VPN嵌套 GRE over IPSEC VPN

最新推荐文章于 2024-05-25 14:58:14 发布
最新推荐文章于 2024-05-25 14:58:14 发布
阅读量258 收藏 3
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smilecats/article/details/131729124
版权

IPsec不支持OSPF,OSPF hello包是组播

GRE做起来给数据包加了个新的头部变成了单播,ospf互相学习路由,再用IPsec去保护单播的gre

AR2和AR3先配路由:

AR2: ip route-static 20.1.2.0 255.255.255.0 20.1.1.2

AR3:ip route-static 20.1.1.0 255.255.255.0 20.1.2.2

AR2:

创建Tunnle口,相当于逻辑上的一条线

interface Tunnel0/0/0
 ip address 172.16.1.1 255.255.255.0 
 tunnel-protocol gre
 source 20.1.1.1
 destination 20.1.2.1
AR3:

interface Tunnel0/0/0
 ip address 172.16.1.2 255.255.255.0 
 tunnel-protocol gre
 source 20.1.2.1
 destination 20.1.1.1

配完查看tunnle口是否起来

配ospf宣告建立邻居

AR2:

ospf 1 
 area 0.0.0.0 
  network 172.16.1.0 0.0.0.255 
  network 192.168.1.0 0.0.0.255 
 

AR3:

 ospf 1 
 area 0.0.0.0 
  network 172.16.1.0 0.0.0.255 
  network 192.168.2.0 0.0.0.255 
#

用ipsec去保护gre的报文

配置ipsec感兴趣流保护gre的流量是20.1.1.0和20.1.2.0:

AR2:

acl 3000

rule permit gre source 20.1.1.1 0.0.0.0 destination 20.1.2.1 0.0.0.0

rule deny ip source any destination any

这里是gre不是ip是保护gre流量

用ipsec传输模式,不需要加新头部,单纯保护数据

创建安全提议,名字为testipsec

ipsec proposal testipsec

encapsulation-mode transport

封装模式esp,因为有加密需求,用esp而不是ah

transform esp

加密算法

esp encryption-algorithm aes-256

哈希算法

esp authentication-algorithm sha2-256

quit

配置ike

创建ike提议,编号为1

ike proposal 1

使用预共享密钥的方式进行验证

authentication-method pre 

协商密钥过程,用dh-group1算法进行加密

dh group1

quit

配置对等体

创建对等体,名字为changsha,使用ike v1和对方做密钥协商,v1是主流版本,v2是最新版本

ike peer changsha v1

使用主模式main建立ipsec

双方都有固定公网ip的时候,使用主模式,如果一方没有固定ip可以使用野蛮模式aggressive

exchange-mode main

调用前面配好的密钥协商方法

ike-proposal 1

预共享密钥,两边一致

pre-shared-key cipher testkey

通过ip地址来互相识别对方,不使用ip地址的话,也可以使用域名

local-id-type ip

ipsec对等体的ip地址,也就是要和这个设备建立ipsec连接

remote-address 20.1.2.1

quit

创建ipsec策略

创建一个ipsec策略,名称是testpolicy 编号是3,后面isakmp意思是密钥会周期性动态更新

ipsec policy testpolicy 3 isakmp

前面定义的ipsec对等体

ike-peer changsha

前面定义好的安全提议

proposal testipsec

前面定义好的感兴趣流

security acl 3000

quit

深圳配好了,长沙的同样配置,acl目标和源换一下,然后红标换一下地址

最后是做出接口调用

int g0/0/1

ipsec policy  testpolicy

最后用pc1去ping pc2然后在出端口抓包

可以看到抓到的包都是esp封装的密文的包

 


