GREoverIPsec的本质华为

最新推荐文章于 2022-07-29 18:41:58 发布
最新推荐文章于 2022-07-29 18:41:58 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 华为 网络技术 文章标签: 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/121970653
版权

GRE相关

GREoverIPsec其实两者之间并没有直接的联系。我们首先说一下GRE配置的流程以及最后的结果

我们首先创建一个tunnel接口,在这个tunnel接口上面配置其协议是GRE,然后在tunnel隧道中指明出口IP以及对端IP,同时为隧道接口配置一个IP地址。

这样我们的虚拟隧道就创建成功,当然这个隧道的创建是双向的。我们可以将这个tunnel隧道看作是一个加工流水线,只有将数据包从这个流水线通过之后才会被封装额外的头部。

 

 上面是GRE如何封装以及封装的内容是什么。

但是我们知道数据包在转发的过程中是依靠路由器去选择从哪个接口转发出去的,所以如果没有路由表的指引,那么数据包是不会穿过这个流水线的,最终还是以普通的路由方式进行转发。所以我们需要配置一条静态路由将数据包进行指引,使其经过隧道的封装之后才进行转发。经过隧道的封装之后,其源IP一般是出口路由器的出口接口IP,目的地址是想要去到的路由器的接口IP地址。我路由器之间设置GRE隧道用于发送和接收VPN报文。

我们甚至可以说GRE的这种方式可以在不用NAT的方式将数据包在公网上进行转发,但是相较于NAT来说,它需要封装额外的头部,浪费资源,而且匹配方式也不够灵活。

上面就GRE的相关内容,其实本质就是先让数据包经过GRE隧道的封装,然后再使用路由表进行常规的转发。

IPsec相关

IPsec首先需要配置IKE第一阶段协商使用的SA,我称它为安全环境,其实就是协商一些加密算法,签名算法,密钥分发算法,以及验证方式。

然后就是创建IKE对端。如果验证方式使用预共享密钥的话,那么我们就需要再该视图下定义与预共享密钥是什么。同时我们也需要指定对端的IP地址。同时还要将IKE对端与IKE协商进行绑定。

然后就是创建IPsec策略,IPsec协商,这个的创建时为了配置第二阶段使用的相关SA。但是因为再第一阶段以及进行对端 身份的验证,以及对称密钥的分发,和签名算法密钥的分发,所以在这个视图下,我们仅仅只需要设置它们之间协商的加密算法和签名算法即可。

当创建完IKE对端,以及IPsec协商,我们最后创建IPsec策略,然后将IKE对端、IPsec协商以及感兴趣流与其匹配。

然后最后将IPsec策略配置在接口上。

因为设置了感兴趣流,所以只有匹配到Acl的数据才会被IPsec进行相关的封装。

IPsec和GRE的配合

我们知道一个数据包如果想要被GRE封装,那么它就一定需要先去tunnel隧道走一遍之后然后再出来,而这需要路由表的指引。而一个数据包如果想要被IPsec进行封装,那么它必须匹配上物理接口 上的IPsec策略,所以GRE over IPsec的本质就是先让数据包从GREtunnel隧道中走一遍,然后再到IPsec上走一遍,完全两遍的封装。那么为什么要这么做。

在一些场景下,如果两个依靠公网进行连接的路由器如果想要建立动态路由关系,一般是不行的,但是GRE可以通过将协议报文进行封装然后利用新包头发送给对端路由器从而形成动态路由协议的关系建立。那么IPsec可以吗,我觉得从理论上来说是可以的,因为无论是GRE封装还是IPsec封装,本质都是利用了新的包头(IPsec在隧道模式下才有新的包头),然后将业务数据承载在新的包头上,然后到对端之后将数据解封从而获取到内部的数据,但是在路由宣告中,我们一般都是宣告一个网段,而tunnel接口具备自己的虚拟IP,但是IPsec使用使用IPsec策略捆绑在边界出口上的。所以首先GREtunnel是使用自己的虚拟IP进行邻居关系的建立。而对于IPsec来说它已经将出口的IP作为新的包头的源IP,那么它又要使用什么IP去进行邻居关系的建立呢?所以这里就是一个问题。

虽然GRE看起来不错,但是它的明文传输让它的隧道看起来十分的不像隧道。所以就将这两种技术结合。使用首先用GRE将相关报文进行封装,然后使用使用IPsec对这个报文再进行一次处理。

