配置虚拟隧道接口建立GRE over IPSec隧道

原创 已于 2022-11-11 14:46:35 修改 · 1.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #运维 #华为 #tcp/ip

于 2022-10-29 15:42:42 首次发布
本文给出配置虚拟隧道接口建立GRE over IPSec隧道的示例。企业分支与总部通过公网通信,为保护流量安全,采用虚拟隧道接口方式。介绍了配置思路,包括配置物理接口IP、GRE Tunnel接口等,还给出在RouterA和RouterB上的操作步骤及检查配置结果的方法。

配置虚拟隧道接口建立GRE over IPSec隧道示例

组网需求

图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。

企业希望对分支与总部之间相互访问的流量(包括组播数据)进行安全保护。由于组播数据无法直接应用IPSec,所以基于虚拟隧道接口方式建立GRE over IPSec,对Tunnel接口下的流量进行保护。

图1 配置虚拟隧道接口建立GRE over IPSec隧道组网图

配置思路

采用如下思路配置虚拟隧道接口建立GRE over IPSec隧道:

  1. 配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 配置GRE Tunnel接口。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE对等体,定义对等体间IKE协商时的属性。

  5. 配置安全框架,并引用安全提议和IKE对等体。

  6. 在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。

  7. 配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。

操作步骤

  1. 分别在RouterA和RouterB上配置物理接口的IP地址和到对端的静态路由

    # 在RouterA上配置接口的IP地址。

    <Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gig
最低0.47元/天 解锁文章
虚拟隧道接口建立GRE over IPSec
weixin_46738835的博客
08-31 378
GRE隧道特点: 1、GRE报头包含一个协议类型字段,因此可通过隧道传输任意第3层协议的数据。 2、GRE会带来额外开销,每个分组至少24字节 3、GRE不提供任何安全机制。 4、GRE是无状态的,也没有流量控制机制。 GRE over IPSec配置 配置IP地址和全网互通,不在讲述 分别在RouterA和RouterB上配置GRE隧道 RouterA RouterB **检查GRE是否建立 配置IPSec,RouterB和RouterA一样 将安全策略应用到tunnel接口 测试最终结果
配置虚拟隧道接口建立GRE over IPSec
ducanwang的博客
01-16 1017
由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立GRE over IPSec,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。GRE over IPSec也可用于实现组播数据的安全可靠传输,组播数据无法直接应用IPSec,而GRE over IPSec先对组播数据进行GRE封装,再对GRE封装后的报文进行IPSec封装。配置Tunnel接口的IP地址和转发路由,将需要IPSec保护的数据流引到Tunnel接口。# 在Router上配置接口的IP地址。
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
k8s学习-StatefulSet(模板、更新、扩缩容、删除等)_statefulset模板
2401_84281594的博客
05-02 718
name: web。
Cisco GRE Over IPSec配置
weixin_33961829的博客
11-27 228
R1 interface tunnel 0 tunnel source serial0/0/0 tunnel destination 61.0.0.4 ip address 172.16.14.1 255.255.255.0 tunnel key 123456 exit ip route 0.0.0.0 0.0.0.0 serial ...
配置虚拟隧道接口建立GRE over IPSec隧道示例
最新发布
ducanwang的博客
10-02 1259
摘要:本文介绍了通过GRE over IPSec实现企业分支与总部间安全通信的配置方案。由于组播数据无法直接应用IPSec保护,采用虚拟隧道接口方式,在GRE隧道中封装流量后通过IPSec加密传输。配置步骤包括:1)设置物理接口IP和静态路由;2)建立GRETunnel接口;3)配置IPSec安全提议和IKE对等体;4)创建安全框架并应用至Tunnel接口;5)设置转发路由。最终实现分支(10.1.1.0/24)与总部(10.1.2.0/24)间流量的安全加密传输,同时支持组播数据保护。
cisco GRE Over Ipsec 配置
weixin_33721427的博客
06-19 415
cisco GRE Over Ipsec配置1.config tunnel2.config crypto isakmp policy3.config crypto keyring4.config crypto isakmp profile5.config interesting traffic6.config crypto map7.network route...
cisco gre over ipsec详细配置
weixin_34220179的博客
04-23 1219
Cisco GRE OVER IPSEC详细配置 网络环境: A公司总部路由器R1需要与分支机构R3通信,由于总部有很多不同服务器网段,而分支机构也有一些部门要访问这些服务器,则考虑两路由器之间跑动态路由协议EIGRP,由于IPSEC本身不支持动态路由协议,所以考虑使用GRE隧道,由于GRE本身采用明文传递数据,不能对数据提供安全措施,所以采用IPSEC加密GRE隧道提...
【思科】GRE Over IPsec 实验配置
2301_77161465的博客
01-28 3391
GRE over IPSec可利用GREIPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端。
Cisco GRE OVER IPsec ××× 典型配置
weixin_33717298的博客
03-04 291
tunnel + ***R1=================================================================enableconf tnoip domain-lookupline 0no exec-timeout logging synchronousexithost R1in f0/0ip add 170.58.12.1 25...
思科GRE over IPSEC配置实验
川的博客
12-02 2082
思科配置GRE over IPSEC实验
思科2911路由器GRE-OVER-IPSEC典型配置(ikev2)
normanhere的博客
04-27 1129
