IPsec over GRE配置

最新推荐文章于 2025-03-09 12:54:42 发布
最新推荐文章于 2025-03-09 12:54:42 发布
阅读量924 收藏 29
点赞数 29
分类专栏: SE的广域网部分 文章标签: 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_67802965/article/details/144296491
版权

IPsec over GRE配置

拓扑

实验步骤

1、配置ip地址

2、公网互通

IPSec配置(双方都配置)

3、配置高级ACL匹配双方私网地址

4、ike peoposal

5、ike keychain(地址用对方的tunnel地址标识)

6、ike profile(主模式;用双方tunnel地址标识身份)

7、ipsec tranform-set

8、ipsec polity(remote是对方tunnel接口地址)

GRE配置(双方均配置)

9、配置隧道模式;ip地址;源目IP(公网地址)

10、在tunnel下应用ipsec polity

动态路由协议配置(双方均配置)

11、创建ospf,宣告私网网段和隧道网段

实验配置

一、配置IP地址;使公网互通

二、在R1和R3上配置感兴趣流(匹配双方私网网段)

[R1]acl advanced 3000

[R1-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[R3]acl advanced 3000

[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destin

[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

三、在 R1、R3上创建 IKE 提议,使用默认配置即可

[R1]ike proposal 1

[R3]ike proposal  1

四、创建IKE keychain配置预共享密钥,地址使用对方的tunnel地址

[R1-ike-keychain-R3]pre-shared-key address 172.16.1.2 key simple 123456

[R3-ike-keychain-R1]pre-shared-key address 172.16.1.1 key simple 123456

五、创建ike profile,调用proposal和keychain,ike主模式,使用双方的tunnel标识身份

[R1]ike profile R3

[R1-ike-profile-R3]proposal 1

[R1-ike-profile-R3]keychain R3

[R1-ike-profile-R3]exchange-mode main

[R1-ike-profile-R3]local-identity address 172.16.1.1

[R1-ike-profile-R3]match remote identity address 172.16.1.2

[R3]ike profile R1

[R3-ike-profile-R1]keychain R1

[R3-ike-profile-R1]proposal 1

[R3-ike-profile-R1]exchange-mode main

[R3-ike-profile-R1]local-identity address 172.16.1.2

[R3-ike-profile-R1]match remote identity address 172.16.1.1

六、创建ipsec转换集

[R1]ipsec transform-set R3

[R1-ipsec-transform-set-R3]encapsulation-mode tunnel

[R1-ipsec-transform-set-R3]esp authentication-algorithm md5

[R1-ipsec-transform-set-R3]esp encryption-algorithm des-cbc

[R3]ipsec transform-set R1

[R3-ipsec-transform-set-R1]encapsulation-mode tunnel

[R3-ipsec-transform-set-R1]esp authentication-algorithm md5

[R3-ipsec-transform-set-R1]esp encryption-algorithm des-cbc

七、创建ipsec polity,调用转换集和ike配置文件,绑定acl,远端地址是对方的tunnel IP地址

[R1]ipsec policy R3 1 isakmp

[R1-ipsec-policy-isakmp-R3-1]ike-profile R3

[R1-ipsec-policy-isakmp-R3-1]transform-set R3

[R1-ipsec-policy-isakmp-R3-1]security acl 3000

[R1-ipsec-policy-isakmp-R3-1]remote-address 172.16.1.2

[R3]ipsec policy R1 1 isakmp

[R3-ipsec-policy-isakmp-R1-1]ike-profile R1

[R3-ipsec-policy-isakmp-R1-1]transform-set R1

[R3-ipsec-policy-isakmp-R1-1]security acl 3000

[R3-ipsec-policy-isakmp-R1-1]remote-address 172.16.1.1

八、配置隧道模式;ip地址;源目IP(公网地址)

