分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道,现需要在GRE隧道之外再封装IPSec隧道,对总部和分部的通信进行加密保护。
GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPSec隧道中的加密传输。
GRE overIPSec可以结合GRE和IPSec两种技术的优点,使网络既可以支持多种上层协议和组播报文,又可以支持报文加密、身份认证机制和数据完整性校验。
当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。
GRE over IPSec可以使用两种封装模式∶
- 隧道模式
- 传输模式
GRE Over IPSec传输模式
传输模式不改变GRE封装后的报文头,IPSec隧道的源和目的地址就是GRE封装后的源和目的地址。
因传输模式不改变GRE封装后的报文头,IPSec隧道的源和目的地址就是GRE封装后的源和目的地址,故用户A访问用户B的报文有2个IP报头,分别为用户私网IP报头和GREIP报头。
对于私网IP报头,源地址为用户A的地址192.168.1.1,目的地址为用户B的地址 192.168.2.1。
对于GRE IP报头,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
GRE Over IPSec隧道模式
隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息。
隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息,封装后的消息共有三个报文头∶ 原始报文头、GRE报文头和IPSec报文头,Internet上的设备根据最外层的IPSec报文头来转发该消息。
封装GRE报文头时,源和目的地址可以与IPSec报文头中的源和目的地址相同,即使用公网地址来封装;也可以使用私网地址封装GRE报文头,例如,创建Loopback接口并配置私网地址,然后在GRE中借用Loopback接口的地址来封装。
在GRE over IPSec中,无论IPSec采用传输模式还是隧道模式,都可以保护两个网络之间通信的消息。这是因为GRE已经进行了一次封装,原始报文就可以是两个网络之间的报文。
注意∶隧道模式与传输模式相比多增加了新的IPSec报文头,导致报文长度更长,更容易导致分片。如果网络环境要求报文不能分片,推荐使用传输模式。
因隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息,故用户A访问用户B的报文有3个IP报头,分别为用户私网IP报头、GRE IP报头和IPSec IP报头。对于私网IP报头,源地址为用户A的地址192.168.1.1,目的地址为用户B的地址 192.168.2.1。
对于GRE IP报头,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
对于IPSecIP报头,同GREIP报头一致,源地址为NGFW_A的公网出口地址1.1.1.1,目的地址为NGFW_B的公网出口地址3.3.3.3。
GRE over IPSec配置思路
配置Tunnel逻辑接口时,需要指定GRE隧道使用的源地址及目的地址。配置到对端网络内网网段的路由时,下一跳为Tunnel口。
配置GRE over IPSec时,与单独配置GRE和IPSec没有太大的区别。唯一需要注意的地方是,通过ACL定义需要保护的数据流时,不能再以总部和分部内部私网地址为匹配条件,而是必须匹配经过GRE封装后的报文,即定义报文的源地址为GRE隧道的源地址,目的地址为GRE隧道的目的地址。
配置较为简单:略
扫一扫
458
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