创建隧道口 小心 MTU 和 模式 MTU 必须是1400 模式必须是 ipsec ipv4 调用IPSEC PROFILE 隧道对端地址 10.0.0.14/31 公网出口ip 60.1.1.1 对端公网地址 222.2.2.2。创建Ikev2 proflie 用IP地址标识对端和自己 调用keyring 认证方式使用预共享秘钥 lifetime 可以不需要配置。创建 IPSEC PROFILE 调用 transform-set 和 ikev2 profile。
GRE Over IPSEC配置
耶锋的博客
05-02 377
crypto ipsec transform-set ts esp-3des esp-sha-hmac //配置转换集。ip access-list extended ipsec-acl-1 //通过acl配置感兴趣流量。crypto map map-1 10 ipsec-isakmp //配置加密图。match address ipsec-acl-1 //感兴趣流量。interface Ethernet0/1 //在物理接口应用加密图。set transform-set ts //转换集。
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 2650
GRE over IPsec VPN配置
GRE over IPSec
BJH23的博客
09-04 5375
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
HuaWei ❀ 配置GRE Over IPSec传输组播数据
无糖可乐没有灵魂
04-30 639
配置GRE Over IPSec传输组播数据 如下图所示,R1与R3之间传输组播数据,并要求对数据进行IPSec加密; 配置接口IP地址: [r1]int g0/0/0 [r1-GigabitEthernet0/0/0]ip address 12.1.1.1 24 配置RIP协议: [r1]rip 1 [r1-rip-1]version 2 [r1-rip-1]network 1...
GRE over IPSEC
ikaros_fire的博客
10-17 3817
前提:路由可达,相互可通信。 GRE提供通道,IPSEC保护通道数据。 GRE over IPSECIPSEC over GRE 哪个好?肯定是前者。 在R2与R4之间建立tunnelipsectunnel数据加密,即GRE over IPSEC 起接口IP规则依旧是老样子:R1-R2,那么就是12.1.1.1-12.1.1.2,其余类似。 R2配置如下: R2#sh run Buildi...
虚拟隧道(Tunnel)技术、实验
weixin_34293059的博客
11-09 912
要达到两地之间通信,可以用到的技术比较多。常用的如×××,虚拟隧道(Tunnel)实验,虽然在安全性方面比较低,但是还是值得一提、 R0: Router#show running-config Building configuration... Current configuration : 638 bytes ! version 12.4 ...
神州数码GRE over ipsec
02-28
### 神州数码 GRE over IPsec 配置 #### 设备间连接准备 为了实现GRE over IPsec,需先确保路由器与防火墙间的物理连接正常工作。这通常涉及配置接口IP地址并验证连通性。 对于R1和R2的接口配置如下: ```plaintext interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 exit interface GigabitEthernet0/1 ip address 10.1.1.1 255.255.255.0 exit ``` 以及对应的R2端口配置[^4]。 #### 加密转换集定义 创建用于保护数据传输安全性的加密算法组合。这里采用的是ESP协议下的3DES加密方式配合MD5 HMAC认证机制来保障通信的安全性和完整性。 命令示例如下所示: ```plaintext crypto ipsec transform-set P2 esp-3des esp-md5-hmac ``` 此指令适用于双方设备上的相同位置执行以建立一致的安全策略[^1][^2]。 #### 定义访问控制列表 (ACL) 通过指定允许穿越隧道的数据流模式,可以更精确地控制哪些流量应该被封装进入GRE/IPSec隧道中去。一般情况下会基于源目的网络段来进行匹配操作。 假设要让来自内部网(如192.168.x.x)的所有TCP/UDP请求都能够经过该通道,则可以在两台机器上分别加入这样的语句: ```plaintext access-list NONAT permit ip 192.168.1.0 0.0.0.255 any ``` #### 建立ISAKMP策略 这是IKE协商过程中的重要环节之一,它决定了两个节点之间如何达成关于后续使用的加解密方法及其他参数的一致意见。具体来说就是指定了预共享秘钥作为身份验证手段,并选择了合适的Diffie-Hellman组别等选项。 ```plaintext crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 86400 ``` 接着设定相应的PSK值以便于两端能够相互识别对方的身份信息。 ```plaintext crypto isakmp key CISCOPSK address 0.0.0.0 0.0.0.0 ``` 以上步骤同样需要同步到参与构建虚拟专用线路的所有成员之上。 #### 创建GRE Tunnel接口 现在回到最初提到过的tunnel部分, 这里我们将实际建立起一条逻辑链路用来承载原始报文包的内容而不改变其原有结构特征. 针对每一边都需要单独声明这样一个特殊的子网卡实例并且赋予恰当的名字空间给它们关联起来形成一对完整的路径。 ```plaintext interface Tunnel0 ip address 172.16.1.1 255.255.255.252 tunnel source GigabitEthernet0/1 tunnel destination 10.1.1.2 ``` 注意替换其中涉及到的具体数值使之适应本地环境的要求. #### 应用IPSEC Profile至TUNNEL 最后一步便是将之前所制定好的一系列防护措施应用于此处新形成的管道上面从而完成整个架构的设计蓝图。 ```plaintext crypto map MYMAP 10 ipsec-isakmp set peer 10.1.1.2 set transform-set P2 match address NONAT interface Tunnel0 crypto map MYMAP ``` 上述代码片段展示了怎样把先前定义的各种属性绑定在一起构成一个功能完备的服务实体. #### 故障排查技巧 如果遇到无法成功建立GRE Over IPSec的情况,可以从以下几个方面入手分析原因所在: - **检查基本连通性**:确认各层二三层可达状态良好; - **验证密码一致性**:保证所有相关方都使用相同的预共享密钥; - **查看日志记录**:利用debug工具获取更多细节帮助定位问题根源; - **对比配置文件差异**:仔细核对每一项设置是否存在遗漏或错误之处;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周三叁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值