IPSEC over GRE

已于 2022-03-10 15:37:36 修改
阅读量4.6k 收藏 39
点赞数 7
分类专栏: 华三 vpn 文章标签: 网络协议 wireshark
于 2021-11-09 14:40:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46639226/article/details/121226165
版权
华三 同时被 2 个专栏收录
11 篇文章 6 订阅
订阅专栏
vpn
3 篇文章 0 订阅
订阅专栏

顾名思义,就是对数据包先进行ipsec的封装,然后再外面加上一层GRE的封装,但是这种封装方式缺点很多,ipsec无法支持组播,所以tunnel口的两端不能运行关于组播的一些路由协议,比如ospf,如果运行,那么私网数据在公网上依然能被看到,那么vpn就没意义了。华三的官方配置手册上面也说了这种方式不能充分利用二者的优势,一般不推荐使用,但是它可以不好,我们不能不会。
实验组网
在这里插入图片描述
需求:
三台路由器模拟公网,公网运行ospf保证两端公网可达,在R1和R3上运行ipsec over gre保证两端私网可达。
地址配置和ospf不做过多赘述

R1:配置gre

[H3C]interface Tunnel1 mode gre
[H3C-Tunnel1]ip address 10.0.0.1 255.255.255.252
[H3C-Tunnel1]source 202.1.1.1
[H3C-Tunnel1]destination 202.1.2.2

R3:配置gre

[H3C]interface Tunnel1 mode gre
[H3C-Tunnel1]ip address 10.0.0.2 255.255.255.252
[H3C-Tunnel1]source 202.1.2.2
[H3C-Tunnel1]destination 202.1.1.1

引流
R1

[H3C]ip route-static 192.168.2.0 24 Tunnel  1

R3

[H3C]ip route-static 192.168.1.0 24 Tunnel  1

这时候两端私网已经通了,但是只是一个gre的隧道
在这里插入图片描述
这时通过抓包可以很明显的发现私网数据包被gre进行封装了
在这里插入图片描述
配置ipsec感兴趣流
R1

[H3C-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.1.2 0 destination 192.16
8.2.2 0

R3

[H3C-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.2.2 0 destination 192.16
8.1.2 0

配置ike和ipsec
R1

[H3C]ike keychain 1
[H3C-ike-keychain-1] pre-shared-key address 10.0.0.2 255.255.255.255 key simple
123
[H3C-ike-keychain-1]qu
[H3C]ike proposal 1
[H3C-ike-proposal-1]qu
[H3C]ike profile 1
[H3C-ike-profile-1] keychain 1
[H3C-ike-profile-1] local-identity address 10.0.0.1
[H3C-ike-profile-1] match remote identity address 10.0.0.2 255.255.255.255
[H3C-ike-profile-1] proposal 1
[H3C-ike-profile-1]qu
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1] esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-1] esp authentication-algorithm md5
[H3C-ipsec-transform-set-1]qu
[H3C]ipsec policy zx 1 isakmp
[H3C-ipsec-policy-isakmp-zx-1] transform-set 1
[H3C-ipsec-policy-isakmp-zx-1] security acl 3000
[H3C-ipsec-policy-isakmp-zx-1] remote-address 10.0.0.2
[H3C-ipsec-policy-isakmp-zx-1] ike-profile 1
[H3C-ipsec-policy-isakmp-zx-1]qu

R3

[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 10.0.0.1 255.255.255.255 key simple 1
23
[H3C-ike-keychain-1]qu
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]local-identity address 10.0.0.2
[H3C-ike-profile-1]match remote identity address 10.0.0.1 255.255.255.255
[H3C-ike-profile-1]proposal 1
[H3C-ike-profile-1]qu
[H3C]ike proposal 1
[H3C-ike-proposal-1]qu
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5
[H3C-ipsec-transform-set-1]qu
[H3C]ipsec policy zx 1 isakmp
[H3C-ipsec-policy-isakmp-zx-1]transform-set 1
[H3C-ipsec-policy-isakmp-zx-1]security acl 3000
[H3C-ipsec-policy-isakmp-zx-1]remote-address 10.0.0.1   #这个一定要配  不然ike起不来
[H3C-ipsec-policy-isakmp-zx-1]ike-profile 1
[H3C-ipsec-policy-isakmp-zx-1]qu

