GRE over ipsec组网实验

于 2024-06-12 22:11:06 发布
阅读量1.6k 收藏 26
点赞数 32
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44256357/article/details/139637879
版权

前言:
概念明确:
1、VPN:

VPN(虚拟专用网络)是一个在公共网络上建立起一个逻辑的、专用的隧道的技术。

2、GRE:

GRE(通用路由封装)是一种封装协议,它允许一种协议的报文封装在另一种协议的数据包中,

从而实现VPN传输。

3、IPSec:
IPSec(Internet Protocol Security)是一种由多种协议组成的协议栈,在建立IPSec链接前,会先使用IKE协议来进行密钥的交换和认证,建立安全关联(SA)。

实验理由:在vpn加密的过程中,之所以要建立GRE over IPsec,是因为ipsec是不能抓去组播流量的(如视频流等),需要用到gre封装。但GRE封装是没有保密的,因此需要加上ipsec的esp加密。

实验目标:建立起一个GRE与IPSec结合使用的VPN连接。

实验拓扑如下:
 

配置流程:

1、配置ip/区域/路由

Fw1:

int g1/0/0

ip add 10.1.1.1 24

service-manage ping permit

q

int g1/0/1

ip add 20.1.1.1 24

service-manage ping permit

q

firewall zone trust

add int g1/0/0

q

firewall zone untrust

add int g1/0/1

ospf 1

area 0

network 20.1.1.0 0.0.0.255

Fw2:

int g1/0/0

ip add 10.1.2.1 24

service-manage ping permit

q

int g1/0/1

ip add 30.1.1.1 24

service-manage ping permit

q

firewall zone trust

add int g1/0/0

q

firewall zone untrust

add int g1/0/1

q

ospf 1

area 0

network 30.1.1.0 0.0.0.255

AR1:

int g0/0/0

ip add 20.1.1.2 24

int g0/0/1

ip add 30.1.1.2 24

q

ospf 1

area 0

network 30.1.1.0 0.0.0.255

network 20.1.1.0 0.0.0.255

检查

ip均已正确配置。

2、配置GRE隧道接口

FW1:
int Tunnel 1

ip add 1.1.1.1 24

tunnel-protocol gre

source 20.1.1.1

destination 30.1.1.1

q

firewall zone trust

add int tunnel 1

q

ip route-static 10.1.2.0 24 tunnel 1

FW2:

int Tunnel 1

ip add 2.2.2.2 24

tunnel-protocol gre

source 30.1.1.1

destination 20.1.1.1

firewall zone trust

add int tunnel 1

q

ip route-static 10.1.1.0 24 tunnel 1

3、配置gre安全策略

FW1、FW2相同:

security-policy

rule name vpnU_T

source-zone trust untrust

destination-zone trust untrust

source-address 10.1.1.0 24

source-address 10.1.2.0 24

destination-address 10.1.1.0 24

destination-address 10.1.2.0 24

action permit

q

rule name lun

source-zone local untrust trust

destination-zone local untrust trust

action permit

验证gre:
 

GRE配置完成

4、ipsec配置

(由于搭配gre使用,因此不配置感兴趣流acl)

4.1:ike协商:

ike proposal 10

(使用默认配置:

4.2:ike对等体:

ike peer fw2

pre-shared-key 1234

ike-proposal 10

remote-address 30.1.1.1

4.3:ipsec协商

ipsec proposal 10

使用默认配置:
 

4.4:ipsec策略:

ipsec profile fw2

ike-peer fw2

proposal 10

4.5:gre隧道接口配置:

int tunnel 1

keepalive

ipsec profile fw1

fw2配置:
ike proposal 10

q

ike peer fw2

pre-shared-key 1234

ike-proposal 10

remote-address 20.1.1.1

q

ipsec proposal 10

q

ipsec profile fw1

ike-peer fw1

proposal 10

q

int tunnel 1

keepalive

ipsec profile fw2

ping验证:

防火墙ipsec验证:

抓包,发现esp加密报文:

