防火墙GRE over IPSec配置

最新推荐文章于 2025-03-09 12:54:42 发布
最新推荐文章于 2025-03-09 12:54:42 发布
阅读量3.1k 收藏 41
点赞数 30
分类专栏: 华为 文章标签: 华为 ensp 数通 IPsec GRE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45564816/article/details/139989801
版权

一、基础知识

1、GRE隧道

GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。

GRE隧道的基本概念和工作方式

  • 基本概念:GRE隧道提供了一种在网络之间建立点对点连接的方法,可以在不兼容的网络之间传递数据。
  • 封装和解封装:GRE技术通过封装原始数据报文,在外部加上一个新的GRE头部信息,经过传输到达目的地后再进行解封装,还原成原始数据报文格式。
  • 隧道安全:通过使用关键字(Key)和校验和(Checksum)来确保数据传输的安全性和完整性。
  • 技术支持:GRE支持多种网络协议之间的封装,包括IPv4、IPv6等,使其具有很高的灵活性和适用性。

GRE隧道的技术特性与优势

  • 兼容性:GRE支持多种网络协议,可以轻松地在不同网络环境之间传输数据,解决了网络不兼容的问题。
  • 安全性:虽然GRE本身不提供加密功能,但可以与IPSec等加密协议结合使用,增强数据传输的安全性。
  • 灵活性:GRE隧道不需要特定的路由器或交换机支持,只需要两端设备支持GRE协议即可轻松部署和管理。

2、IPSec加密

PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。IPSec通过为IP通信提供加密和认证服务,确保数据在不安全的网络环境如Internet中传输的安全性。这种技术是VPN中常用的一种,以保障远程访问和数据传输的安全性和私密性。

在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。加密过程使用ESP(Encapsulating Security Payload)协议,保证数据的机密性,防止数据在传输过程中被窃听。而认证则通过AH(Authentication Header)协议来实施,它确认数据发送方的身份并确保数据在传输过程中未被篡改,保持信息的完整性。

二、组网需求

  1. 总部和分部可通过出口防火墙 NAPT方式访问Internet。
  2. 总部和分部内部运行OSPF,归属区域0,进程号为1,为了方便管理需要在OSPF中发布Loopback地址。
  3. 在FW1和FW2间启用GRE隧道,隧道内承载OSPF协议,使总部和分部内网连通。
  4. IPSec VPN针对GRE隧道内数据进行加密,其中isakmp策略定义加密算法采用3des,散列算法采用md5,预共享密钥为huawei@123。DH组使用2。转换集myset定义加密验证方式为esp-des esp-md5-hmac,加密图定义为mymap。

在这里插入图片描述

三、有线网络配置

1、基础网络信息配置

为了方便测试,所有已激活的防火墙接口都开启service-manage ping permit

FW1

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 
[USG6000V1]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.10.254 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit      # 允许PING流量通过
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]int l0
[FW1-LoopBack0]ip add 1.1.1.1 32
[FW1-LoopBack0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-untrust]quit
[FW1]firewall zone trust 	
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]quit

