使用GRE协议建立IPSEC

最新推荐文章于 2024-10-06 17:10:06 发布
最新推荐文章于 2024-10-06 17:10:06 发布
阅读量816 收藏 3
点赞数 2
分类专栏: 计算机网络 文章标签: GRE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/118558721
版权

今天给大家介绍另一种常见的IPSEC 建立场景,利用GRE协议,建立。阅读本文,您需要有一定的IPSEC 基础知识以及常见配置基础,对此不熟悉的同学可以查阅本博客的其他文章。
推荐阅读:
IPSEC 简介
IPSEC 配置实例

一、实验拓扑及要求

首先给出实验拓扑:
在这里插入图片描述
要求在R1和R3上打一条GRE隧道,通过GRE隧道,实现IPSEC ,以实现PC1和PC2之间互通。

二、配置讲解说明

(一)IPSEC 相关配置

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
ipsec proposal IPSEG
 esp encryption-algorithm 3des
#
ike proposal 10
 encryption-algorithm 3des-cbc
 dh group2
 authentication-algorithm md5
#
ike peer R3 v1
 pre-shared-key simple admin
#
ipsec profile IPSEC_PRO
 ike-peer R3
 proposal IPSEG

上述配置主要是配置IPSEC的相关内容,与之前文章中介绍的普通情况下IPSEC配置相比,在GRE隧道中配置IPSEC,不是使用的ipsec policy,而是使用的ipsec profile。此外,在ike peer配置中,这里也不用指定对端IP地址。
(二)GRE相关配置

interface Tunnel0/0/0
 ip address 100.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 150.1.1.1
 destination 150.1.2.3
 ipsec profile IPSEC_PRO

以上是GRE Tunnel的相关配置,在配置时,要注意destination要成对方实际接口的IP地址,而不是Tunnel接口的IP地址。

三、附录——配置命令

R1:

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
acl number 3001  
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
 rule 10 permit ip source 192.168.1.0 0.0.0.255 
#
ipsec proposal IPSEG
 esp encryption-algorithm 3des
#
ike proposal 10
 encryption-algorithm 3des-cbc
 dh group2
 authentication-algorithm md5
#
ike peer R3 v1
 pre-shared-key simple admin
#
ipsec profile IPSEC_PRO
 ike-peer R3
 proposal IPSEG
#
interface GigabitEthernet0/0/1
 ip address 150.1.1.1 255.255.255.0 
 nat outbound 3001
#
interface GigabitEthernet0/0/2
 ip address 192.168.1.1 255.255.255.0 
#
interface Tunnel0/0/0
 ip address 100.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 150.1.1.1
 destination 150.1.2.3
 ipsec profile IPSEC_PRO
#
ip route-static 0.0.0.0 0.0.0.0 Tunnel0/0/0

R3:

acl number 3000  
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
 
acl number 3001  
 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
 rule 10 permit ip source 192.168.2.0 0.0.0.255 
#
ipsec proposal IPSEC
 esp encryption-algorithm 3des
#
ike proposal 10
 encryption-algorithm 3des-cbc
 dh group2
 authentication-algorithm md5
#
ike peer R1 v1
 pre-shared-key simple admin
 ike-proposal 10
#
ipsec profile IPSEC_PRO
 ike-peer R1
 proposal IPSEC
#
interface GigabitEthernet0/0/0
 ip address 150.1.2.3 255.255.255.0 
 nat outbound 3001
#
interface GigabitEthernet0/0/2
 ip address 192.168.2.3 255.255.255.0 
#
interface Tunnel0/0/0
 ip address 100.1.1.3 255.255.255.0 
 tunnel-protocol gre
 source 150.1.2.3
 destination 150.1.1.1
 ipsec profile IPSEC_PRO
#
ip route-static 0.0.0.0 0.0.0.0 Tunnel0/0/0

