gre和ipsec结合案例.doc
26页
GRE over IPsec & IPsec over GREIPSec -Over-GRE 是先 ipsec 后 gre, GRE -Over-IPSec 是先 gre 后 ipsec,也就是说 ipsec 是最后的承载方式一般常用的就是这种,解决了 ipsec 不支持多播的问题IPsec over GRE 和 GRE over IPsec 在配置上的区别:GRE over IPsec IPsec over GREACL 定义: GRE 数据流 内网数据流IKE Peer 中 remote-address 对方公网地 对方 GRE Tunnel 地址应用端口: 公网出 GRE Tunnel 上GRE over IPSEC(传输模式):IPSEC 封装 GRE好处:可以利用 GRE 封装组播或广播了以及非 IP 流量,因为如果不使用 GRE 的话,IPSEC 是传不了组播或广播 IP 流量的IPSEC over GRE(里外)(tunel 模式)IPSEC over GRE:GRE 在 IPSEC 外面,由 GRE 来封装 IPSEC 注意!!!IPSEC over GRE 的时候,路由协议流量是明文的注意!!!当指的 peer 是对等体物理接口地址的时候不是 IPSEC over GRE,只有当 peer 是对等体的 tunnel 口是才是真正的 IPSEC over GRESecPath 防火墙 GRE over IPSec+ospf 的典型配置一、 组网需求:两个 Peer 分别使用的是 SecPath1000F,中间公网使用一台 SecPath100F起连接作用,两局域网分别使用的是 SecPath1000F 的 LoopBack0 口来模拟。
在两个 Peer 上配置 GRE over IPSec,使两个局域网能够穿越公网进行通信,并且保护一切传输的数据二、 组网图SecPath1000F:版本为 Version 3.40, ESS 1622;三、 配置步骤1.SecPath1000F(左)的主要配置:sysname fw1#router id 10.1.1.1 #firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10 //设置 IKE 的策略authentication-algorithm md5 //选择 md5 算法来进行验证(验证方式为预共享密钥,密钥交换为 DH:group1,因为此两项均为缺省设置,故没有显示在dis cu 中,特此说明)sa duration 1500 //设置 IKE 的生存周期为 1500s#ike peer wanxin //设置预共享密钥的认证字pre-shared-key h3c //密钥为:h3c(对端也必须一样)remote-address 202.103.1.1 //设置对端地址#ipsec proposal wanxin //创建一个名为“wanxin”的安全提议encapsulation-mode transport //报文封装采用传输模式(安全协议采用esp,认证算法采用 sha1,此两项均为缺省设置,故也没有显示在 dis cu 中)#ipsec policy 1 10 isakmp //创建安全策略,协商方式为自动协商,也就是采用 IKE 的策略协商security acl 3000 //引用下面设置的 acl 3000ike-peer wanxin //引用上面设置的“ike peer wanxin”proposal wanxin //引用上面设置的“ipsec proposal wanxin”sa duration time-based 1500 //设置基于时间的生存周期为 1500s#acl number 3000 //创建加密数据流(加密的是两 Peer 出口的网段,这个很关键)rule 1 permit gre source 192.168.1.0 0.0.0.255 destination 202.103.1.0 0.0.0.255 rule 2 deny ip#interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0ipsec policy 1 //在出接口上应用安全策略(只有应用了 IPSec 才能生效)#interface Tunnel0 //创建 GRE 隧道ip address 1.1.1.1 255.255.255.0source 192.168.1.1destination 202.103.1.1#interface LoopBack0 //用一个回环口地址带模拟一个 LAN 地址ip address 10.1.1.1 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0add interface Tunnel0 //切记隧道接口也需要加入某一个域set priority 85#ospf 1 //使用 OSPF 来保证两 LAN 之间能路由area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.1.1.0 0.0.0.255# ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 preference 60 //保证两Peer 之间能够通信,从而协商 IPSec 参数,同时也触发加密流量2.SecPath1000F(Peer2)的主要配置: 注:Peer2 的配置与 Peer1 基本相同,故注释同上sysname fw2#router id 10.2.2.2#firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10authentication-algorithm md5sa duration 1500#ike peer wanxinpre-shared-key h3cremote-address 192.168.1.1#ipsec proposal wanxinencapsulation-mode transport#ipsec policy 1 10 isakmpsecurity acl 3000ike-peer wanxinproposal wanxinsa duration time-based 1500#acl number 3000rule 1 permit gre source 202.103.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 2 deny ip#interface GigabitEthernet0/0ip address 202.103.1.1 255.255.255.0ipsec policy 1#interface Tunnel0ip address 1.1.1.2 255.255.255.0source 202.103.1.1destination 192.168.1.1#interface LoopBack0ip address 10.2.2.2 255.255.255.0#firewall zone untrust add interface GigabitEthernet0/0add interface Tunnel0set priority 5#ospf 1area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.2.2.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 202.103.1.2 preference 603.验证结果:ping –a 10.1.1.1 10.2.2.2 //测试两 LAN 之间是否能通信dis ike sa //查看 IKE 是否建立完成dis ipsec sa //查看安全联盟的信息dis ipsec statistica //查看安全报文的统计信息四、 配置关键点1.Peer1 与 Peer2 的 IKE,Ipsec 两阶段的安全参数必须相同;2.配置顺序一般为:(1)两 Peer 之间能够相互 Ping 通(2)隧道建立 UP(3)路由(本例为 OSPF)配置完成,确保两 LAN 之间能够 Ping 通(4)配置 IPSec3.其他关键点见注释。
SecPath 防火墙 IPSec over GRE + OSPF典型配置一、组网需求分部 1 和分部 2 通过野蛮 IPSec 的方式连接到中心,采用 IPSEC -Over-GRE 的方式,在 tunnel 上运行 OSPF 协议来实现总部和分部之间的互通二、组网图三、典型配置总部防火墙 SecPath 1000F 最终配置center>dis cu # sysname center # ike local-name center //中心 ike 的 local-name # router id 1.1.1.1 # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount u。
