GRE over IPSec 隧道配置案例

acl 3001
rule permit ip

int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 3001

ip route-s 0.0.0.0 0 12.0.0.2

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable

acl 3001
rule permit ip

int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 3001

ip route-s 0.0.0.0 0 23.0.0.2

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

ISP公网

sys
sys ISP

int g0/0/0
ip add 12.0.0.2 24

int g0/0/1
ip add 23.0.0.2 24

int lo 2
ip add 2.2.2.2 32

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

PC1
GRE over IPSec 隧道配置案例
PC2
GRE over IPSec 隧道配置案例

GRE VPN配置

青海分部

interface Tunnel0/0/1
tunnel-protocol gre
source 12.0.0.1
destination 23.0.0.3
ip add 172.16.13.1 24

 
 
  • 1
  • 2
  • 3
  • 4
  • 5

上海总部

interface Tunnel0/0/1
tunnel-protocol gre
source 23.0.0.3
destination 12.0.0.1
ip add 172.16.13.3 24

 
 
  • 1
  • 2
  • 3
  • 4
  • 5

配置路由

青海分部

ospf  1 router-id 1.1.1.1
area 0
net 192.168.10.0 0.0.0.255
net 172.16.13.0 0.0.0.255

 
 
  • 1
  • 2
  • 3
  • 4

上海总部

ospf  1 router-id 3.3.3.3
area 0
net 192.168.20.0 0.0.0.255
net 172.16.13.0 0.0.0.255

 
 
  • 1
  • 2
  • 3
  • 4

OSPF邻居建立成功
GRE over IPSec 隧道配置案例

GRE over IPSec 隧道配置案例
GRE over IPSec 隧道配置案例

通过GRE隧道的hello包没有加密无安全性。
解决方法:在GRE数据包外面加IPSec的ESP数据包使得hello数据包有安全性。

IPSec配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit gre sou 12.0.0.1 0 des 23.0.0.3 0
 ##GRE流量没有安全性,对GRE流量做保护

提议:
ipsec proposal QH2SH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

策略:
ipsec policy QH2SH 1 manual
security acl 3000
proposal QH2SH
tunnel local 12.0.0.1
tunnel remote 23.0.0.3
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123

公网接口调用:
ipsec policy QH2SH

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

上海总部

感兴趣流:
acl 3000
rule 5 permit gre so 23.0.0.3 0 de 12.0.0.1 0

提议:
ipsec proposal SH2QH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

策略:
ipsec policy SH2QH 1 manual
security acl 3000
proposal SH2QH
tunnel local 23.0.0.3
tunnel remote 12.0.0.1
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123

公网接口调用:
ipsec policy SH2QH

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

VPN没有一点问题,PC1和PC2可以互访
GRE over IPSec 隧道配置案例
GRE over IPSec 隧道配置案例

GRE over IPSec 隧道配置案例
GRE over IPSec 隧道配置案例

公网数据包不做保护
VPN数据加密,即使是运营商也没办法解密知道里面的数据是啥!!!

GRE over IPSec

技术背景

• IPSec VPN用于在两个端点之间提供安全的IP通信,但只能加密并传播单播
数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量。
• GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全。

总结一下就是两个VPN互补各自的缺点

工作流程

首先通过GRE对报文进行封装,然后再由IPSec对封装后的报文进行加密和传输。
GRE over IPSec 隧道配置案例

GRE报文上封装IPSec报文

GRE over IPSec 隧道配置案例
GRE over IPSec 隧道配置案例
GRE over IPSec 隧道配置案例

上一篇:HCIE必经之路(二)——IPSec Over GRE综合实验


下一篇:GRE Vocabulary:veer - decry