IPsec VPN与GRE

最新推荐文章于 2024-03-20 19:23:33 发布
最新推荐文章于 2024-03-20 19:23:33 发布
阅读量1.4k 收藏 20
点赞数 31
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56909238/article/details/135139894
版权

IPSec概述

IPSec(IP Security) VPN一般部署在企业出口设备之间,通过加密与验证等方式,实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能。

 

数据来源验证:接收方验证发送方身份是否合法。 

数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。 

数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。 

抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

IPSec协议体系

IPSec不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。

IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种安全协议来传输和封装数据,提供认证或加密等安全服务。

▫AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。 

▫AH仅支持认证功能,不支持加密功能。ESP支持认证和加密功能。 

▫安全协议提供认证或加密等安全服务需要有秘钥的存在。 

秘钥交换的方式有两种: 

▫带外共享密钥:在发送、接收设备上手工配置静态的加密、验证密钥。双方通过带外共享的方式(例如通过电话或邮件方式)保证密钥一致性。这种方式的缺点是可扩展性差,在点到多点组网中配置密钥的工作量成倍增加。另外,为提升网络安全性需要周期性修改密钥,这种方式下也很难实施。 

▫通过IKE协议自动协商密钥:IKE建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,采用DH(Diffie-Hellman)算法在不安全的网络上安全地分发密钥。这种方式配置简单,可扩展性好,特别是在大型动态的网络环境下此优点更加突出。同时,通信双方通过交换密钥交换材料来计算共享的密钥,即使第三方截获了双方用于计算密钥的所有交换数据,也无法计算出真正的密钥。

IPSec基本原理

IPSec隧道建立过程中需要协商IPSec SA(Security Association,安全联盟),IPSec SA一般通过IKE协商生成。

SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。 

SA是单向的逻辑连接,因此两个IPSec对等体之间的双向通信,最少需要建立两个SA来分别对两个方向的数据流进行安全保护。 

KE作为秘钥协商协议,存在两个版本:IKEv1和IKEv2,本课程采用IKEv1为例进行介绍,IKEv2内容可参考产品文档对应内容。 

▫IKEv1协商阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。IKE SA是一个双向的逻辑连接,两个IPSec对等体间只建立一个IKE SA。 

▫IKEv1协商阶段2的目的就是建立用来安全传输数据的IPSec SA,并为数据传输衍生出密钥。该阶段使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。 

IKE协商成功意味着双向的IPSec隧道已经建立,可以通过ACL方式或者安全框架方式定义IPSec“感兴趣流”,符合感兴趣流流量特征的数据都将被送入IPSec隧道进行处理。 

感兴趣流:需要被IPSec保护的数据流。

GRE概述

 通用路由封装协议(General Routing Encapsulation,GRE)是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。

如图所示,通过在IPv4网络上建立GRE隧道,解决了两个IPv6网络的通信问题。 

GRE还具备封装组播报文的能力。由于动态路由协议中会使用组播报文,因此更多时候GRE会在需要传递组播路由数据的场景中被用到,这也是GRE被称为通用路由封装协议的原因。

 GRE基本原理

GRE构成要素分为3个部分:乘客协议、封装协议和运输协议。 

▫乘客协议是指用户在传输数据时所使用的原始网络协议。 

▫封装协议的作用就是用来“包装”乘客协议对应的报文,使原始报文能够在新的网络中传输。 

▫运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。

隧道接口(Tunnel Interface)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。 

如图所示,乘客协议为IPv6,封装协议为GRE,运输协议为IPv4。整体转发流程如下: 

  1. 当R1收到IP1发来的IPv6数据包,查询设备路由表,发现出接口是隧道接口,则将此报文发给隧道接口处理。

  2. 隧道接口给原始报文添加GRE头部,然后根据配置信息,给报文加上IP头。该IP头的源地址就是隧道源地址,IP头的目的地址就是隧道目的地址。

  3. 封装后的报文在IPv4网络中进行普通的IPv4路由转发,最终到达目的地R2。

  4. 解封装过程和封装过程相反,这里不再赘述。

GRE Over IPSec

GRE的主要缺点是不支持加密和认证,数据的安全传输得不到很好的保障。 

IPSec的主要缺点是只支持IP协议,且不支持组播。 

可通过部署GRE Over IPSec结合两种VPN技术的优点。

 