这里需要注意ipsec策略的应用接口,私网数据到达出口设备上会查找路由表,发现去往对端私网要走tunnel 1接口,那么数据到达tunnel口里面就会进行gre的封装,但是我们的需求是先封装ipsec,ipsec是应用在哪个接口,就会使用哪个接口的ip,所以这里把ipsec应用在tunnel口里面,让数据包先去出发ipsec,进行ipsec封装,在匹配直连路由到达对面,为什么匹配直连,因为ipsec使用tunnel口ip进行封装,tunnel口的ip和对端就相当于直连!
R1 R3

[H3C]interface Tunnel 1
[H3C-Tunnel1]ipsec  apply policy zx

这时随便哪端先触发,都会先进行ipsec封装,在进行gre的封装
在这里插入图片描述
抓包看一下封装,这时再去ping就不能看icmp包了,因为内层的数据包头和icmp协议已经被ipsec加密了,可以过滤只看gre,或者esp协议!

在这里插入图片描述
可以看到依然有两个ip头部,但是内层的却是gre隧道的ip地址,也就是ipsec的封装,并不是发起连接的内网地址,外层依旧是gre头部,使用公网进行封装!

害怕网络暴力
关注
  • 7
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为路由器:IPSec加密GRE通道(GRE over IPsec
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
IPSEC OVER GRE
weixin_46063117的博客
05-20 966
一.R1和R3之间建立GRE隧道 1.配ip地址 [R1-GigabitEthernet0/0]ip a 12.1.1.1 24 [R2-GigabitEthernet0/0]ip a 12.1.1.2 24 [R2-GigabitEthernet0/1]ip a 23.1.1.2 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R1]ip route-static 0.0.0.0 0.
IPSec VPN 高级应用
Jun_share
04-04 1148
公网上架设多层隧道,整合不同隧道的优点,弥补缺点。
实验 10_IPSEC Over GRE 实验
ytdd66的博客
04-08 261
(4)对 192.168.1.0/24 和 192.168.2.0/24 的流量进行数据 IPSCE 加密处理。(3)部署 GRE 隧道和静态路由实现 PC1 与 PC2 通过加密 GRE 隧道实现互通。(2)实现需求 2:部署静态路由。3>部署ike keychain。(1)根据拓扑配置IP地址。5>部署 IPSEC 提议。(2)PC1与PC2通信。2>部署 IKE 提议。6>部署IPSEC策略。7>应用IPSEC策略。(3)IPSEC加密。4>部署IKE对等体。
H3C 多分支机构动态IP使用IPSEC OVER GRE接入总部案例
最新发布
normanhere的博客
05-10 605
这个案例中的分支机构,由于是动态获取的IP所以分支和总部的IPSEC PROFILE中,并没有指定分支的IP地址;##########创建IKE PROFILE,指定共享密钥,本段地址标识,对端地址标识,IKE提议和模式为野蛮模式######################创建IPSEC 模板,调用IPSEC转换集,指定本端IP,调用IKE PROFILE################创建IPSEC POLICY 调用转换集,调用IKE PROFILE 调用感兴趣流,指定对端IP地址#########
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
IPSec Over GRE和GRE Over IPSec技术
qq_56228347的博客
04-19 8218
IPSec Over GRE 和 GRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip流量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
网络安全篇 IPSec over GRE-31
佐德将军的博客
06-14 617
实验难度 3 实验复杂度 3 目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 一、实验原理 把GRE与IPSec结合起来就可以实现数据机密性传输的同时,也可以实现内网的互通。本章节会把IPSec封装在GRE中传输,以达上述的目的,好了,我们直接上实验。 二、实验拓扑 三、实验步骤 1.如图搭建网络拓扑; 2.初始化设备,配置相应的IP地址,测试直连网络的连通性; 3.在R1与R3上配置默认路由,使得它们可以相互通信; 4...
GRE over IPSec vs IPSec over GRE
潇峰的博客
05-30 1714
GRE over IPSecIPSec 在最外层(或称最底层)。意思是先在 R1 与 R2 之间建立 IPSec Tunnel,把里面的 GRE Tunnel 整个进行加密,Routing Protocol 在 GRE Tunnel 里面完成 Route 交换,最后 Data 在 GRE Tunnel 里面传送。从下图所见,因整个 GRE Tunnel 被加密,所以里面的 Routing Protocol 及 Data 都会被加密。 GRE over IPSec隧道示例 配置思路 采用如下思路配置虚
