GRE over IPSec VPN的应用场景与配置

最新推荐文章于 2025-03-09 12:54:42 发布
最新推荐文章于 2025-03-09 12:54:42 发布
阅读量1.2k 收藏 17
点赞数 8
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74749868/article/details/142767461
版权

文章目录

前言

GRE(Generic Routing Encapsulation)VPN是一种隧道封装协议,主要用于在公共网络中安全和高效地传输数据。但是它的传输在网络中并不安全,这时我们就需要用到IPSec 与之结合。

一、应用场景

可以将多个远程办公地点或分支机构通过互联网安全地连接到公司的核心网络,实现信息的安全传输。

二、实验拓扑

在这里插入图片描述

防火墙内部的trust区域,连接防火墙之间的为untrust区域,Tunnel规划为DMZ区域

1.配置缺省包过滤模式

允许路由信息能到达对端防火墙
代码如下(示例):

firewall packet-filter default permit all

2.配置tunnel接口用于数据的封装

FW1

代码如下(示例):

interface Tunnel1
ip address 1.0.12.1 255.255.255.0
tunnel-protocol gre   ##封装类型
source 10.0.12.1      ##本端的公网地址
destination 10.0.12.2 ##对端的公网地址

FW2

interface Tunnel1
ip address 1.0.12.2 255.255.255.0
tunnel-protocol gre 
source 10.0.12.2
destination 10.0.12.1

查看GRE隧道是否建立成功
在这里插入图片描述

3.静态路由

把封装的GRE报文引导至tunnel接口
FW1

  ip route-static 192.168.2.0 255.255.254.0 Tunnel1

FW2

 ip route-static 192.168.1.0 255.255.255.0 Tunnel1

4.配置GRE的安全机制

关键字验证:通过Key字段验证对端身份是否可以正常接入

[FW2-Tunnel1]gre key 123456

在这里插入图片描述

通过抓包发现Key为1表示启用了关键字验证

校验与认证:对报文携带的校验进行认证,如果符合就进行转发,不符合就丢弃。

[FW2-Tunnel1]gre checksum

在这里插入图片描述
keepalive:保活机制,用于检测对端GRE的状态

5.创建IPSec VPN保证报文的安全性和完整性

FW1

acl number 3000
 rule 5 permit ip source 10.0.12.1 0 destination 10.0.12.2 0
#
ike proposal 10
#
ike peer b
 pre-shared-key Text1234556
 ike-proposal 10
#
ipsec proposal 10
#
ipsec policy-template tem1 1
 security acl 3000
 ike-peer b
 proposal 10
#
ipsec policy policy1 1 isakmp template tem1
#

FW2

#
acl number 3000
 rule 5 permit ip source 10.0.12.2 0 destination 10.0.12.1 0
#
ike proposal 10
#
ike peer a
 pre-shared-key Text123456
 ike-proposal 10
 remote-address 10.0.12.1
#
ipsec proposal 10
#
ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer a
 proposal 10

在上面中我们分别配置了:acl(定义感兴趣流)
IKE安全提议(用于两设备的安全建立SA)、
IKE对等体(建立安全关联(SA)实现安全的点对点通信)、
IPSec安全提议(数据的加密和认证方式)、
IPSec模板(ACL,ike对等体,IPSec安全提议)、
IPSec安全策略(用于关联IPSec模板,ACL,ike对等体,IPSec安全提议)

