华为路由器:IPSec加密GRE通道(GRE over IPsec)

IPSec加密GRE通道

由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:

  • 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE;

  • 加密数据流后从隧道传输,称为GRE over IPsec。

下面将配置一个简单的IPsec over GRE实验。

一、搭建模拟环境

首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。

bash 复制代码
[AR1]in g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 
[AR1-GigabitEthernet0/0/0]q
[AR1]in g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 200.2.2.0 24 200.1.1.2


[AR2]in g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[AR2-GigabitEthernet0/0/0]q
[AR2]in g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 200.2.2.2 24
[AR2-GigabitEthernet0/0/1]q


[AR3]in g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 200.2.2.1 24
[AR3-GigabitEthernet0/0/0]q
[AR3]in g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR3-GigabitEthernet0/0/1]q
[AR3]ip route-static 200.1.1.0 24 200.2.2.2

验证结果:

[AR1]ping -a 200.1.1.1 200.2.2.1
  PING 200.2.2.1: 56  data bytes, press CTRL_C to break
    Reply from 200.2.2.1: bytes=56 Sequence=1 ttl=254 time=60 ms
    Reply from 200.2.2.1: bytes=56 Sequence=2 ttl=254 time=20 ms
    Reply from 200.2.2.1: bytes=56 Sequence=3 ttl=254 time=40 ms
    Reply from 200.2.2.1: bytes=56 Sequence=4 ttl=254 time=10 ms
    Reply from 200.2.2.1: bytes=56 Sequence=5 ttl=254 time=30 ms

  --- 200.2.2.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/32/60 ms

二、GRE的配置

bash 复制代码
AR1

interface Tunnel0/0/0   #新建隧道
 description zongbu     #这个是描述,不是目标地址,需要注意
 ip address 10.1.1.1 255.255.255.0   #给隧道配置地址
 tunnel-protocol gre    #隧道协议
 source 200.1.1.1       #源地址,注意这里是公网地址
 destination 200.2.2.1  #目标地址,注意这里是公网地址

AR3
 
interface Tunnel0/0/0
 description fengongsi
 ip address 10.1.1.2 255.255.255.0 
 tunnel-protocol gre
 source 200.2.2.1
 destination 200.1.1.1


两边各加1条静态路由

[AR1]ip route-static 192.168.2.0 24 Tunnel 0/0/0   #这里我们用隧道接口,也可以用隧道IP
[AR1]ip route-static 192.168.2.0 24 ?              #这里除了加接口还可以直接IP
  IP_ADDR<X.X.X.X>  Gateway address
  GigabitEthernet   GigabitEthernet interface
  NULL              NULL interface
  Tunnel            Tunnel interface
  vpn-instance      Destination VPN-Instance for Gateway address


[AR3]ip route-static 192.168.1.0 24 Tunnel 0/0/0


验证一下:PC1 > PC2

PC>ping 192.168.2.1

Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=126 time=31 ms
From 192.168.2.1: bytes=32 seq=2 ttl=126 time=16 ms
From 192.168.2.1: bytes=32 seq=3 ttl=126 time=31 ms
From 192.168.2.1: bytes=32 seq=4 ttl=126 time=15 ms
From 192.168.2.1: bytes=32 seq=5 ttl=126 time=16 ms

--- 192.168.2.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/21/31 ms

三、配置IPSec加密

bash 复制代码
#创建IKE提议
ike proposal 1   
 encryption-algorithm 3des-cbc  #指定加密算法
 authentication-algorithm md5   #认证算法

#配置IKE对等体 
ike peer 1 v2   
 pre-shared-key simple 123456   #共享密钥
 ike-proposal 1
 
#配置IPSec提议
ipsec proposal 1  
 esp encryption-algorithm 3des   #esp的加密算法
 
#配置IPSec文件,其实也就是调用上面的IKE提议和IPSec提议
ipsec profile gre    
 ike-peer 1
 proposal 1
 
 
interface Tunnel0/0/0
 ipsec profile gre

 
interface Tunnel0/0/0
 description zongbu
 ip address 10.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 200.1.1.1
 destination 200.2.2.1
 ipsec profile gre

####以上配置AR1、AR3完全一样

四、加密验证

我们选择下图中AR1的g0/0/1接口抓包

然后用PC1去pingPC2的抓包效果


相关推荐
茶颜悦色vv6 分钟前
Wireshark(1)
网络·web安全·网络安全·wireshark
xianwu54327 分钟前
反向代理模块。开发
linux·开发语言·网络·c++·git
brhhh_sehe1 小时前
重生之我在异世界学编程之C语言:深入文件操作篇(下)
android·c语言·网络
忆源1 小时前
Linux高级--2.4.2 linux TCP 系列操作函数 -- 深层理解
linux·网络·tcp/ip
哈利巴多先生1 小时前
HTTP,续~
网络·网络协议·http
白了个白i1 小时前
http的访问过程或者访问页面会发生什么
网络·网络协议·http
赛德乌漆麻黑哟1 小时前
FOFA--网络空间资产搜索引擎(常用语法以及拓展)
网络·安全·搜索引擎
Allen_LVyingbo2 小时前
数智化时代医院临床试验人才培养的创新路径与实践探索
网络·健康医疗·集成学习
手心里的白日梦2 小时前
TCP协议
服务器·网络·tcp/ip
华研前沿标杆游学2 小时前
预约参观华为基地,见证行业巅峰
华为