学习笔记——GRE over IPSec with OSPF

OSPF与GRE/IPSec隧道在公网承载私网实践
原创 已于 2022-06-10 20:36:11 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #学习 #网络协议

于 2022-05-09 23:27:45 首次发布
本文详细介绍了OSPF路由表的特点,报文处理流程,以及公网承载私网的实现方式,重点阐述了GRE over IPSec隧道的配置和区别。通过华为设备配置示例,解析了路由表生成过程,并对比了GRE over IPSec与IPSec over GRE的主要差异,强调了关键配置要点和网络架构理解。

目录

一、OSPF路由表特点

二、报文处理流程

三、路由表生成过程

四、要点

五、公网承载私网(物理网承载逻辑网)图示

六、华为设备典型配置示例

七、与IPSec over GRE的区别

一、OSPF路由表特点

特点:所有到内部目的地的路由的下一跳都是GRE Tunnel接口

二、报文处理流程

1、vpn路由器内部接口收到源和目的地都是内部地址的报文

2、vpn路由器查找路由表,并交给对应的GRE Tunnel接口

3、GRE Tunnel接口对报文加上一层源和目的都是公网地址的头,形成gre报文

4、gre报文查找路由表(一般为0.0.0.0 0 公网下一跳),发给公网出口

5、公网出口对gre报文做ipsec处理,再生成新的最终报文,由公网接口发出

三、路由表生成过程

(1)根据以下配置,hello报文将发给Tunnel接口处理

(2)Tunnel接口对hello报文进行gre封装,生成新的报文

(3)新报文找路

(4)新报文在出口做ipsec处理

 

 (5)其他ospf报文交互过程同上。比如发布内网网段

四、要点

(1)vpn路由器区分内网口和外网口

(2)存在三类ip:即外网ip,tunnel接口ip,内网ip,三者毫无关系。

(3)tunnel接口ip,对于ipsec tunnel,可用于报文的源地址?对于gre tunnel,只有用于ospf时才要求双方在同一网段。

(4)用户关注的是内网或业务网段。

五、公网承载私网(物理网承载逻辑网)图示

 

六、华为设备典型配置示例

################################################

################################################

上下级隧道ipsec相关配置

 ################################################

 ################################################

################################################

与下级单位连接的GRE隧道

#################################################

与上级单位连接的隧道

 #################################################

 #################################################

七、与IPSec over GRE的区别

VPN类型GRE over IPSecIPSec over GRE
感兴趣流量(ACL定义)GRE(或隧道源目地址)内网数据流
IKE-Peer  remote-address对端公网口地址对端Tunnel口地址
应用端口公网接口(物理口)GRE Tunnel接口

IPSec over GRE:

注:部分资料转自华为产品文档!

