵活性:GRE over IPSec可以在不同的网络中使用,包括开放的互联网和私有网络。它还支持广播,多播和单播数据传输,并且可以在不同的协议(如TCP和UDP)之间进行选择。 4. 扩展性:GRE over IPSec适用于大型企业和服务提供商,可以扩展到支持数千个隧道,支持大量的流量和连接。 5. 互操作性:GRE over IPSec是一个通用的网络协议,能够与其他网络设备和协议(如VLANS、RIP、OSPF和BGP)集成,为组织提供更多选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值