免费预览已结束,剩余1页可下载查看
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
H3C路由器gre over ipsec和ipsec over gre的差别与配置方法概念区分IPSEC Over GRE即IPSEC在里,GRE在外。先把需要加密的数据包封装成IPSEC包,然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的,即在Tunnel口上监控(访问控制列表监控本地ip网段-源ip和远端ip网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封装成GRE包进入隧道(这里显而易见的是,GRE隧道始终无论如何都是存在的,即GRE隧道的建立过程并没有被加密),同时,未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道,即存在有些数据可能被不安全地传递的状况。GRE Over IPSEC是指,先把数据分装成GRE包,然后再分装成IPSEC包。做法是在物理接口上监控,是否有需要加密的GRE流量(访问控制列表针对GRE两端的设备ip),所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递,这样保证的是所有的数据包都会被加密,包括隧道的建立和路由的建立和传递。 无论是哪种数据流,若一方进行了加密,而另一方没有配,则无法通讯,对于GRE则,路由邻居都无法建立。另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式,是针对如ESP如何封装数据包的,前提是ESP在最外面,如果都被Over到了GRE里,自然谈不上什么隧道模式和传输模式(都为隧道模式)。只有当GRE Over IPSEC的时候,才可以将模式改为传输模式。IPSEC不支持组播,即不能传递路由协议,而GRE支持。配置方法两者配置方法上差别不大,注意定义访问控制列表的流量、配置过程中的对端地址以及策略应用位置即可。总结一下就是:gre ove ipsec在配置访问控制列表时应配置为物理端口地址 ,而IPSEC Over GRE中则应配置为兴趣流量网段地址。在gre ove ipsec配置对端地址过程中全都配置为相应物理地址 ,而IPSEC Over GRE中则全都配置为对端tunnel口虚拟地址。gre ove ipsec在应用策略时在tunnel口下调用,而IPSEC Over GRE中则应在物理接口下调用。我们以一个简单的拓扑网络为例,向大家分别展示两种专用网络的配置方法,大家请注意观察上面总结的区别。拓扑如下:gre ove ipsec配置方法RT1:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.1.1 241配置ospf连通网络(可用静态路由)ospf 1area 0network 192.168.1.0 0.0.0.2552配置gre隧道interface Tunnel0 mode gre ip address 10.1.1.1 24 source 192.168.1.1 destination 192.168.2.13配置acl 定义兴趣流量(在gre over ipsec应用中要设为两端物理接口地址)acl number 3000 rule 0 permit gre source 192.168.1.1 0 destination 192.168.2.1 04配置ike对等体ike profile ike(ike-名字) keychain ike(keychain-名字) match remote identity address 192.168.2.1 24(对端地址为RT3物理接口地址)quitike keychain keychain-name pre-shared-key address 192.168.2.1 24 key cipher 123456(设置预共享密钥,对端地址为RT3物理接口地址)5配置ipsec安全提议(加密算法为3DES,验证算法为sha1)ipsec transform-set tra(transform-名字) esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1 6配置ike协商方式的ipsec安全策略ipsec policy vpn(policy-名字)10 isakmp transform-set tra (transform-名字) security acl 3000 remote-address 192.168.2.1(对端地址为RT3物理接口地址) ike-profile ike(ike-名字)7端口下应用策略interface GigabitEthernet0/0 ipsec apply policy vpn(policy-名字)RT2:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.1.2 24quitinterface GigabitEthernet0/1 ip address 192.168.2.2 24配置ospf连通网络ospf 1area 0network 192.168.1.0 0.0.0.255network 192.168.2.0 0.0.0.255RT3:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.2.1 24配置ospf连通网络ospf 1area 0network 192.168.2.0 0.0.0.255配置gre隧道interface Tunnel1 mode gre ip address 10.1.1.2 24 source 192.168.2.1 destination 192.168.1.1配置acl 定义兴趣流量(在gre over ipsec应用中要设为两端物理接口地址)acl number 3000 rule 0 permit gre source 192.168.2.1 0 destination 192.168.1.1 0配置ike对等体ike profile ike-name keychain keychain-name match remote identity