CCNP350-401学习笔记(易错题合集)
Protocol Stack | 传输与通信
03-01 1254
CCNP350-401学习笔记(易错题合集)
CCNP350-401学习笔记(301-350题)
Protocol Stack | 传输与通信
02-20 670
CCNP350-401学习笔记(2023.2.20)
GRE over IPSec解决OSPF跨公网问题
热门推荐
weixin_45457085的博客
03-29 1万+
拓扑背景 A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访 知识回顾 1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。 2、ipsec VPN与GRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。 注意:ISIS虽然也是常用的IG..
GRE Over IPSec配置
weixin_30247781的博客
12-13 2073
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN的配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯通 *由于没有虚...
GRE over IPsec配置及原理
qq_45309500的博客
04-05 7214
GRE over IPsec配置及原理 背景: ipsec具有可靠性,完整性,机密性,甚至还有抗重放功能,安全性很高,但是,ipsec不支持组播,这就意味着在ipsec隧道中,只能通过写静态路由来引导数据包,如果私网的主机数较少还好,如果主机数网段很多,意味着得一条一条的写静态 GRE具有很牛的隧道技术,传输速度快,并且支持组播技术 但是,GRE不支持加密,就意味着传输的数据别人都能看的见,安全性不高 怎么才能使通信即快,又方便,又安全呢? GREIPsec的联动解决了这个问题 GRE隧道传输的同时
OSPF over GRE Over IPsec on GNS3
cpongo881
01-19 333
(adsbygoogle = window.adsbygoogle || []).push({}); Continued on the post GRE Tunnel in GNS3 Same topology as GRE one: R1, R2, R3, R4, R5, R6, R7 all uses same IOS :c3640-ik9o3s-mz.124-10...
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1273
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
GRE over IPSec with OSPF配置案例
weixin_34241036的博客
06-22 1182
配置目标: 通过配置基于IPSec ×××的GRE Tunel,并在GRE Tunel上运行OSPF,实现两地的动态路由。 拓扑结构: R3-R6模拟两地广域WAN连接; R2-R7-R4模拟两地通过Internet的连接 配置思路: 1、基础配置(IP地址、静态路由); 2、R2-R4 IPSec ×××配置; 3、R2-R4 GRE T...
VPN技术-GRE over IPsec vpn配置学习笔记
m0_62909438的博客
11-23 2080
熟悉IPsec vpn的基础配置配置采用默认的esp隧道协议,掌握GRE+IPsec VPN的配置
H3C SE 教程笔记——构建安全优化的广域网(上)
weixin_34055787的博客
04-02 2478
第1篇广域网安全和优化概述第1章企业网模型随着应用的发展,各种需求不断出现。作为企业IT系统基础的计算机网络,其未来的发展适应企业业务和应用对IT系统越来越高的要求。1.2趋势和挑战信息技术发展至今,包括企业在内的各种组织几乎都已部署了各种各样的IT系统,这些系统大部分基于各种类型的计算机网络。应对企业不断发展的需求,IT系统也处于不断...
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
「 CISSP学习笔记 」03.通信与网络安全
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-19 4119
DNS可将个性化的域名,完全限定域名(Fully Qualified Domain Name,FQDA)解析为对应IP地址,DNA使用了分层命名方案如 www.baidu.com中的com,常见的顶级域名有:com,org,edu,mil,gov和net如www.baidu.com中的baidu如www.baidu.com中的wwwFQDN最左边部分可以是单个主机名,如www、ftp, 或多节子域名称FQDN的总长不能超过253个字符(包括点)。任何单个部分不能超过63个字符。
GRE+ospf+ipsec配置
Xionghuimin的博客
05-19 2189
布局及ip配置图 一、GRE配置命令为: tunnel0的配置 路由器0 Router>en Router#conf t Router(config)#interface tunnel 0 (启用GRE隧道) Router(config-if)#ip add 10.10.13.1 255.255.255.252 (为隧道配置IP地址) Router(config-if)#tunnel source serial0/3/0(配置隧道的本地源端口) Router(config-if)#tunnel d
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3461
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
IPSec ×××+Tunnel+OSPF实验
weixin_33736048的博客
09-29 495