GRE over IPsec
Goallegoal的博客
04-09 767
GRE over IPsec 概述 GRE,Generic Routing Encapsulation,通用路由封装,GRE 采用 Tunnel 技术,是 VPN 三层隧道协议,用于对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。 GRE 技术是一种明文 Tunnel 技术,而 IPsec 是一种加密隧道技术,为什么要将两种隧道技...
IPSEC over GRE超全详解.doc
05-10
IPSEC over GRE超全详解.doc
IPSec over GRE -Tunnel口
12-01
IPSec over GRE Tunnel IPSec over GRE Tunnel 是一种安全的隧道技术,结合了 IPSec 和 GRE 两种技术的优势,提供了高级别的安全保护和灵活的网络拓扑结构。本文将通过实验环境,详细介绍 IPSec over GRE Tunnel 的...
H3Cv7版本ipsecovergre配置指导.doc
10-07
H3Cv7版本ipsecovergre配置指导.doc
IPsec Over GRE
weixin_45161890的博客
09-21 439
原理:先封装IPsec在封装GRE, 配置思路:配置acl匹配内网流量,进行ipsec的封装,再配置gre隧道,配置路由互通,把ipsec策略导入gre隧道中。 配置: 1、acl匹配本地内网地址和对端内网地址 2、建立gre隧道 int Tunnel 0 mode gre ip add 隧道ip source 源ip destination 目的ip 3、建立ipsec ike proposal 1 ike keychian r3 pre-shared-key remote address 对端隧道口i
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8404
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
GRE over IPsec配置及原理
qq_45309500的博客
04-05 5356
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GRE 和IPsec的联动解决了这个问题 GRE隧道传输的同时
IPSec over GRE 和 GRE over IPSec学习总结
weixin_42421936的博客
11-19 5578
GRE可以与IPSec配合使用,通过建立GRE over IPSec隧道,对路由协议、语音、视频等数据先进性GRE封装,再对封装后的报文进行IPsec处理。 二者配合使用的有点: 提高数据在隧道中的传输安全性; 解决IPSec只能处理单播报文的问题,GRE可以支持组播、广播和非IP报文,先对这些报文进行GRE封装,使其成为普通的单播报文,然后再使用IPSec对其进一步处理; 简化IPSec的配置。由于所有报文都先经过GRE封装再进行IPSec处理,因此只要根据GRE隧道的源、目的地址来定义需要IPS
华为防火墙 IPSec over GRE 配置
白话聊网络的博客
03-19 1875
GRE OVER IPSEC 是 gre 做内层封装, ipsec 做外层封装,ipsec 感兴趣数据流为 gre源目地址,适用于两点都是固定 ip 或者一方是动态 IP 或内网环境,由于 ipsec 不能传广播和组播,gre 可以,这种环境还可以运行一些适用组播和广播的协议。GRE是一种三层VPN封装技术。IPSEC OVER GRE 是 IPSEC 做内层封装,GRE 做外层封装,适用于两端路由器都是固定IP,ipsec 策略应用在物理口,ipsec 感兴趣数据流为业务网段,只对业务数据进行加密。
GRE over IPSec
weixin_45123715的博客
04-03 1322
多用在站点到站点,协议号47 GRE是一种三层封装技术,可以对某些网络层协议(如IPX、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如ipv4)传输,从而解决了异种网络的报文传输问题,如图: GRE优缺点: 1.GRE除了可以封装网络层协议报文外,支持多种上层协议,还可以封装组播报文 2.不支持加密,较弱的身份验证机制,较弱的数据完整性校验 IPSec优缺点: 1.支支持IP封装,不知持多种上层协议,不支持组播 2.支持加密,支持身份验证机制,支持数据完整性校验 GRE封装:新IP头中使用47
IPsec Over GRE与GRE Over IPsec的比较
07-23
IPsec Over GRE(IPsec在GRE上)和GRE Over IPsec(GRE在IPsec上)是两种不同的组合方式,用于在广域网中提供加密和隧道功能。 IPsec Over GRE是指在GRE隧道中使用IPsec加密和身份验证的方式。它将GRE数据包封装在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

害怕网络暴力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值