GRE over IPsec配置及原理

最新推荐文章于 2024-05-14 09:27:14 发布
最新推荐文章于 2024-05-14 09:27:14 发布
阅读量5.3k 收藏 41
点赞数 2
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45309500/article/details/123975392
版权

GRE over IPsec配置及原理

背景:

ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态
GRE具有很牛的隧道技术,传输速度快,并且支持组播技术
但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高

怎么才能使通信即快,又方便,又安全呢?

GRE 和IPsec的联动解决了这个问题

GRE隧道传输的同时,ipsec又为他保驾护航
在这里插入图片描述

配置:

  1. 先配置GRE的隧道,并且可以通过ospf宣告网段建立邻居,但是,不能宣告公网口地址,否则会造成路由黑洞,详细的解释可以看另一篇博客:GRE配置详解和路由黑洞及检测技术

RT1:
int tunnel 0/0/1
tunn gre
ip add 172.16.13.1 24
sour 12.0.0.1 des
23.0.0.3

ospf 1 router-id 1.1.1.1
a 0
net 192.168.10.0 0.0.0.255
net 172.16.13.0 0.0.0.255

RT3:
int tunnel 0/0/1
tunn gre
ip add 172.16.13.2 24
sour 23.0.0.3
des 12.0.0.1
ospf 1 router-id 3.3.3.3
a 0
net 192.168.20.0 0.0.0.255
net 172.16.13.0 0.0.0.255

配置完GRE后,隧道已经建立好了,可以配置IPsec来进行加密
这里ipsec可以选择传输模式,因为GRE会在头部封装公网地址,ipsec隧道模式也会在esp外面封装公网地址,所以可以选择传输模式,节约开销
在这里插入图片描述配置:

RT3:(使用的是ipsec传输模式和ike协商模式)
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm md5
dh group2
ipsec proposal hefei
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
ike peer hefei v1
pre-shared-key cipher 123.com
ike-proposal 1
local-address 23.0.0.3
remote-address 12.0.0.1
acl 3000
rule 5 per gre so 23.0.0.3 0 des 12.0.0.1 0
ipsec policy hefei 1 isakmp
pro hefei
ike-peer hefei
sec acl 3000

RT1:(使用的是ipsec传输模式和ike协商模式)
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm md5
dh group2
ipsec proposal shanghai
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
ike peer shanghai v1
pre-shared-key cipher 123.com
ike-proposal 1
local-address 12.0.0.1
remote-address 23.0.0.3
acl 3000
rule 5 per gre so 12.0.0.1 0 des 23.0.0.3 0
ipsec policy shanghai 1 isakmp
pro shanghai
ike-peer shanghai
sec acl 3000

这里的acl感兴趣流的地址要配置公网地址,因为会先到GRE的隧道中,打上新的ip头部,新的头部使用的是公网地址ipsec是根据流量触发的,如果使用私网地址无法触发ipsec的机制

在这里插入图片描述在接口未调用ipsec前是可以看到GRE头部,GRE封装的新ip头部,并且里面的私网地址,数据,以及数据包类型都可以看的一清二楚
在这里插入图片描述根据推测,这个应该是ospf的hello报文,但是通过ipsec的封装,除了公网地址,其他什么也看不见
巧妙的解决了刚开始的问题

ipesc sa 验证:

在这里插入图片描述在这里插入图片描述

GRE验证:

