学习笔记——GRE over IPSec with OSPF

已于 2022-06-10 20:36:11 修改
阅读量1k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络技术 文章标签: 网络 学习 网络协议
于 2022-05-09 23:27:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojie_csdn/article/details/124677901
本文详细介绍了OSPF路由表的特点,报文处理流程,以及公网承载私网的实现方式,重点阐述了GRE over IPSec隧道的配置和区别。通过华为设备配置示例,解析了路由表生成过程,并对比了GRE over IPSec与IPSec over GRE的主要差异,强调了关键配置要点和网络架构理解。

目录

一、OSPF路由表特点

二、报文处理流程

三、路由表生成过程

四、要点

五、公网承载私网(物理网承载逻辑网)图示

六、华为设备典型配置示例

七、与IPSec over GRE的区别

一、OSPF路由表特点

特点:所有到内部目的地的路由的下一跳都是GRE Tunnel接口

二、报文处理流程

1、vpn路由器内部接口收到源和目的地都是内部地址的报文

2、vpn路由器查找路由表,并交给对应的GRE Tunnel接口

3、GRE Tunnel接口对报文加上一层源和目的都是公网地址的头,形成gre报文

4、gre报文查找路由表(一般为0.0.0.0 0 公网下一跳),发给公网出口

5、公网出口对gre报文做ipsec处理,再生成新的最终报文,由公网接口发出

三、路由表生成过程

(1)根据以下配置,hello报文将发给Tunnel接口处理

(2)Tunnel接口对hello报文进行gre封装,生成新的报文

(3)新报文找路

(4)新报文在出口做ipsec处理

 

 (5)其他ospf报文交互过程同上。比如发布内网网段

四、要点

(1)vpn路由器区分内网口和外网口

(2)存在三类ip:即外网ip,tunnel接口ip,内网ip,三者毫无关系。

(3)tunnel接口ip,对于ipsec tunnel,可用于报文的源地址?对于gre tunnel,只有用于ospf时才要求双方在同一网段。

(4)用户关注的是内网或业务网段。

五、公网承载私网(物理网承载逻辑网)图示

 

六、华为设备典型配置示例

################################################

################################################

上下级隧道ipsec相关配置

 ################################################

 ################################################

################################################

与下级单位连接的GRE隧道

#################################################

与上级单位连接的隧道

 #################################################

 #################################################

七、与IPSec over GRE的区别

VPN类型GRE over IPSecIPSec over GRE
感兴趣流量(ACL定义)GRE(或隧道源目地址)内网数据流
IKE-Peer  remote-address对端公网口地址对端Tunnel口地址
应用端口公网接口(物理口)GRE Tunnel接口

IPSec over GRE:

注:部分资料转自华为产品文档!