FW2

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int l0
[FW2-LoopBack0]ip add 3.3.3.3 32
[FW2-LoopBack0]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.1 24
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.20.254 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/0]quit
[FW2]firewall zone trust 
[
最低0.47元/天 解锁文章
GRE Over IPSec配置
weixin_30247781的博客
12-13 2022
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN的配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯 *由于没有虚...
关于eNSP实现GRE over IPSec 配置解法
最新发布
2301_80344964的博客
04-12 307
R1与R3作为公司的出口设备,R2作为运营商设备,要求在R1与R3之间部署GRE over IPSec VPN,以此实现总部PC1和分部PC2的私网之间互
GRE OVER IPSEC配置方法
weixin_33812433的博客
04-17 1198
试验目的:GRE OVER IPSEC配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
H3C GRE over ipsec配置
qq_23930765的博客
11-13 3250
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle。三:这种方式下的IPSEC,后续网段变动时,只需要配置不同的静态路由指向GRE Tunnle口,IPsec配置无需改变,适合私网地址较大的拓扑。一:注意loopback口的建立,和GRE封装时的源目地址保持一致,而不是GRE Tunnle的ip地址。以及IPsec的安全ACL匹配的是GRE封装之后的源目地址。
华为防火墙GRE over IPSec
u010612642的博客
07-29 3557
华为防火墙GRE over IPSec-(ipsec安全策略方式)-(点到点)-(静态路由)
gre over ipsec *** 配置
weixin_34292959的博客
08-19 265
1)配置IP地址,配置缺省路由:center:#interface LoopBack0ip address 172.16.1.1 255.255.255.255#interface GigabitEthernet0/0/0port link-mode routeip address 61.67.1.2 255.255.255.0#ip route-static 0.0...
GRE over IPsec配置及原理
qq_45309500的博客
04-05 6683
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能过写静态路由来引导据包,如果私网的主机较少还好,如果主机网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的据别人都能看的见,安全性不高 怎么才能使信即快,又方便,又安全呢? GREIPsec的联动解决了这个问题 GRE隧道传输的同时
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 981
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE据包进行加密。由于IPSec不支持对多播和广播据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
防火墙GRE over IPSec主备链路典型配置案例
m0_65005552的博客
06-25 1916
防火墙GRE over IPSec主备链路典型配置案例
思科路由器和山石网科防火墙GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
GRE over IPSec
BJH23的博客
09-04 5208
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 2508
GRE over IPsec VPN配置
华为eNSP防火墙 配置使用GRE over IPSec隧道
m0_75102488的博客
08-31 2668
华为eNSP防火墙配置
防火墙中的GRE
m0_46626894的博客
03-29 2611
防火墙GRE配置 文章目录防火墙GRE配置实验环境实验思路具体步骤1.配置IP地址2.配置OSPF动态路由3.创建tunnel4.划分区域5.配置安全策略6.测试个人总结 实验环境 实验思路 配置IP地址 配置OSPF动态路由 创建tunnel 测试抓包结果 具体步骤 1.配置IP地址 PC1: IP地址:192.168.1.1 子网掩码:255.255.255.0 网关:192.168.1.254 PC2: IP地址:192.168.2.2 子网掩码:255.255.255.0 网关:
GRE Over IPSEC配置
耶锋的博客
05-02 319
crypto ipsec transform-set ts esp-3des esp-sha-hmac //配置转换集。ip access-list extended ipsec-acl-1 //过acl配置感兴趣流量。crypto map map-1 10 ipsec-isakmp //配置加密图。match address ipsec-acl-1 //感兴趣流量。interface Ethernet0/1 //在物理接口应用加密图。set transform-set ts //转换集。
防火墙Gre over IPSec的原理和配置
2403_83112422的博客
03-09 1471
实现PC1与PC2之间Gre over IPsec互访并且PC1能够过NAT访问R3的loopback8接口
防火墙配置gre隧道
qq_44757725的博客
12-25 966
防火墙配置gre隧道 gre隧道简介 用路由封装(GRE: Generic Routing Encapsulation)是用路由封装协议,可以对某些网络层协议的据报进行封装,使这些被封装的据报能够在IPV4网络中传输。简单来说就是,将原据包进行封装,添加上GRE包头及公网包头,使原报文的 源IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术...
gre over ipsec配置
Cash
02-13 226
使用gre封装路由更新信息,然后被ipsec封装后发送,使路由更新信息安全穿越广域网络!   注:GRE道ip地址不在ipsec配置中被使用!   以下为配置文件:  ------- !!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service pa...
思科gre over ipsec
01-10
### 配置和解决Cisco设备上的GRE over IPsec #### GRE over IPsec概述 GRE (Generic Routing Encapsulation) 和IPsec (Internet Protocol Security) 的组合允许创建安全隧道,过公共网络传输私有据。这种技术广泛应用于企业级网络中,用于连接远程站点或分支机构。 #### 基本配置指南 为了建立一个成功的GRE over IPsec隧道,在两端路由器上都需要执行一系列命令来定义接口、设置加密参以及启动服务。以下是基本的配置过程: 1. **定义tunnel接口** ```shell interface Tunnel0 ip address 192.168.1.1 255.255.255.0 tunnel source GigabitEthernet0/0 tunnel destination 203.0.113.2 tunnel mode gre ip ``` 2. **配置IKEv2策略** ```shell crypto ikev2 policy 1 encryption aes-cbc-256 integrity sha256 group 14 prf sha256 ``` 3. **设定预共享密钥身份验证方法** ```shell crypto ikev2 keyring IKEV2_KEYRING peer PEER_NAME address 203.0.113.2 pre-shared-key LOCAL_PSK ``` 4. **构建IPSec转换集** ```shell crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac ``` 5. **关联IKE与IPSEC策略并应用到Tunnel接口** ```shell crypto ipsec profile PROTECT_PROFILE set security association lifetime seconds 3600 set transform-set MY_TRANSFORM_SET set ikev2 remote-peer PEER_NAME interface Tunnel0 tunnel protection ipsec profile PROTECT_PROFILE ``` 以上步骤展示了如何在Cisco IOS平台上部署GRE over IPsec隧道的基础框架[^1]。 #### 故障排除技巧 当遇到GRE over IPsec问题时,可以采取以下措施来进行诊断: - 使用`show crypto isakmp sa`查看IKE协商状态; - 利用`debug crypto isakmp`获取更详细的调试信息; - 执行`ping vrf management`测试连性; - 查看日志文件中的错误消息以获得线索; - 确认双方防火墙规则是否阻止必要的流量。 这些工具可以帮助识别潜在的问题所在,并指导进一步的操作方向[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Meaauf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值