GRE over IPsec(先封装GRE,后封装IPsec)
原先GRE 的Tun口配置的源地址和目的地址是公网的地址,但是此时,这个地方的地址是不是公网地址无所谓。因为还要IPsec封装做转发。一般这个时候配置的是环回口(本地和对对端)(是不是环回口不重要,只是为了方便识别和规划)
IPsec 的感兴趣流ACL 应当写Tun的环回口的源地址和目的地址,因为这样做是为了能够把GRE封装之后的包抓到IPsec做二次封装
IPsec的策略应当下发在G0/0口(公网口)因为:IPsec是最后的公网封装,必须得保证,策略是下发在公网口的
GRE over IPsec VPN 过程
首先呢一个数据包最原始的头部(两个PC之间的互访,首先数据包交给双方的出口网关)
然后数据包进入Tun口,封装上一个GRE的头部,源IP和MIP就看Tun口的地址。
再次那GRE分装后的头部,查找明细路由
没有明细路由,就将数据包发往缺省路由,往公网口发送,
此时,突然发现,公网口下发了一个IPsec策略
于是IPsec 就把数据包检查,是否和感兴趣流相匹配。发现匹配
所以这个数据包会被IPsec 策略抓走,封装新的IPsec 包头
数据包头部封装公网口的IP头部。就完成了第二层封装
优点
安全性有保障
网段数量多的情况下,不管有多少,都通过GRE把地址转换成了Tun口的地址。
最大的优点就是,只需要路由协议,学到对方的路由就可以,IPsec 的感兴趣流只需要写一条。