具体原理可以看之前的一篇介绍GRE的一篇文章,这里不做赘述,这里讲述的是GRE over IPSec在防火墙上的应用
实验:
拓扑:
防火墙划分区域配置IP,G0/0/0放行https服务
FW1配置静态路由
FW2配置静态路由
配置安全策略trust_dmz,dmz_trust,local_untrust,untrust_local
FW1
FW2
配置GRE隧道接口
FW1
FW2与对端对应
将流量引入隧道
FW1
FW2
在AR1的G0/0/0抓包,没有加密
配置GRE over IPSec实现加密
只需要在上面的基础上将local_untrust和untrust_local的策略中放行gre和isakmp 500端口
配置IPSec,这里配置的预共享密钥指的是用于IKE阶段的协商
FW1:
FW2:
抓包测试:pc1 ping pc2