实验成功

康笛声
关注
GRE over IPSec讲解与实验
m0_49864110的博客
05-25 616
目录 GRE over IPSec讲解 IPSec over GRE讲解(一般不用) GRE over IPSec实验配置 基础配置(以FW1为例子,FW2和FW1类似) 配置GRE 配置IPSec 配置安全策略 GRE over IPSec讲解 可以弥补GRE隧道无法加密的缺点,并且可以借助GRE传播组播流量等 防火墙——图解隧道技术数据报文传输解封装过程_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details
多点mGRE over IPsecVPN 配置及NHRP的使用
最新发布
earthtoearth的博客
07-05 1040
(一)多点mGRE的配置,将传统GRE隧道点对点类型的tunnel接口扩展为点到多点类型的mGRE隧道,并在tunnel接口实现NHRP(下一跳地址解析地址)的静态表项设置,设置静态路由后实现PC1与PC2和PC3的联通。(二)同样是mGRE设置,但通过NHRP(下一跳地址解析地址)的动态表项,实现PC1、PC2、PC3的联通。(二)将防火墙连接PC的接口g1/0/1全部设置于信任区域,连接路由器的接口设置于非信任区域(此处省略)2、NHRP(下一跳地址解析地址)的静态设置。1、使用p2mp网络类型。
华为GRE over IPSEC结局方案
DREW德鲁
07-30 565
GRE over IPSECIPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由 使用场合 总部与分支机构跨越Internet互联。 总部与分支机构之间的路由协议为动态路由协议。 1,配置GRE [AR1]int t0/0/0 [AR1-Tunnel0/0/0]ip add 10.1.1.1 24 [AR1-Tunnel0/0/0]tunnel-protoco gre [
H3C GRE over IPsec实验
呦菜呦爱玩的博客
07-25 3552
组网需求 1. 某企业总部、分支1、分支2分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 总部、分支1、分支2配置 GRE over IPsec VPN 连通内网,要求总部使用模板来简化配置 5. 总部和分支之间配置 RIPv2 传递内网路由
IPSEC *** 与 GRE ***综合实验
weixin_33762130的博客
12-20 260
 实验名称:IPSEC *** 与 GRE ***综合实验 实验目的:实现总部和分部之间的***加密互联  实验拓扑图: 主要配置步骤:   (1)路由器0总部 Router>en Router#config t Router(config)#int fa0/0 Router(config-if)#ip add 192.168.3.254 255.255.255.0...
IPSec自动协商
qq_61759561的博客
10-19 538
【代码】IPSec自动协商。
GRE over IPSec组网配置
Qconfig100的博客
09-01 528
R-A 为分公司网关,R-B为总部网关,分公司与总部通过公网建立通信,含组播通信。现需求对分公司与总部之间相互访问的流量进行安全保护,但是组播数据无法直接应用IPSec,故只能建立基于虚拟隧道接口方式的GRE over IPSec,对隧道接口下的流量进行保护。
VPN应用场景典型案例-GRE over IPSec组网应用
xkyby1992的专栏
03-11 1084
本文为VPN应用场景典型案例-GRE over IPSec组网应用的场景,请各位有需要的同仁参考,谢谢各位同仁的支持
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
两个网关之间建立GRE over IPSec VPN(IPSec安全策略方式)
加油!
06-26 1294
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播和非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
IPSec Over GRE配置实验
A soul tortured by desire
08-05 2646
实验目的: 配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通 组网需求: 如图,R1为总公司出口路由,R2为分公司出口路由,分支与总部通过公网建立通信。 原公司分支与总部通过GRE隧道实现私网互通,现要求对分支与总部之间互相访问的流量(不包括组播数据)进行安全保护。因此,可基于虚拟隧道接口方式建立IPSec Over GRE,对分支和总部互通的流量进行保护。 GRE配置: ***********总部R1**************** <Huawei>sy
GRE over IPSec 实验
weixin_70595351的博客
03-09 220
pre-shared-key simple 123456 -----对等体IKE协商采用预共享密钥认证时所使用的预共享密钥。dh group14 -----IKE协商时所使用的DH(Diffie-Hellman)组。encryption-algorithm aes-cbc-128 -----加密。source tunnel 0/0/0 原接口为tunnel0/0/0。ike-proposal 5 -------绑定ike安全提议。proposal PC1 -----绑定ipsec 安全提议。
企业分支与总部配置GRE over IPSec双链路综合实验(设备:USG6000、AR2240)并配置策略路由实现不同网段通过不同的供应商上网
A soul tortured by desire
12-09 2177
实验背景: 企业总部和分支机构之间要可以相互访问内网,现在一般采用在总部和分支的出口设备上建立隧道的方式,这种方式需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec 只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性保障,传输明文在公网..
动态的GRE OVER IPSEC实验模拟与分析
weixin_30338497的博客
07-23 438
此篇博客正在介绍的是下图中的Dynamic P2P GRE OVER IPSEC VPN: 为什么出现这种动态的GRE OVER IPSEC VPN技术呢? 首先在前面几篇博客中已经介绍过了,动态是为了保证在不更改总部路由器的配置的情况下,可以随意的增加和删除分部vpn路由器,IPSEC是为了保证数据传输的私密性,对于一个基本vpn通道来讲,这样已经完全可以满足要求...
经典GRE over IPSec实验
weixin_33806914的博客
09-08 910
经典GREoverIPSec实验如图所示,该拓扑是GREoverIPSec站点到站点的×××拓扑实验需求;在站点Site1(202.100.1.1)和Site2(61.128.1.1)之间建立GRE隧道tunnel0,网段172.16.1.0/24GRE隧道上运行OSPF协议使得Site1和Site2相互学到身后的网络路由1.1.1.1/24和3.3.3.3/24配...
华三(H3C)GRE OVER IPsec实验
h320758724的博客
04-27 3779
实验需求 1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置 5. 总部和分支
【华三】GRE Over IPsec 实验配置
2301_77161465的博客
02-05 1872
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端。
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8727
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
任务十一:部署GRE over IPSec
2301_76274559的博客
12-18 1241
理解IPSec安全提议和IKE协商参数,掌握GRE over IPSec配置过程。
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值