 

smilecats
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
HCL模拟器IPSec VPN实验
05-13
HCL模拟器IPSec VPN实验
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 3479
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
×××实验2--实验二 使用GRE隧道的IPSEC之上的OSPF
weixin_33840661的博客
12-14 348
实验二使用GRE隧道的IPSEC之上的OSPF 一实验设备 2、CISCO路由器俩台,IOS版本12.3带K9 二实验拓扑图 三实验配置 1、R1路由器上连通性配置 R1(config)#interfacee0 R1(config-if)#ipaddress192.168.1.1255.255.255.0...
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 1905
GRE over IPsec VPN配置
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3012
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
GRE over IPSec 实验
weixin_70595351的博客
03-09 154
pre-shared-key simple 123456 -----对等体IKE协商采用预共享密钥认证时所使用的预共享密钥。dh group14 -----IKE协商时所使用的DH(Diffie-Hellman)组。encryption-algorithm aes-cbc-128 -----加密。source tunnel 0/0/0 原接口为tunnel0/0/0。ike-proposal 5 -------绑定ike安全提议。proposal PC1 -----绑定ipsec 安全提议。
IPsec VPN嵌套
weixin_43082470的博客
03-25 478
原先GRE 的Tun口配置的源地址和目的地址是公网的地址,但是此时,这个地方的地址是不是公网地址无所谓。因为还要IPsec封装做转发。一般这个时候配置的是环回口(本地和对对端)(是不是环回口不重要,只是为了方便识别和规划)IPsec 的感兴趣流ACL 应当写Tun的环回口的源地址和目的地址,因为这样做是为了能够把GRE封装之后的包抓到IPsec做二次封装IPsec的策略应当下发在G0/0口(公网口)因为:IPsec是最后的公网封装,必须得保证,策略是下发在公网口的。
GRE over IPSec解决OSPF跨公网问题
weixin_45457085的博客
03-29 1万+
拓扑背景 A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访 知识回顾 1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。 2、ipsec VPNGRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网环境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。 注意:ISIS虽然也是常用的IG..
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
学习笔记——GRE over IPSec with OSPF
shinylife的博客
05-09 854
gre over ipsec with ospf
安全防御 --- IPSec理论(03)
weixin_62443409的博客
06-25 9333
当隧道出现异常,检测出异常重新发起协商,维持隧道。:AH协议会校验外层IP地址,无论是传输还是隧道NAT都回转换外层IP地址,完整性都会被破坏,AH协议无法与NAT兼容。(标准的IKE SA的主模式使用IP地址作为身份ID,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式):ESP不会对外层IP做认证或校验,所以完整算法不会被NAT破坏,但是TCP会进行头部校验。:ID可以自定义为字符串,NAT无法破坏,可正常完成第一阶段身份认证。:第5、6包的认证ID,由于NAT破坏无法完成身份认证。
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1094
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
IPSec ×××+Tunnel+OSPF实验
weixin_33736048的博客
09-29 419
拓扑图如下:图中R2和R4充当内网下的客户机,指定默认网关,首先完成R1、R2、R3和R4的基础配置。在R1和R3之间通过Tunnel来建立×××,在R1、ISP和R3上启用OSPF路由协议。发下是×××部分的配置:R1:conft inttunnel0 ipadd1.1.1.1255.255.255.252 tunnelsource100.1.1.1 tun...
GRE over IPSec技术原理
热门推荐
曹世宏的博客
05-06 3万+
GRE原理 GRE简介: General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE报文封装: 图:GRE报文格式 其中: 净荷(...
华为 GRE over IPsecIPsec加密GRE隧道)
m0_45364989的博客
05-20 5895
每日一句: To love oneself is the beginning of alifelong romance. 爱自己是终身浪漫的开始。 ——————奥斯卡*王尔德 实验拓扑: 要求: 公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流 实验分析: 使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 1、可以使用IPsec来加密隧道进行传输,称为IP
计算机网络安全控制技术
最新发布
heikewhite的博客
05-25 417
防火墙技术是近年来维护网络安全最重要的手段,但是防火墙不是万能的,需要配合其他安全措施来协同。目前加密技术主要有两大类:对称加密和非对称加密。核心是识别网络者是否是属于系统的合法用户。入侵行为主要是指对系统资源的非授权使用。计算机病毒的数目和危害性都在飞速发展。控制不同的用户对信息资源的访问权限。漏洞检测和安全风险评估技术。6.网络安全漏洞扫描技术。
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值