接上篇。(http://9916376.blog.51cto.com/468239/269497<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

GRE 的方便迅速跨域公网实现内部私网的通信,但GRE有着一个致命的缺点:明文传输数据。在公网这个极其不安全的网络上,明文传输数据时很危险,特别是办公的涉密数据。所以,为保护数据GRE数据我们可以结合Ipsec ×××的技术来提供对GRE的加密,提高安全性。(或许大家回想,用Ipsec ×××就可以,怎么还用GRE?呵呵。。。我个人觉得在学习的时候,各种技术学了之后,才能深刻的体会各种技术的有点和缺点,在实际工作,我们就可以选择适合的技术来实施)。

GRE Ipsec ×××的结合使用,大致可分为:GRE Over IpsecIpsec Over GREGRE Over Ipsec,顾名思义就是整个GRE数据被Ipsec ×××加密所承载。Ipsec Over GRE,则是Ipsec ×××的数据被GRE所承载,先用GRE快速连通网络,再利用Ipsec ×××对关键数据进行加密后再被GRE所承载,非关键数据还是明文传输的GRE。(本文以GRE Over Ipsec为例)下面是GRE Over Ipsec传输数据,用PT 5.2抓的数据包结构图:

这个是在公网那个上看到的包结构,最下面是Ipsec 报文头部,后面的数据时看不到的,但PT作为一款不错的初级入门学习模拟器,在包的结构显示上较为清楚。

上图就是Ipsec ×××封装内部的结构。

现在以GRE Over Ipsec 为例演示实验。

基本配置(见http://9916376.blog.51cto.com/468239/268823,在此基础上部署Ipsec ×××)。

关键配置如下:(以总部路由器为例,详细的配置见附件PKT文件中查看,Ipsec ×××配置命令的解释,大家查阅资料,比我写的好多了)

Zongbu 路由器:

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

 

crypto isakmp key xiaot1 address <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.2

crypto isakmp key xiaot2 address 20.1.1.2

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

access-list 101 permit ip host 30.1.1.2 host 10.1.1.2

access-list 102 permit ip host 30.1.1.2 host 20.1.1.2

 

crypto map tom 10 ipsec-isakmp

 set peer 10.1.1.2

 set transform-set tim

 match address 101

 

crypto map tom 20 ipsec-isakmp

 set peer 20.1.1.2

 set transform-set tim

 match address 102

 

interface FastEthernet0/0

crypto map tom

 

 

GRE Over Ipsec 在配置Ipsec 策略的时候,重点是分析我们所需要保护的流量,即要保护的源IP和目标IP是什么。在数据到达fa 0/0接口之前,私网数据被GRE处理打上了公网的IP数据,数据送至fa 0/0接口,发现是公网的源IP和目标IP,由于fa 0/0绑定了Ipsec ×××策略,只有符合要求的数量才会触发Ipsec,才能被Ipsec所保护,故在上面的配置(见红色配置),ACL定义感兴趣流量就是公网的源IP和目标,而非我们普通Ipsec ×××配置写的是私网的源IP和目标IP

    测试,简单说明下,PC Ping Server要多ping几次,Ipsec ×××的协商丢包现象是正常,耐心等待。

    Ipsec Over GRE 简单说明,因为GRE先解决了私网连通性了,故针对关键数据Ipsec保护,配置Ipsec策略的时候,就是具体的私网的源IP和目标IP

   

完。