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118558721

永远是少年啊
关注
专栏目录
两个网关之间建立GRE over IPSec VPN(IPSec安全策略方式)
加油!
06-26 1483
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播和非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
网络协议IPSec 安全隧道协议
烟云的计算
05-25 3990
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
网络信息安全:五、GRE和IPSEC
四川的小熊猫的博客
06-07 5610
GRE VPN VPN概述 概念: ​ 在传统的企业网络中,进行远程访问的方法是租用DDN专线或帧中继,必然会导致高额的网络通信和维护费用.因此采用VPN技术.VPN称为虚拟专用网络,其实实质是利用加密技术在公网上封装出一个加密数据通信隧道. ​ 总而言之,虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公网网络架设专用网络,通过加密\身份验证\访问控制列表等技术保证通道安全,通过对数据包目标地址的转换实现远程路由. 分类 功能 远程接入VPN(Remote Access VPN)
在GRE隧道上配置基于预共享密钥的IPsec
weixin_34413065的博客
05-03 182
基于IPsec仅支持单播和IP协议的局性性。对于组播、广播和非IP流量的特性不能支持。那么我们可以另一种方式:使用GRE来封装这些流量,再用IPsec加密这些感兴趣流。使之通过GRE的隧道解决IPsec仅支持IP协议和单播的特性。但需要注意的是IPsec的隧道模式会破坏GRE的报头,所以我们必须要把它配置成传输模式。一、下面通过一个实验来看一下配置过程: 1、拓...
gre 与Ipsec vpn的理论与配置实验(超级详细)
最新发布
2401_86759450的博客
10-06 1254
虚拟专用网络可以和多种技术混合从而工作在网络的不同层次上。vpn建立的前提必须是底层网络能够相互通信。
Gre+IPsec实验
qq_44948209的博客
01-15 1545
IPsec理论详见 https://blog.csdn.net/qq_44948209/article/details/122511237 该实验GRE+IPsec主要实践了IPsec的两个阶段配置,请在了解IPsec基本原理后进行本实验
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 9081
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
GRE+IPSEC 扩展!!
weixin_33713350的博客
10-30 195
一、GRE简介: 1、是CISCO开发的一种隧道协议,能够在IP隧道中封装各种网络层协议的分组,从而创建虚拟点到点链路。 2、通常使用GRE通过IPSEC隧道传输动态路由协议数据流。GRE隧道并不提供加密服务,只是一种封装协议。封装数据为明文。 3、使用GRE时,将使用单播分组传输多播和广播,而IPSEC能够转发单播。 4、 二、GRE配置: ...
天融信防火墙配置GRE Over IPSEC
09-19
由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行正常通告,所以,这时候要配合GRE隧道,GRE隧道会将多播和广播数据包封装到单播包中,再经过...
GRE over IPSec
BJH23的博客
09-04 4803
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
GRE over IPsec
Goallegoal的博客
04-09 845
GRE over IPsec 概述 GRE,Generic Routing Encapsulation,通用路由封装,GRE 采用 Tunnel 技术,是 VPN 三层隧道协议,用于对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。 GRE 技术是一种明文 Tunnel 技术,而 IPsec 是一种加密隧道技术,为什么要将两种隧道技...
IPSec的GRE实现
01-17
分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE -Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
IPsec VPN与GRE
weixin_56909238的博客
12-22 1848
同时,通信双方通过交换密钥交换材料来计算共享的密钥,即使第三方截获了双方用于计算密钥的所有交换数据,也无法计算出真正的密钥。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。该阶段使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 2250
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
华为路由器:IPSec加密GRE通道(GRE over IPsec
兔子乖乖
08-08 2131
由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE;加密数据流后从隧道传输,称为GRE over IPsec。下面将配置一个简单的IPsec over GRE实验。
当GRE遇上IPSec后,安全性终于有了保障
网络之路Blog(其他平台同名)
09-23 1123
实际配置就是GRE+IPSec的配置,ACL与封装模式这里有点区别注意下GRE over IPSec标准情况下,双方之间都是需要公网地址建立的,而且建议使用传输模式注意分片问题,建议把GRE的tunnel隧道MTU减少在1380~1400之间,尽量减少分片如果分支之间不需要互访,又跑动态路由协议,建议使用多个进程进行区分分支少的场景可以直接使用静态路由协议GRE over IPSec 只要tunnel隧道不在NAT范围内,比如案例里面在GRE区域,则不需要做NONAT策略。pwd=y22m。
GRE隧道+ipsec传输
weixin_34161083的博客
09-17 214
资源来自网络视频,我做笔记 视频教程请移步此处处http://www.verycd.com/topics/2802335/ IPSec ×××路由的配置----隧道模式 ipsec在默认情况下不支持组播 GRE隧道+ipsec传输 tunnel默认的封装就是GRE封装 实验:...
GRE+IPSEC ×××
weixin_34206899的博客
08-26 126
示例拓扑 实验步骤 1.公网互通 2.做GRE隧道并宣告路由 3.做GRE-××× R1上的配置 r1(config)#interface s0/0 r1(config-if)#ip add 12.12.12.1 255.255.255.0 r1(config-if)#no sh...
深入理解GRE与IPsec VPN结合的实践
fjh200714的博客
11-21 660
在当今数字化时代,企业网络的安全性和可靠性至关重要。本文将深入探讨如何通过结合使用GRE(Generic Routing Encapsulation)和IPsec(Internet Protocol Security)构建强大的VPN,实现跨网络的安全数据传输
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值