那么又该如何去实现呢?那么我们就要从它们对数据包的指引方式开始。

我们知道GRE是利用静态路由将数据包指引到隧道当中,

而IPsec是一种被动的方式,只要从物理接口上有匹配的流量就会被IPsec策略进行处理。

我们需要配置静态路由使得数据包先进入tunnel口,然后再从物理口转发出去。

虽然数据包在查看路由表后会先进入tunnel口,但是最终还是被封装成一个正常的数据包然后根据路由表从物理接口转发出去,所以GRE是先进行匹配的,然后IPsec再进行匹配。

这样就会完成GRE over IPsec的配置。

举个例子:比如我们要使OSPF的相关协议报文进行GRE over IPsec的相关操作,那么我们首先要在OSPF视图下宣告tunnel接口,以及其他除了边界接口的IP地址。然后我们需要配置IPsec中的感兴趣流为GRE的源IP和目的IP,这样当数据包经过GRE的封装之后,它的数据包就会变成它tunnel接口中指定的IP地址,那么只要IPsec中的acl对GRE封装后的IP地址进行匹配,那么GRE封装后的数据就会被IPsec的acl匹配,于是它就会被IPsec策略进行处理。于是就完成了GRE over IPsec。

我觉得这个GRE over IPsec主要作用就是用于动态路由关系的建立。

普通的数据包只要使用IPsec VPN进行加密传输即可。

Mllllk
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
CCIE-GRE over IPsec
fa_nei_kuang_tu的博客
09-03 451
2021.9..3 眼中虽有千万物,唯有此女扰心神 技术背景 传统的L2L IPSec VPN 只能靠静态路由的方式来构建所需路由条目. 当内部网络比较复杂的时候, 仍然使用静态路由的方式来部署是不实际的. 我们需要一种可以在两个内部网络之间直接运行动态路由协议的方法. 因此在两个内部网络之间需要一条虚拟的链路连接, 即GRE 隧道. 在隧道建立成功以后, 再通过IPSec 加密传输的数据来保证安全. 形成了 GRE over IPSec VPN. GRE (G
GRE over IPsec配置及原理
qq_45309500的博客
04-05 5143
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GRE 和IPsec的联动解决了这个问题 GRE隧道传输的同时
GRE over IPSec
weixin_45123715的博客
04-03 1289
多用在站点到站点,协议号47 GRE是一种三层封装技术,可以对某些网络层协议(如IPX、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如ipv4)传输,从而解决了异种网络的报文传输问题,如图: GRE优缺点: 1.GRE除了可以封装网络层协议报文外,支持多种上层协议,还可以封装组播报文 2.不支持加密,较弱的身份验证机制,较弱的数据完整性校验 IPSec优缺点: 1.支支持IP封装,不知持多种上层协议,不支持组播 2.支持加密,支持身份验证机制,支持数据完整性校验 GRE封装:新IP头中使用47
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
华为GRE over IPsec的配置思路原理以及安全策略的设置
qq_47529104的博客
04-08 2393
1、建立IPsec隧道 2、创建tunnel接口,且指定封装协议是GRE 3、创建静态路由进行tunnel接口的引流,也就是指定哪些流量想要进行gre的封装 4、在ipsec策略中指定感兴趣流为进行gre封装后的源目IP,也就是指定只要流量是gre隧道的两端那么就进行ipsec的隧道封装 原理 流量进入防火墙的时候会先进行路由表查表,而只有流量到达接口上准备发送的时候才会进行ipsec的隧道封装,于是相关流量如果被静态路由引入tunnel接口后,先做的操作其实是gre的封装,然后该流量到达与i
GRE over IPSEC
ikaros_fire的博客
10-17 3656
前提:路由可达,相互可通信。 GRE提供通道,IPSEC保护通道数据。 GRE over IPSECIPSEC over GRE 哪个好?肯定是前者。 在R2与R4之间建立tunnelipsectunnel数据加密,即GRE over IPSEC 起接口IP规则依旧是老样子:R1-R2,那么就是12.1.1.1-12.1.1.2,其余类似。 R2配置如下: R2#sh run Buildi...
华为eNSP GRE实验
11-29
华为模拟器的练习,关于GRE部分的
华为 GRE常见故障处理
03-31
本文针对GRE常见的故障,说明故障处理流程和详细的故障处理步骤。 主要包含内容:GRE简介、了解GRE、GRE隧道不Up故障定位、GRE不通故障定位、故障总结等。
思科IPsec华为IPsec 配置对照学习手册
09-28
思科IPsec华为IPsec 配置对照学习手册
