Bootstrap

IPSec Over GRE和GRE Over IPSec技术

IPSec Over GRE和GRE Over IPSec技术

一. 技术介绍

IPsec

    主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip流量,也不支持广播(组播)!

GRE

    (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题,虽然无法提供加密,但是能很好的支持非ip流量和广播!

GRE over IPSec(使用IPsec来加密隧道进行传输)

    GRE封装可以让你的私有IP地址封装在全球可路由的 new IP header GRE header,实现在不同site 之间的互联,但是GRE本身是明文方式,所以需要IPSec来加密保护,一般用传输模式即可,因为是GRE接口,所以支持组播,常用的一般就是这种模式。

IPSec over GRE(加密数据流后从隧道传输)

    这种方式在现实中很少用到,一般是通过crypto map 方式建立IPsec, 然后再用GRE来增加一个新的IP header, 因为这种模式IPSec 不是一种接口,只是一种映射,所以不能支组播。

一些区别:

GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的
IPSEC over GRE:acl匹配的就是业务流
GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址
GRE over IPSEC:ipsec policy应用在本地物理接口上
IPSEC over GRE:ipsec policy应用在本地tunnel接口上

二. GRE Over IPSec配置实验(VPN)

项目背景

    公司拥有两地办事机构,这里用R1和R3代表,分别拥有各自的子网。出口网关分别从ISP处获得一公网IP(此处分别以10.0.12.1/24和10.0.23.3/24网络代表)。架设一个网络,使得内部子网能够通信。

网络拓扑在这里插入图片描述

    为了使得两地可以相互访问内网,冒无疑问的需要使用到VPN技术。为了保证传输的安全性,这里直接使用IPSec 。但是我们知道,IPSec 只能传输单播报文。那么当两地的网络较庞大之时,相互的一条一条互指静态路由,是一个庞大的成本。若要使用路由,由于路由协议是组播报文,这里,使用GRE 插入到IPSec当中,构成GRE Over IPSec,使得组播报文在传输的同时,也能保证安全性。

命令配置

R1接口基本配置:

[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.0.12.1 24
[R1]interface LoopBack0
[R1-LoopBack0]ip address 10.0.1.1
[R1]interface LoopBack1
[R1-LoopBack1]ip address 10.0.11.11 32

OSPF设置:
[R1]ospf 10 router-id 1.1.1.1
[R1-ospf-10]area 0 
[R1-ospf-10-area-0.0.0.0]network 10.0.12.0 0.0.0.255

R2接口基本配置:

[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.0.12.1 24
[R2-GigabitEthernet0/0/0]quit 
[R2]interface GigabitEthernet0/0/1	
[R2-GigabitEthernet0/0/1]ip address 10.0.23.2 24

OSPF设置:
[R2]ospf 10 router-id 2.2.2.2
[R2-ospf-10]area 0
[R2-ospf-10-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R2-ospf-10-area-0.0.0.0]network 10.0.23.0 0.0.0.255

R3接口基本配置:

[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24
[R3]interface LoopBack0
[R3-LoopBack0]ip address 10.0.3.3 32
[R3]interface LoopBack1
[R3-LoopBack1]ip address 10.0.33.33 32

OSPF设置:
[R3]ospf 10 router-id 3.3.3.3
[R3-ospf-10]area 0
[R3-ospf-10-area-0.0.0.0]network 10.0.23.0 0.0.0.255

R1和R3配置GRE链路:该GRE链路用来承载AR1和AR3之间的OSPF路由

R1:
[R1]interface Tunnel 0/0/0
[R1-Tunnel0/0/0]ip address 100.1.1.1 24
[R1-Tunnel0/0/0]tunnel-protocol gre
[R1-Tunnel0/0/0]source 10.0.12.1
[R1-Tunnel0/0/0]destination 10.0.23.3

R3:
[R3]interface Tunnel 0/0/0	
[R3-Tunnel0/0/0]ip address 100.1.1.2 24
[R3-Tunnel0/0/0]tunnel-protocol gre
[R3-Tunnel0/0/0]source 10.0.23.3
[R3-Tunnel0/0/0]destination 10.0.12.1

使用IPSec 来加密GRE隧道:

R1:
[R1]acl number 3000               
[R1-acl-adv-3000]rule 0 permit ip source 10.0.12.0 0.0.0.255 destination 10.0.23
.0 0.0.0.255
[R1]ipsec proposal huawei    
[R1]ike proposal 1                                    引用IKE安全提议
[R1]ike peer r3 v2                                    创建IKE Peer(名称),并进入IKE Peer视图
[R1-ike-peer-r3]pre-shared-key simple huawei123       认证方式为预共享密钥验证,配置预共享密钥
[R1-ike-peer-r3]ike-proposal 1      
[R1-ike-peer-r3]remote-address 10.0.23.3              配置对端IP地址或地址段
[R1]ipsec policy huawei 1 isakmp 
[R1-ipsec-policy-isakmp-huawei-1]security acl 3000
[R1-ipsec-policy-isakmp-huawei-1]ike-peer r3
[R1-ipsec-policy-isakmp-huawei-1]proposal huawei

R3:
[R3]acl 3000
[R3-acl-adv-3000]rule 0 permit ip source 10.0.23.0 0.0.0.255 destination 10.0.12
.0 0.0.0.255
[R3]ipsec proposal huawei
[R3]ike proposal 1
[R3]ike peer r1 v2
[R3-ike-peer-r1]pre-shared-key simple huawei123
[R3-ike-peer-r1]ike-proposal 1	
[R3-ike-peer-r1]remote-address 10.0.12.1
[R3]ipsec policy huawei 1 isakmp 
[R3-ipsec-policy-isakmp-huawei-1]security acl 3000
[R3-ipsec-policy-isakmp-huawei-1]ike-peer r1
[R3-ipsec-policy-isakmp-huawei-1]proposal huawei

配置基于Tunnel隧道的OSPF进程来传输路由:当开启了路由协议或者组播,例如OSPF,只要将该GRE的Tunnel口宣告进入OSPF进程,则触发了IPSec的感兴趣流,即可对数据进行保护。

R1:
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.0.11.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255

R3:
[R3]ospf 1	
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.33.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
;