在这里插入图片描述

路由表

在这里插入图片描述

番茄上的Tomato
关注
  • 2
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
GRE over IPsec VPN实验
最新发布
更多内容查看博客描述。
05-14 1054
注意:ipsec配置完成后,需通过ping触发sa。野蛮模式须用被动端ping主动端。查看ike/ipse命令:display ike sa / display ipsec sa版权声明:本文为下一朵云发布文章,转载请附上原文出处链接和本声明。本文链接:GRE over IPsec VPN实验。
k8s学习-StatefulSet(模板、更新、扩缩容、删除等)_statefulset模板
2401_84281594的博客
05-02 526
name: web。
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8440
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
GRE over IPSec
BJH23的博客
09-04 4018
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
IPSec Over GRE和GRE Over IPSec技术
qq_56228347的博客
04-19 8255
IPSec Over GRE 和 GRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip流量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
IPSEC over GRE
weixin_46639226的博客
11-09 4678
顾名思义,就是对数据包先进行ipsec的封装,然后再外面加上一层GRE的封装,但是这种封装方式缺点很多,ipsec无法支持组播,所以tunnel口的两端不能运行关于组播的一些路由协议,比如ospf,如果运行,那么私网数据在公网上依然能被看到,那么vpn就没意义了。华三的官方配置手册上面也说了这种方式不能充分利用二者的优势,一般不推荐使用,但是它可以不好,但是我们不能不会。 实验组网 需求: 三台路由器模拟公网,公网运行ospf保证两端公网可达,在R1和R3上运行ipsec over gre保证两端私网可达
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3438
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
网络安全IPSec over GRE-31
佐德将军的博客
06-14 619
实验难度 3 实验复杂度 3 目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 一、实验原理 把GRE与IPSec结合起来就可以实现数据机密性传输的同时,也可以实现内网的互通。本章节会把IPSec封装在GRE中传输,以达上述的目的,好了,我们直接上实验。 二、实验拓扑 三、实验步骤 1.如图搭建网络拓扑; 2.初始化设备,配置相应的IP地址,测试直连网络的连通性; 3.在R1与R3上配置默认路由,使得它们可以相互通信; 4...
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
GRE over IPsec 的建立过程及注意事项
share_technology_go的博客
06-10 1856
建立方法一:   【1】网络底层配置   【2】小型网络,写静态,保证私网间的通信以及ISP间的通信;中大型网络启用相关路由协议(主要目的:保证各部分能够通信)   【3】指明到ISP的缺省路由   【4】在需要建立VPN的两个边界路由器上建立GRE(指明source,destination,都是公网ip地址)   【5】定义感兴趣流量(需要保护的通信流,两端需要对应),access-l
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 2047
GRE over IPsec VPN配置
三分钟教会你搭建gre over ipsec隧道
weixin_44799797的博客
05-30 4543
GRE OVER IPSEC VPN实验技术简介实验拓扑环境介绍配置文件 技术简介 VPN:虚拟专用网络,旨在解决不同内网穿越公网实现互访的问题,主要实现途径是在公网中搭建一个隧道,用于传输跨公网的内网流量。说人话就是在家里能上公司内网 -_- IPSEC VPN:是VPN的一种,通过IPSEC来加密内网流量,实现流量在公网中的安全传输 GRE OVER IPSEC VPN:旨在解决IPSEC VPN无法传输组播流量的问题,IPSEC加上GRE隧道可实现组播流量的可靠传输 实验拓扑 环境介绍 现总部需与分
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
华为路由器:IPSec加密GRE通道(GRE over IPsec
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
华三gre over ipsec配置
06-06
### 回答1: 华三GRE over IPSec配置是一种网络配置方式,可以实现两个不同网络之间的通信。具体配置步骤如下: 1. 配置IPSec隧道:在两个网络设备上分别配置IPSec隧道,包括加密算法、认证算法、预共享密钥等参数。 2. 配置GRE隧道:在两个网络设备上分别配置GRE隧道,包括隧道名称、本地IP地址、远程IP地址等参数。 3. 配置路由:在两个网络设备上分别配置路由,将需要通信的网络地址加入路由表中。 4. 测试连接:在两个网络设备上进行ping测试,验证GRE over IPSec配置是否成功。 以上就是华三GRE over IPSec配置的基本步骤,需要注意的是,配置过程中需要确保两个网络设备的配置参数一致,否则会导致通信失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

番茄上的Tomato

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值