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
华为防火墙:GRE over IPSec
u010612642的博客
07-29 2623
华为防火墙:GRE over IPSec-(ipsec安全策略方式)-(点到点)-(静态路由)
GRE OVER IPSEC过程解析
weixin_33802505的博客
08-23 1195
GRE OVER IPSEC过程解析一,产生背景IPsec是如今十分主流的分支机构互联×××协议,其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全,但是面对当前多元化的访问需求,Ipsec ×××并不能满足客户对私网网段之间复杂的互访要求;在实际环境中,分隔两地的机构要求通过×××隧道建立私网之间的路由邻居关系,而Ipsec ×××本身并不具备传递路由的能力,所以...
网络安全篇 IPSec over GRE-31
佐德将军的博客
06-14 559
实验难度 3 实验复杂度 3 目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 一、实验原理 把GRE与IPSec结合起来就可以实现数据机密性传输的同时,也可以实现内网的互通。本章节会把IPSec封装在GRE中传输,以达上述的目的,好了,我们直接上实验。 二、实验拓扑 三、实验步骤 1.如图搭建网络拓扑; 2.初始化设备,配置相应的IP地址,测试直连网络的连通性; 3.在R1与R3上配置默认路由,使得它们可以相互通信; 4...
IPsec的NAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
华为防火墙链路检测工具(IP-LINK,BFD)
qq_47529104的博客
03-21 1万+
IP-LINK 三个检测周期15s后未收到响应报文则认为故障 收到三次响应后才认为故障消除 ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查 tx-interval xx //设置发送间隔 times xx //设置超时次数 display ip-link//显示iplink IP-link作为一个链路测试工具,...
标准机柜整体参数
qq_47529104的博客
11-16 1万+
1U=44.5mm 标准机柜是指内部安装尺寸为482mm的机柜(注意这里指的是内部安装尺寸)。而一般机柜的外部尺寸是600mm或者800mm,服务器的机柜一般是600mm,因为布线可能不是很多,但是对于网络机柜,因为它可能要负责一个地区的网络组网,所以就需要大量的线缆连接到这些网络设备上,于是需要800mm宽的机柜,在机柜的两侧可以用来整理线缆。比如我们可以将配线架正面延申出来的线缆放在配线架上,然后再从配线间上连接至网络设备上。 然后就是机柜的深度,一般也是选择600mm或者800mm,考虑成本可以选
华为:ppp链路协商抓包分析(详细)
qq_47529104的博客
08-08 7836
首先简单说一下ppp配置的流程。 1、在服务端将链路的封装类型设置为ppp,在服务端创建用来验证的本地用户。(还有一些是用别的服务器存用户数据)。 2、在服务端上设置验证协议,比如pap或者chap 3、在客户端上同样将链路的封装类型配置为ppp。然后将向服务端提供用户信息,验证成功即可 简单来说就是上面的步骤 首先我们使用抓包软件先来看以下LCP,是如何建立链路的连接的。 华为的路由器在串线上默认使用的就是PPP协议,所以我们先看一下两台路由器使用串线连接之后,线路上的数据包。 当你连接
OSPF协议报文为什么目的地址有的是单播,有的是组播分析
qq_47529104的博客
11-27 7029
hello包: hello包的目的地址是224.0.0.5,他是一个组播地址,这个很好理解,在一开始路由器之间都不知道对方的存在的时候,通过组播的方式去寻找相邻的邻居路由器是最好的选择,因为只有开启了ospf协议的路由器才能对这个hello进行响应,从一定程度上仅能寻找到开启ospf包的路由器,同时也能减少ospf相关协议包的流量。 DD报文: 我们知道DD报文的作用总共有两个,一个是进行DR和BDR的选举,还有一个就是进行路由摘要信息出传播, 当在广播链路上通过DD报文选举处...
华为gre over ipsec的配置
最新发布
03-16
华为GRE over IPSec的配置步骤如下: 1. 配置IPSec策略,包括加密算法、认证算法、预共享密钥等参数。 2. 配置GRE隧道,包括本地和远程隧道IP地址、隧道模式等参数。 3. 配置IPSec隧道,将IPSec策略和GRE隧道绑定,同时指定本地和远程IP地址、预共享密钥等参数。 4. 配置路由,将GRE隧道的本地和远程IP地址添加到路由表中,以便实现数据传输。 以上是华为GRE over IPSec的基本配置步骤,具体操作可参考华为官方文档或咨询华为技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值