6.接口下调用IPSec安全策略

FW1

interface GigabitEthernet0/0/0
 ipsec policy policy1

FW2

interface GigabitEthernet0/0/0
 ipsec policy policy1

用PC2去pingPC1查看报文

在这里插入图片描述

发现报文已经成功被加密。

两个网关之间建立GRE over IPSec VPNIPSec安全策略方式)
加油!
06-26 1802
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
GRE Over IPSec配置
weixin_30247781的博客
12-13 2022
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯通 *由于没有虚...
Cisco Packet Trancer实战 - GRE over IPSec VPN配置练习
weixin_44517249的博客
02-29 2438
GRE over IPSec VPN是将GRE协议IPSec协议结合起来使用,通过在GRE包上添加IPSec头部,实现了对GRE包的加密认证处理。
防火墙Gre over IPSec的原理配置
最新发布
2403_83112422的博客
03-09 1470
实现PC1PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 2507
GRE over IPsec VPN配置
GRE over IPsec VPN实验
更多内容查看博客描述。
05-14 1620
注意:ipsec配置完成后,需通过ping触发sa。野蛮模式须用被动端ping主动端。查看ike/ipse命令:display ike sa / display ipsec sa版权声明:本文为下一朵云发布文章,转载请附上原文出处链接本声明。本文链接:GRE over IPsec VPN实验。
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
VPN应用场景典型案例-GRE over IPSec组网应用
xkyby1992的专栏
03-11 1232
本文为VPN应用场景典型案例-GRE over IPSec组网应用的场景,请各位有需要的同仁参考,谢谢各位同仁的支持
H3C GRE over IPsec VPN 实验
M建的博客
10-11 1274
分支配置 GRE over IPsec VPN 连通内网
IPSEC VPN配置
m0_62452465的博客
08-06 567
R1R2建立Ipsec VPNIPSEC VPN 保护PC1访问服务器的流量。写静态路由,强制让流量经过IPSEC VPN通道。1、PC服务器网关发布在两台路由器上。(6)接口引用数据加密策略。(5)配置IPESC策略。(2)ike邻居建立。(3)ipsec参数。
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1212
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
VPN技术-GRE over IPsec vpn配置学习笔记
m0_62909438的博客
11-23 1861
熟悉IPsec vpn的基础配置配置采用默认的esp隧道协议,掌握GRE+IPsec VPN配置
Cisco路由器配置GRE over IPsec
weixin_34248849的博客
08-13 1273
拓扑图实验目的:通过CRE over IPsec的方式实现R1网段:172.16.10.0/24R2网段:172.17.10.0/24通信加密。由于IPsec ×××不支持组播,而GRE支持多种协议,所以一般情况下会选择GRE over IPsec配置思路:通过ACL设置感兴趣流配置IKE第一阶段配置IKE第二阶段新建MAP,并应用于接口设置路由,下一跳为tunnel 0...
10个步骤上车H3C GRE OVER IPSec VPN配置
VEGETA的博客
06-25 1695
10个步骤,带你上车H3C GRE OVER IPSec VPN配置
GRE over IPSec
BJH23的博客
09-04 5208
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSecVpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3108
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
GRE over ipsec组网实验
weixin_44256357的博客
06-12 1935
实验理由:在vpn加密的过程中,之所以要建立GRE over IPsec,是因为ipsec是不能抓去组播流量的(如视频流等),需要用到gre封装。IPSec(Internet Protocol Security)是一种由多种协议组成的协议栈,在建立IPSec链接前,会先使用IKE协议来进行密钥的交换认证,建立安全关联(SA)。GRE(通用路由封装)是一种封装协议,它允许一种协议的报文封装在另一种协议的数据包中,VPN(虚拟专用网络)是一个在公共网络上建立起一个逻辑的、专用的隧道的技术。
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 4231
但是在over场景中,以上两种方式并不适用,因为配置方式不同,所以在over场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档封装,以方便通过网络传输。IPSec(Internet Protocol Security)是一种网络协议,用于安全地传输数据。当这两种协议结合使用时,可以创建一个虚拟专用网络VPN),用于在两个或多个远程位置之间安全地传输数据。在 GRE over IPSec VPN 中,GRE 协议用于封装传输的数据包,而 IPSec 协议用于提供安全性保护数据的完整性。这种技术广泛应用于各种企业组织网络中,以提供安全、高效的远程访问分支间通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值