[R1]int Tunnel 0 mode gre

[R1-Tunnel0]ip a 172.16.1.1 30

[R1-Tunnel0]source 100.1.1.1

[R1-Tunnel0]destination 100.2.2.3

[R3]int Tunnel 0 mode gre

[R3-Tunnel0]ip a 172.16.1.2 30

[R3-Tunnel0]source 100.2.2.3

[R3-Tunnel0]destination 100.1.1.1

九、在tunnel接口下调用ipsec polity

[R1-Tunnel0]ipsec apply policy R3

[R3-Tunnel0]ipsec apply policy R1

十、在R1和R3上创建ospf,宣告私网网段和tunnel网段

[R1]ospf 1 router-id 1.1.1.1

[R1-ospf-1]a 0

[R1-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255

[R1-ospf-1-area-0.0.0.0]net 172.16.1.0 0.0.0.3

[R3]ospf 1 router-id 3.3.3.3

[R3-ospf-1]a 0

[R3-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255

[R3-ospf-1-area-0.0.0.0]net 172.16.1.0 0.0.0.3

此时邻居关系建立

[R1]dis ospf peer

         OSPF Process 1 with Router ID 1.1.1.1

               Neighbor Brief Information

 Area: 0.0.0.0        

 Router ID       Address       Pri  Dead-Time   State           Interface

 3.3.3.3         172.16.1.2      1   35         Full/ -           Tun0

效果:PC4和PC5可以互通

补充:

