【背景】
某公司拥有两地办事机构,这里用AR1和AR3代表,分别拥有各自的子网。出口网关分别从ISP处获得一公网IP(此处分别以10.0.12.1/24和10.0.23.3/24网络代表)。架设一个网络,使得内部子网能够通信。
这是一个两地办公经常会遇到的网络问题。
【解决方案】
为了使得两地可以相互访问内网,冒无疑问的需要使用到VPN技术。为了保证传输的安全性,这里直接使用IPSec 。但是我们知道,IPSec 只能传输单播报文。那么当两地的网络较庞大之时,相互的一条一条互指静态路由,是一个庞大的成本。
若要使用路由,由于路由协议是组播报文,这里,使用GRE 插入到IPSec当中,构成GRE Over IPSec,使得组播报文在传输的同时,也能保证安全性。
【原理】
这里使用OSPF10进程来模拟公网的一系列路由,来使得AR1和AR3之间公网可达。在此情景下,配置Tunnel接口,协议定义为GRE,打通两端的GRE链路,GRE的源和目的分别是AR1和AR3的公网地址。该GRE链路用来承载AR1和AR3之间的OSPF路由。为了保证数据的安全,使用IPSec VPN,IPSec VPN需要指定感兴趣流的源和目的。依据GRE Over IPSec的原理特性,这个源就是GRE接口的隧道源,目的就是GRE接口的隧道目的。当开启了路由协议或者组播,例如OSPF,只要将该GRE的Tunnel口宣告进入OSPF进程