华为路由器:IPSec加密GRE通道(GRE over IPsec)

IPSec加密GRE通道

由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:

  • 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE;

  • 加密数据流后从隧道传输,称为GRE over IPsec。

下面将配置一个简单的IPsec over GRE实验。

一、搭建模拟环境

首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。

bash 复制代码
[AR1]in g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 
[AR1-GigabitEthernet0/0/0]q
[AR1]in g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 200.2.2.0 24 200.1.1.2


[AR2]in g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[AR2-GigabitEthernet0/0/0]q
[AR2]in g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 200.2.2.2 24
[AR2-GigabitEthernet0/0/1]q


[AR3]in g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 200.2.2.1 24
[AR3-GigabitEthernet0/0/0]q
[AR3]in g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR3-GigabitEthernet0/0/1]q
[AR3]ip route-static 200.1.1.0 24 200.2.2.2

验证结果:

[AR1]ping -a 200.1.1.1 200.2.2.1
  PING 200.2.2.1: 56  data bytes, press CTRL_C to break
    Reply from 200.2.2.1: bytes=56 Sequence=1 ttl=254 time=60 ms
    Reply from 200.2.2.1: bytes=56 Sequence=2 ttl=254 time=20 ms
    Reply from 200.2.2.1: bytes=56 Sequence=3 ttl=254 time=40 ms
    Reply from 200.2.2.1: bytes=56 Sequence=4 ttl=254 time=10 ms
    Reply from 200.2.2.1: bytes=56 Sequence=5 ttl=254 time=30 ms

  --- 200.2.2.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/32/60 ms

二、GRE的配置

bash 复制代码
AR1

interface Tunnel0/0/0   #新建隧道
 description zongbu     #这个是描述,不是目标地址,需要注意
 ip address 10.1.1.1 255.255.255.0   #给隧道配置地址
 tunnel-protocol gre    #隧道协议
 source 200.1.1.1       #源地址,注意这里是公网地址
 destination 200.2.2.1  #目标地址,注意这里是公网地址

AR3
 
interface Tunnel0/0/0
 description fengongsi
 ip address 10.1.1.2 255.255.255.0 
 tunnel-protocol gre
 source 200.2.2.1
 destination 200.1.1.1


两边各加1条静态路由

[AR1]ip route-static 192.168.2.0 24 Tunnel 0/0/0   #这里我们用隧道接口,也可以用隧道IP
[AR1]ip route-static 192.168.2.0 24 ?              #这里除了加接口还可以直接IP
  IP_ADDR<X.X.X.X>  Gateway address
  GigabitEthernet   GigabitEthernet interface
  NULL              NULL interface
  Tunnel            Tunnel interface
  vpn-instance      Destination VPN-Instance for Gateway address


[AR3]ip route-static 192.168.1.0 24 Tunnel 0/0/0


验证一下:PC1 > PC2

PC>ping 192.168.2.1

Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=126 time=31 ms
From 192.168.2.1: bytes=32 seq=2 ttl=126 time=16 ms
From 192.168.2.1: bytes=32 seq=3 ttl=126 time=31 ms
From 192.168.2.1: bytes=32 seq=4 ttl=126 time=15 ms
From 192.168.2.1: bytes=32 seq=5 ttl=126 time=16 ms

--- 192.168.2.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/21/31 ms

三、配置IPSec加密

bash 复制代码
#创建IKE提议
ike proposal 1   
 encryption-algorithm 3des-cbc  #指定加密算法
 authentication-algorithm md5   #认证算法

#配置IKE对等体 
ike peer 1 v2   
 pre-shared-key simple 123456   #共享密钥
 ike-proposal 1
 
#配置IPSec提议
ipsec proposal 1  
 esp encryption-algorithm 3des   #esp的加密算法
 
#配置IPSec文件,其实也就是调用上面的IKE提议和IPSec提议
ipsec profile gre    
 ike-peer 1
 proposal 1
 
 
interface Tunnel0/0/0
 ipsec profile gre

 
interface Tunnel0/0/0
 description zongbu
 ip address 10.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 200.1.1.1
 destination 200.2.2.1
 ipsec profile gre

####以上配置AR1、AR3完全一样

四、加密验证

我们选择下图中AR1的g0/0/1接口抓包

然后用PC1去pingPC2的抓包效果


相关推荐
无所谓จุ๊บ13 分钟前
树莓派开发相关知识十 -小试服务器
服务器·网络·树莓派
道法自然040222 分钟前
Ethernet 系列(8)-- 基础学习::ARP
网络·学习·智能路由器
SuperHeroWu71 小时前
【HarmonyOS】键盘遮挡输入框UI布局处理
华为·harmonyos·压缩·keyboard·键盘遮挡·抬起
EasyCVR1 小时前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频
明月看潮生2 小时前
青少年编程与数学 02-003 Go语言网络编程 15课题、Go语言URL编程
开发语言·网络·青少年编程·golang·编程与数学
龙哥说跨境3 小时前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?
服务器·网络·python·网络爬虫
懒大王就是我3 小时前
C语言网络编程 -- TCP/iP协议
c语言·网络·tcp/ip
Elaine2023913 小时前
06 网络编程基础
java·网络
海绵波波1075 小时前
Webserver(4.3)TCP通信实现
服务器·网络·tcp/ip
sanzk6 小时前
华为鸿蒙应用开发
华为·harmonyos