吹牛大王 lzy
关注
  • 31
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行正常通告,所以,这时候要配合GRE隧道,GRE隧道会将多播和广播数据包封装到单播包中,再经过IPSec加密。此外由于GRE建立的是简单的,不进行加密的VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。所以很常见的方法就是使用IPSec对GRE进行加密,提供数据安全保证。
IPSec 和 GRE 之间的区别
最新发布
2402_83450224的博客
03-20 654
IPSec 用于虚拟专用网络VPN),以在不安全的网络(如互联网)上提供安全通信。GRE是一种隧道协议,用于在两个网络之间构建虚拟点对点链路,而不是安全协议。
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 8216
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
网络信息安全:五、GRE和IPSEC
四川的小熊猫的博客
06-07 5337
GRE VPN VPN概述 概念: ​ 在传统的企业网络中,进行远程访问的方法是租用DDN专线或帧中继,必然会导致高额的网络通信和维护费用.因此采用VPN技术.VPN称为虚拟专用网络,其实实质是利用加密技术在公网上封装出一个加密数据通信隧道. ​ 总而言之,虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公网网络架设专用网络,通过加密\身份验证\访问控制列表等技术保证通道安全,通过对数据包目标地址的转换实现远程路由. 分类 功能 远程接入VPN(Remote Access VPN)
GRE Over IPSec
KangVcar
07-04 1293
GRE Over IPSec GRE Over IPSec配置命令: 创建GRE隧道: GW(config)#interface tunnel 0            //启用一个虚拟隧道接口,ID两端可以不匹配 GW(config-if)#ip address 12.12.12.1 255.255.255.0    //为隧道配置隧道IP GW(config-
GRE over IPSEC
ikaros_fire的博客
10-17 3666
前提:路由可达,相互可通信。 GRE提供通道,IPSEC保护通道数据。 GRE over IPSECIPSEC over GRE 哪个好?肯定是前者。 在R2与R4之间建立tunnel,ipsec为tunnel数据加密,即GRE over IPSEC 起接口IP规则依旧是老样子:R1-R2,那么就是12.1.1.1-12.1.1.2,其余类似。 R2配置如下: R2#sh run Buildi...
HCL GRE、IPSEC——VPN 配置
qq_57007794的博客
05-28 1312
R1 与 R3 之间配置 GRE VPN,使两端私网能够互相访问。R1 和 R3 上配置 RIPv2 来传递两端私网路由。
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
Cisco路由器配置GRE隧道.docx
07-12
不过你也可以使用某种加密协议对GRE隧道进行加密,比如VPN网络中常用的IPSec协议。 实际上,点到点隧道协议(PPTP)就是使用了GRE来创建VPN隧道。比如,如果你要创建Microsoft VPN隧道,默认情况下会使用PPTP,这时...
IPSec的GRE实现
01-17
分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE -Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
openstack网络(neutron)模式之GRE的基本原理
01-30
neutron混合实施了第二层的VLAN和第三层的路由服务,它可为支持的网络提供防火墙,负载均衡以及IPSec VPN等扩展功能。neutron是openstack中一个重要模块,也是比较难理解和debug的模块之一。图1:三节点opens网络1、...
面试官:GRE 和 IPsec 隧道有什么区别?
网络技术联盟站
03-02 5851
通用路由封装或 GRE 和 IPsec 都封装数据包,但是这两种协议在安全性、数据隐私和加密方面有不同的要求。 让我们探索每种协议并讨论每种隧道方法的最佳用例。 通用路由封装 (GRE) GRE由 RFC(Request for Comments)2784 定义并由 RFC 2890 更新,创建一个未加密的隧道,该隧道在另一个任意网络层协议上封装任意协议。 它可以封装任何使用有效 Ethertype的第 3 层协议,使其能够传输各种协议,包括 IP 多播数据包。GRE 最好在受信任的网络路径上使用,因为数据
三十二、VPN技术概述——GRE、IPSec、MPLS vpn
积累
05-12 2422
vpn:virtual private network(虚拟专用网络IPsec两种数据封装方式(两大类6小类):①传输模式、②隧道模式。每种模式(每个大类)又包含三种小模式:a:AH、b:ESP、c:AH+ESP。
IPSec配置实现GRE封装
CSDN20230410的博客
04-10 138
安全设备配置IPSEC与gre,以华为设备举例。
深入理解GRE与IPsec VPN结合的实践
fjh200714的博客
11-21 386
在当今数字化时代,企业网络的安全性和可靠性至关重要。本文将深入探讨如何通过结合使用GRE(Generic Routing Encapsulation)和IPsec(Internet Protocol Security)构建强大的VPN,实现跨网络的安全数据传输
VPN理论入门及GRE、L2TP、IPsec(HCIP)
qq_45022073的博客
12-22 2040
IPsec(Internet Protocol Security,因特网协议安全协议)是ETF制定的一组开放的网络安全协议(标准,厂商共同支持)。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。数据来源验证:接收方验证发送方身份是否合法(带ID)。数据加密:发送方对数据进行加密,以密文的形式在开放网络上传送,接收方对接收的加密数据进行解密后处理或直接转发(第一阶段5、6包秘钥加密)。数据完整性:接收方对接收的数据进行验证,以判定报文是否被算改(带秘钥的哈希)。
基础八 GRE及IPsec隧道技术
Liu_handsome_brother的博客
11-15 9616
WAN技术:广域网技术 专线方式(租用线路):价格高,安全稳定,带宽有保证 拨号:ISDN 带宽低 走电话线 帧中继:比专线便宜,带宽也比较高 VPN技术:(跨互联网),需要公网IP地址,价格低廉,稳定性取决于上网稳定性,不需要经过运营商,设备支持即可 例如:二层VPN技术:L2F、PPTP、L2TP 、MPLS 三层VPN技术:GRE、IPsec 应用层VPN:SSL (SSH HTTPS...
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值