reset ipsec sa

reset ike sa #清除VPN隧道

IPSec Over GRE配置实验
A soul tortured by desire
08-05 2897
实验目的: 配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通 组网需求: 如图,R1为总公司出口路由,R2为分公司出口路由,分支与总部通过公网建立通信。 原公司分支与总部通过GRE隧道实现私网互通,现要求对分支与总部之间互相访问的流量(不包括组播数据)进行安全保护。因此,可基于虚拟隧道接口方式建立IPSec Over GRE,对分支和总部互通的流量进行保护。 GRE配置: ***********总部R1**************** <Huawei>sy
IPSEC OVER GRE
weixin_46063117的博客
05-20 1058
一.R1和R3之间建立GRE隧道 1.配ip地址 [R1-GigabitEthernet0/0]ip a 12.1.1.1 24 [R2-GigabitEthernet0/0]ip a 12.1.1.2 24 [R2-GigabitEthernet0/1]ip a 23.1.1.2 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R3-GigabitEthernet0/0]ip a 23.1.1.3 24 [R1]ip route-static 0.0.0.0 0.
【HCL】ipsec over gre配置
weixin_48243271的博客
08-08 1155
HCL中,ipsec over gre配置过程。
ipsec over gRE 详解1
weixin_34050427的博客
05-01 331
下面我们开始第一种ipsec over ger ,拓扑图如下:     配置: R1: crypto isakmp policy 10  encr 3des  hash md5  authentication pre-share  group 2  lifetime 3600 crypto isakmp key ro...
防火墙Gre over IPSec的原理和配置
最新发布
2403_83112422的博客
03-09 1336
实现PC1与PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口
IPSec over GRE(CISCO命令)
weixin_34383618的博客
07-22 692
注意:这里是IPSec over GRE,而不是GRE over IPSec,仅仅是将某些经过加密的流量放到GRE中去跑,首先GRE隧道必须UP,而不是对整个隧道的流量进行加密 试验拓扑: R2配置: hostname R2 ! crypto isakmp policy 1 authentication pre-share //这里的认证方式使...
华为防火墙 IPSec over GRE 配置
白话聊网络的博客
03-19 2273
GRE OVER IPSECgre 做内层封装, ipsec 做外层封装,ipsec 感兴趣数据流为 gre源目地址,适用于两点都是固定 ip 或者一方是动态 IP 或内网环境,由于 ipsec 不能传广播和组播,gre 可以,这种环境还可以运行一些适用组播和广播的协议。GRE是一种三层VPN封装技术。IPSEC OVER GREIPSEC 做内层封装,GRE 做外层封装,适用于两端路由器都是固定IP,ipsec 策略应用在物理口,ipsec 感兴趣数据流为业务网段,只对业务数据进行加密。
IPSEC OVER GRE配置
zjc801的专栏
12-08 3713
IPSEC OVER GRE配置: 1.建立一个GRE的接口: interface Tunnel0 ip address 172.16.1.2 255.255.255.0 source 200.1.1.2 detination 200.1.1.3 2.建立IPsecIKE的Proposal ike proposal 1 ipsec proposal 1 3配置IKE
2024年下半年软考中级网络工程ipsec over gre配置思路文档
11-14
此外,为了让IPSec over GRE配置能够真正工作,需要将安全策略应用到具体的网络接口上,并确保接口的相关配置如IP地址、网关和路由是正确配置的。路由协议的配置,如文档中的OSPF(Open Shortest Path First)协议...
H3Cv7版本ipsecovergre配置指导.doc
10-07
H3Cv7版本ipsecovergre配置指导.doc
ipsec over GRE
blakegao的专栏
10-16 937
需要注意的问题: 1.了解封装的过程:始终查询外层源目地址,并进行相应处理,例如:如果源目地址是隧道的,则进行隧道封装,变成以物理地址为源目的新包;如果在隧道封装之前已经进行了ESP封装,且新包的源目已经是物理地址,则不会进行隧道封装,而是直接送到物理接口发出 2.cryto map有两个作用,1.撞击从配置map接口发出且源目为感兴趣流的数据包,并进行封装。2.检查如果进入接口的数据包,如果
ipsec_over_gre
weixin_34138139的博客
07-27 112
Ipsec over gre 这个技术在现实中基本不用 R1 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 10000 crypto isakmp key benet address 202.102.1.2 ...
IPSec over GRE -Tunnel口
12-01
自己做的虚拟网络分析 实验实际环境:win7下GNS3,R1和R2插槽NM-4E和NM-1FE-TX,internet插槽NM-4E,PC1和PC2为VPC模拟。
IPSEC over GRE
weixin_46639226的博客
11-09 5131
顾名思义,就是对数据包先进行ipsec的封装,然后再外面加上一层GRE的封装,但是这种封装方式缺点很多,ipsec无法支持组播,所以tunnel口的两端不能运行关于组播的一些路由协议,比如ospf,如果运行,那么私网数据在公网上依然能被看到,那么vpn就没意义了。华三的官方配置手册上面也说了这种方式不能充分利用二者的优势,一般不推荐使用,但是它可以不好,但是我们不能不会。 实验组网 需求: 三台路由器模拟公网,公网运行ospf保证两端公网可达,在R1和R3上运行ipsec over gre保证两端私网可达
IPsec Over GRE
weixin_45161890的博客
09-21 513
原理:先封装IPsec在封装GRE配置思路:配置acl匹配内网流量,进行ipsec的封装,再配置gre隧道,配置路由互通,把ipsec策略导入gre隧道中。 配置: 1、acl匹配本地内网地址和对端内网地址 2、建立gre隧道 int Tunnel 0 mode gre ip add 隧道ip source 源ip destination 目的ip 3、建立ipsec ike proposal 1 ike keychian r3 pre-shared-key remote address 对端隧道口i
IPsec over GRE
繁星流动天际
04-12 266
IPSEC over GRE Configuration 技术特点:利用tunnel跑动态路由协议 实验 1 : R2(config)#interface tunnel 23 R2(config-if)#ip address 23.1.1.2 255.255.255.0 <===起tunnel地址 R2(config-if)#tunnel s...
网络安全篇 IPSec over GRE-31
佐德将军的博客
06-14 708
实验难度 3 实验复杂度 3 目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 一、实验原理 把GREIPSec结合起来就可以实现数据机密性传输的同时,也可以实现内网的互通。本章节会把IPSec封装在GRE中传输,以达上述的目的,好了,我们直接上实验。 二、实验拓扑 三、实验步骤 1.如图搭建网络拓扑; 2.初始化设备,配置相应的IP地址,测试直连网络的连通性; 3.在R1与R3上配置默认路由,使得它们可以相互通信; 4...
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值