CCNP350-401学习笔记(易错题合集)
Protocol Stack | 传输与通信
03-01 1218
CCNP350-401学习笔记(易错题合集)
CCNP350-401学习笔记(301-350题)
Protocol Stack | 传输与通信
02-20 660
CCNP350-401学习笔记(2023.2.20)
GRE Over IPSec配置
weixin_30247781的博客
12-13 2065
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN的配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯通 *由于没有虚...
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3399
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
GRE over IPsec配置及原理
qq_45309500的博客
04-05 7144
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GREIPsec的联动解决了这个问题 GRE隧道传输的同时
GRE over IPSec解决OSPF跨公网问题
热门推荐
weixin_45457085的博客
03-29 1万+
拓扑背景 A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访 知识回顾 1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。 2、ipsec VPN与GRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。 注意:ISIS虽然也是常用的IG..
OSPF over GRE Over IPsec on GNS3
cpongo881
01-19 325
(adsbygoogle = window.adsbygoogle || []).push({}); Continued on the post GRE Tunnel in GNS3 Same topology as GRE one: R1, R2, R3, R4, R5, R6, R7 all uses same IOS :c3640-ik9o3s-mz.124-10...
H3C SE 教程笔记——构建安全优化的广域网(上)
weixin_34055787的博客
04-02 2385
第1篇广域网安全和优化概述第1章企业网模型随着应用的发展,各种需求不断出现。作为企业IT系统基础的计算机网络,其未来的发展适应企业业务和应用对IT系统越来越高的要求。1.2趋势和挑战信息技术发展至今,包括企业在内的各种组织几乎都已部署了各种各样的IT系统,这些系统大部分基于各种类型的计算机网络。应对企业不断发展的需求,IT系统也处于不断...
MPLS VPN 基础笔记
qq_57464528的博客
08-13 1793
3. PE1和PE2上配置VPN实例,其中,alibaba使用的VPN-target属性为1:1,tencent使用的VPN-target属性为2:2,以实现相同VPN间互通,不同VPN间隔离。PE和CE相连的接口,关联VPN实例(比如 site1),所以知道一个CE属于哪个VPN实例,也知道这个CE发来的路由,应该属于哪个VPN实例。PE:服务提供网络边缘设备,与CE相连,在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求高。MPLS支持多层标签,即标签嵌套,S值为1表示为最底层标签。
014-HCIP-H12-821错题笔记(51-100)
君临天下的博客
05-27 3567
74、在IS-IS网络中,level2、level1-2路由器会拥有全网的路由信息,而level1路由器只会拥有本区域的路由信息,因此level1-2路由器与level1路由器建立邻居关系的时候,会发送ATT置位的LSP给level1路由器,level1路由器收到后会产生一条默认路由指向level1-2路由器。65、当一个运行MSTP协议的交换设备端口收到一个配置BPDU时,如果端口接受到的BPDU内包含的配置消息优于端口上保存的配置消息,则端口上原来保存的配置消息被新收到的配置消息代替。
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1262
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
GRE over IPSec with OSPF配置案例
weixin_34241036的博客
06-22 1178
配置目标: 通过配置基于IPSec ×××的GRE Tunel,并在GRE Tunel上运行OSPF,实现两地的动态路由。 拓扑结构: R3-R6模拟两地广域WAN连接; R2-R7-R4模拟两地通过Internet的连接 配置思路: 1、基础配置(IP地址、静态路由); 2、R2-R4 IPSec ×××配置; 3、R2-R4 GRE T...
GRE+ospf+ipsec配置
Xionghuimin的博客
05-19 2173
布局及ip配置图 一、GRE配置命令为: tunnel0的配置 路由器0 Router>en Router#conf t Router(config)#interface tunnel 0 (启用GRE隧道) Router(config-if)#ip add 10.10.13.1 255.255.255.252 (为隧道配置IP地址) Router(config-if)#tunnel source serial0/3/0(配置隧道的本地源端口) Router(config-if)#tunnel d
IPSec ×××+Tunnel+OSPF实验
weixin_33736048的博客
09-29 491
拓扑图如下:图中R2和R4充当内网下的客户机,指定默认网关,首先完成R1、R2、R3和R4的基础配置。在R1和R3之间通过Tunnel来建立×××,在R1、ISP和R3上启用OSPF路由协议。发下是×××部分的配置:R1:conft inttunnel0 ipadd1.1.1.1255.255.255.252 tunnelsource100.1.1.1 tun...
GRE Over IPsec(华三)
qq_73757784的博客
10-30 1872
当总部想要访问分部172.16.10.0网段时,下一跳为tunnel接口,进入接口后,首先会被GRE封装,封装为源1.1.1.1,目的3.3.3.3然后从G0/1发出,因为在g0/1接口调用了ipsec策略,又会被感兴趣匹配上,封装为公网地址源100.1.1.1,目的200.1.1.2从g0/1接口发出。那么当数据进入tunnel隧道后,会先被GRE封装后再进行IPsec感兴趣acl匹配,匹配上了则封装IPsec,没匹配上则丢包。GRE Over IPsec 顾名思义,GRE在内,IPsec在外。
IPSec Over GREGRE Over IPSec技术
qq_56228347的博客
04-19 9482
IPSec Over GREGRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
GRE over IPsecIPsec不服,要求IPsec over GRE
衡水铁头哥的博客
07-21 1169
上个实验介绍了GRE over IPsec,就是GREIPsec之上,在报文封装的时候先封装GRE,再封装IPsec,从报文结构上看起来就是一个IPsec封装的报文,看不到GRE封装的痕迹,是用IPsec保护GRE隧道。 今天在上个实验基础上做一下IPsec over GRE实验,也就是GREIPsec之上,在报文封装的时候先封装IPsec,再封装GRE。因为GRE是不加密的,所以今天从报文结构上看,应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的,不能说用GRE隧道保护IPsec
华为OSPF--GRE--IPSec
weixin_33736048的博客
04-18 924
OSPF支持触发更新,能够快速检测并通告自治系统内的拓扑变化。OSPF可以解决网络扩容带来的问题。当网络上路由器越来越多,路由信息量急剧增长的时候,OSPF可以将每个自治系统划分为多个区域,并限制每个区域的范围。OSPF这种分区域的特点,使得OSPF特别适用于大中型网络OSPF还可以同其他协议(比如多协议标记切换协议MPLS)同时运行来支持地理覆盖很广的网络 OSPF要求每台运行O...
gre over ipsec
最新发布
07-24
GRE(Generic Routing Encapsulation)提供封装功能,而 IPsec 则负责数据加密和安全传输,二者结合可以解决 IPsec 无法直接支持广播和组播的问题,适用于运行动态路由协议(如 OSPF、EIGRP)或需要组播转发的场景。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值