address 192.168.1.1 24quitike keychain keychain-name pre-shared-key address 192.168.1.1 24 key cipher 123456配置ipsec安全提议ipsec transform-set transform-name esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1 配置ike协商方式的ipsec安全策略ipsec policy policy-name 10 isakmp transform-set transform-name security acl 3000 remote-address 192.168.1.1 ike-profile ike-name端口下应用策略interface GigabitEthernet0/0 ipsec apply policy policy-name测试方法在RT1中以lo0地址去ping RT3的lo0地址。 IPSEC Over GRE配置方法RT1:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.1.1 241配置ospf连通网络(可用静态路由)ospf 1area 0network 192.168.1.0 0.0.0.2552配置gre隧道interface Tunnel0 mode gre ip address 10.1.1.1 24 source 192.168.1.1 destination 192.168.2.13配置acl 定义兴趣流量(在IPSEC Over GRE应用中要设两端加密数据网段地址)acl number 3000 rule 0 permit gre source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.2554配置ike对等体ike profile ike(ike-名字) keychain ike(keychain-名字) match remote identity address 10.1.1.2(对端地址为RT3 tunnel接口地址)quitike keychain keychain-name pre-shared-key address 10.1.1.2 24 key cipher 123456(设置预共享密钥,对端地址为RT3 tunnel接口地址)5配置ipsec安全提议(加密算法为3DES,验证算法为sha1)ipsec transform-set tra(transform-名字) esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1 6配置ike协商方式的ipsec安全策略ipsec policy vpn(policy-名字)10 isakmp transform-set tra (transform-名字) security acl 3000 remote-address 10.1.1.2(对端地址为RT3 tunnel接口地址) ike-profile ike(ike-名字)7端口下应用策略interface tunnel 0 mode gre ipsec apply policy vpn(policy-名字)RT2:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.1.2 24quitinterface GigabitEthernet0/1 ip address 192.168.2.2 24配置ospf连通网络ospf 1area 0network 192.168.1.0 0.0.0.255network 192.168.2.0 0.0.0.255RT3:为端口分配ip地址interface GigabitEthernet0/0 ip address 192.168.2.1 24配置ospf连通网络ospf 1area 0network 192.168.2.0 0.0.0.255配置gre隧道interface Tunnel0 mode gre ip address 10.1.1.2 24 source 192.168.2.1 destination 192.168.1.1配置acl 定义兴趣流量(在IPSEC Over GRE应用中要设两端加密数据网段地址)acl number 3000 rule 0 permit gre source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255配置ike对等体ike profile ike-name keychain keychain-name match remote identity address 10.1.1.1quitike keychain keychain-name pre-shared-key address 10.1.1.1 24 key cipher 123456配置ipsec安全提议ipsec transform-set transform-name esp encryption-algorithm 3des-cbc esp authentication-algori
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年木材加工、处理机械项目申请报告
- 水龙吟-苏轼课件
- 机电设备安装调试与验收方案
- 水粉插画基础知识培训课件
- 混凝土施工中预应力钢筋张拉技术方案
- 基础设施施工工艺优化
- 混凝土施工的临时设施搭建与管理方案
- 城镇集中供热的用户需求与服务管理方案
- 水痘和腮腺炎培训课件
- 用户体验设计42课件
- 2023年辅警招聘-公共基础知识考试题库(含答案)
- 巷道围岩注浆加固施工安全技术措施
- 实验中学初一新生分班考试数学试卷附答案
- 区治安巡防队员面试题
- 施工组织设计施工总体部署完整版
- TUPSW微机控制电力专用不间断电源(UPS)系统使用说明书
- 骨质疏松诊治与中医药
- LY/T 2383-2014结构用木材强度等级
- GB/T 528-2009硫化橡胶或热塑性橡胶拉伸应力应变性能的测定
- 中日关系历史
- GB/T 15171-1994软包装件密封性能试验方法
评论
0/150
提交评论