GRE和IPSec结合案例

GRE over IPsec & IPsec over GREIPSec -Over-GRE 是先 ipsec 后 gre， GRE -Over-IPSec 是先 gre 后 ipsec，也就是说 ipsec 是最后的承载方式。一般常用的就是这种，解决了 ipsec 不支持多播的问题。IPsec over GRE 和 GRE over IPsec 在配置上的区别：GRE over IPsec IPsec over GREACL 定义： GRE 数据流 内网数据流IKE Peer 中 remote-address 对方公网地 对方 GRE Tunnel 地址应用端口： 公网出 GRE Tunnel 上GRE over IPSEC(传输模式)：IPSEC 封装 GRE好处：可以利用 GRE 封装组播或广播了以及非 IP 流量，因为如果不使用 GRE 的话，IPSEC 是传不了组播或广播 IP 流量的IPSEC over GRE(里外)(tunel 模式)IPSEC over GRE:GRE 在 IPSEC 外面,由 GRE 来封装 IPSEC 注意!IPSEC over GRE 的时候,路由协议流量是明文的注意!当指的 peer 是对等体物理接口地址的时候不是 IPSEC over GRE,只有当 peer 是对等体的 tunnel 口是才是真正的 IPSEC over GRESecPath 防火墙 GRE over IPSec+ospf 的典型配置一、 组网需求：两个 Peer 分别使用的是 SecPath1000F，中间公网使用一台 SecPath100F起连接作用，两局域网分别使用的是 SecPath1000F 的 LoopBack0 口来模拟。在两个 Peer 上配置 GRE over IPSec，使两个局域网能够穿越公网进行通信，并且保护一切传输的数据。二、 组网图SecPath1000F：版本为 Version 3.40, ESS 1622；三、 配置步骤1SecPath1000F（左）的主要配置：sysname fw1#router id 10.1.1.1 #firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10 /设置 IKE 的策略authentication-algorithm md5 /选择 md5 算法来进行验证（验证方式为预共享密钥，密钥交换为 DH:group1,因为此两项均为缺省设置，故没有显示在dis cu 中，特此说明）sa duration 1500 /设置 IKE 的生存周期为 1500s#ike peer wanxin /设置预共享密钥的认证字pre-shared-key h3c /密钥为：h3c（对端也必须一样）remote-address 202.103.1.1 /设置对端地址#ipsec proposal wanxin /创建一个名为“wanxin”的安全提议encapsulation-mode transport /报文封装采用传输模式(安全协议采用esp,认证算法采用 sha1，此两项均为缺省设置，故也没有显示在 dis cu 中)#ipsec policy 1 10 isakmp /创建安全策略，协商方式为自动协商，也就是采用 IKE 的策略协商security acl 3000 /引用下面设置的 acl 3000ike-peer wanxin /引用上面设置的“ike peer wanxin”proposal wanxin /引用上面设置的“ipsec proposal wanxin”sa duration time-based 1500 /设置基于时间的生存周期为 1500s#acl number 3000 /创建加密数据流（加密的是两 Peer 出口的网段，这个很关键）rule 1 permit gre source 192.168.1.0 0.0.0.255 destination 202.103.1.0 0.0.0.255rule 2 deny ip#interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0ipsec policy 1 /在出接口上应用安全策略（只有应用了 IPSec 才能生效）#interface Tunnel0 /创建 GRE 隧道ip address 1.1.1.1 255.255.255.0source 192.168.1.1destination 202.103.1.1#interface LoopBack0 /用一个回环口地址带模拟一个 LAN 地址ip address 10.1.1.1 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0add interface Tunnel0 /切记隧道接口也需要加入某一个域set priority 85#ospf 1 /使用 OSPF 来保证两 LAN 之间能路由area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.1.1.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 preference 60 /保证两Peer 之间能够通信，从而协商 IPSec 参数，同时也触发加密流量2SecPath1000F（Peer2）的主要配置： 注：Peer2 的配置与 Peer1 基本相同，故注释同上sysname fw2#router id 10.2.2.2#firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10authentication-algorithm md5sa duration 1500#ike peer wanxinpre-shared-key h3cremote-address 192.168.1.1#ipsec proposal wanxinencapsulation-mode transport#ipsec policy 1 10 isakmpsecurity acl 3000ike-peer wanxinproposal wanxinsa duration time-based 1500#acl number 3000rule 1 permit gre source 202.103.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 2 deny ip#interface GigabitEthernet0/0ip address 202.103.1.1 255.255.255.0ipsec policy 1#interface Tunnel0ip address 1.1.1.2 255.255.255.0source 202.103.1.1destination 192.168.1.1#interface LoopBack0ip address 10.2.2.2 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0add interface Tunnel0set priority 5#ospf 1area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.2.2.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 202.103.1.2 preference 603验证结果：ping a 10.1.1.1 10.2.2.2 /测试两 LAN 之间是否能通信dis ike sa /查看 IKE 是否建立完成dis ipsec sa /查看安全联盟的信息dis ipsec statistica /查看安全报文的统计信息四、 配置关键点1Peer1 与 Peer2 的 IKE，Ipsec 两阶段的安全参数必须相同；2配置顺序一般为：（1）两 Peer 之间能够相互 Ping 通（2）隧道建立 UP（3）路由（本例为 OSPF）配置完成，确保两 LAN 之间能够 Ping 通（4）配置 IPSec3其他关键点见注释。SecPath 防火墙 IPSec over GRE + OSPF典型配置一、组网需求分部 1 和分部 2 通过野蛮 IPSec 的方式连接到中心，采用 IPSEC -Over-GRE 的方式，在 tunnel 上运行 OSPF 协议来实现总部和分部之间的互通。二、组网图三、典型配置总部防火墙 SecPath 1000F 最终配置centerdis cu # sysname center # ike local-name center /中心 ike 的 local-name # router id 1.1.1.1 # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # firewall statistic system enable # radius scheme system # domain system # ike peer branch1 /配置到分部 1 的 ike peer exchange-mode aggressive /设置 IPSec 为野蛮方式 pre-shared-key abc /预共享密钥为 abc id-type name /选择 ID 类型为名字 /remote-name branch1 /分部 1 的名字为 branch1 remote-address 10.1.1.2 /分部 1 的地址 # ike peer branch2 /配置到分部 2 的 ike peer exchange-mode aggressive /设置 IPSec 为野蛮方式 pre-shared-key abc /预共享密钥为 abc id-type name /选择 ID 类型为名字 remote-name branch2 /分部 1 的名字为branch1 remote-address 10.1.2.2 /分部 1 的地址 # ipsec proposal 1 /定义 ipsec proposal # ipsec policy branch1 10 isakmp /配置到分部 1 的 ipsec policy security acl 3000 ike-peer branch1 proposal 1 # ipsec policy branch2 10 isakmp /配置到分部 2 的 ipsec policy security acl 3001 ike-peer branch2 proposal 1 # acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255acl number 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 # interface Aux0 async mode flow # interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/1 ip address 202.1.1.1 255.255.255.0 # interface GigabitEthernet1/0 # interface GigabitEthernet1/1 # interface Encrypt2/0 # interface Tunnel0 /配置中心和分部 1 之间的 GRE tunnel