拓扑图如下:图中R2和R4充当内网下的客户机,指定默认网关,首先完成R1、R2、R3和R4的基础配置。在R1和R3之间通过Tunnel来建立×××,在R1、ISP和R3上启用OSPF路由协议。发下是×××部分的配置:R1:conft inttunnel0 ipadd1.1.1.1255.255.255.252 tunnelsource100.1.1.1 tun...
GRE Over IPsec(华三)
qq_73757784的博客
10-30 1920
当总部想要访问分部172.16.10.0网段时,下一跳为tunnel接口,进入接口后,首先会被GRE封装,封装为源1.1.1.1,目的3.3.3.3然后从G0/1发出,因为在g0/1接口调用了ipsec策略,又会被感兴趣匹配上,封装为公网地址源100.1.1.1,目的200.1.1.2从g0/1接口发出。那么当数据进入tunnel隧道后,会先被GRE封装后再进行IPsec感兴趣acl匹配,匹配上了则封装IPsec,没匹配上则丢包。GRE Over IPsec 顾名思义,GRE在内,IPsec在外。
IPSec Over GREGRE Over IPSec技术
qq_56228347的博客
04-19 9538
IPSec Over GREGRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
GRE over IPsecIPsec不服,要求IPsec over GRE
衡水铁头哥的博客
07-21 1201
上个实验介绍了GRE over IPsec,就是GREIPsec之上,在报文封装的时候先封装GRE,再封装IPsec,从报文结构上看起来就是一个IPsec封装的报文,看不到GRE封装的痕迹,是用IPsec保护GRE隧道。 今天在上个实验基础上做一下IPsec over GRE实验,也就是GREIPsec之上,在报文封装的时候先封装IPsec,再封装GRE。因为GRE是不加密的,所以今天从报文结构上看,应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的,不能说用GRE隧道保护IPsec
华为OSPF--GRE--IPSec
weixin_33736048的博客
04-18 931
OSPF支持触发更新,能够快速检测并通告自治系统内的拓扑变化。OSPF可以解决网络扩容带来的问题。当网络上路由器越来越多,路由信息量急剧增长的时候,OSPF可以将每个自治系统划分为多个区域,并限制每个区域的范围。OSPF这种分区域的特点,使得OSPF特别适用于大中型网络OSPF还可以同其他协议(比如多协议标记切换协议MPLS)同时运行来支持地理覆盖很广的网络 OSPF要求每台运行O...
gre over ipsec
最新发布
07-24
在现代网络架构中,**GRE over IPsec** 是一种常见的技术组合,用于实现安全的隧道通信,同时支持广播、组播和多协议量的传输。GRE(Generic Routing Encapsulation)提供封装功能,而 IPsec 则负责数据加密和安全传输,二者结合可以解决 IPsec 无法直接支持广播和组播的问题,适用于运行动态路由协议(如 OSPF、EIGRP)或需要组播转发的场景。 ### 配置步骤概览 1. **创建 GRE 隧道接口** - 在两端设备上配置 GRE 隧道接口,并指定源地址和目标地址,确保隧道可达。 - 示例配置: ```bash interface Tunnel0 tunnel source GigabitEthernet0/0 tunnel destination 203.0.113.1 tunnel mode gre ip ``` 2. **配置 IPsec 策略** - 定义 IKE 策略、IPsec 安全提议和安全策略,确保 GRE 隧道量被加密。 - 示例配置: ```bash crypto isakmp policy 10 encryption aes hash sha authentication pre-share group 2 crypto isakmp key mykey address 203.0.113.1 crypto ipsec transform-set myset esp-aes esp-sha-hmac crypto ipsec profile myprofile set transform-set myset ``` 3. **将 GRE 隧道绑定到 IPsec 配置文件** - 在 GRE 隧道接口上应用 IPsec 配置文件以启用加密。 - 示例配置: ```bash interface Tunnel0 tunnel protection ipsec profile myprofile ``` ### 安全性与组播支持 - GRE 本身不提供加密功能,因此必须结合 IPsec 来实现安全性[^2]。 - IPsec 不支持广播和组播量的直接传输,而 GRE 可以封装这些量并通过 IPsec 隧道进行转发。 - 在需要组播支持的场景中,应确保在 GRE 隧道两端启用 PIM-SM(Protocol Independent Multicast - Sparse Mode)和 IGMP(Internet Group Management Protocol)[^1]。 ### 组播带宽控制与转发行为配置 - 可以通过配置组播 CAC(Call Admission Control)策略来管理带宽资源,尤其适用于资源受限的隧道境。 - 若需控制广播行为,例如在 GRE 隧道的 VE(Virtual Ethernet)接口上禁用广播转发,可使用如下命令: ```bash gre map virtual-ethernet forward-broadcast disable ``` ### 实践建议 - 确保 GRE over IPsec 隧道两端的组播配置一致,包括 PIM 配置、组播地址范围、RP(Rendezvous Point)设置等。 - 在部署过程中,建议先完成 GRE 隧道的基本连通性测试,再逐步引入 IPsec 加密和组播功能。 - 使用访问控制列表(ACL)定义需要加密的量,确保 GRE 隧道量被正确匹配并加密[^3]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值