GRE和IPSec结合案例.doc

GRE over IPsec IPsec over GRE IPSec -Over-GRE是先ipsec后gre GRE -Over-IPSec 是先gre后ipsec，也就是说ipsec是最后的承载方式。一般常用的就是这种，解决了ipsec不支持多播的问题。 ??????????????????????? ? GRE over IPsec???? IPsec over GRE ACL定义：?????? GRE数据流?????????内网数据流IKE Peer中remote-address? 对方公网地????????对方GRE Tunnel地址应用端口：????????? 公网出????????? GRE Tunnel上 GRE over IPSEC(传输模式)IPSEC封装GRE 好处：可以利用GRE封装组播或广播了以及非IP流量，因为如果不使用GRE的话，IPSEC是传不了组播或广播IP流量的 ? IPSEC over GRE(里外)(tunel模式) IPSEC over GRE:GRE在IPSEC外面,由GRE来封装IPSEC注意!!!IPSEC over GRE的时候,路由协议流量是明文的 注意!!!当指的peer是对等体物理接口地址的时候不是IPSEC over GRE,只有当peer是对等体的是才是真正的IPSEC over GRE ? 一、 组网需求： 两个Peer分别使用的是SecPath1000F，中间公网使用一台SecPath100F起连接作用，两局域网分别使用的是SecPath1000F的LoopBack0口来模拟。在两个Peer上配置GRE over IPSec，使两个局域网能够穿越公网进行通信，并且保护一切传输的数据。 ? 二、 组网图 ?? SecPath1000F：版本为Version 3.40, ESS 1622； ? 三、 配置步骤 ? 1．SecPath1000F（左）的主要配置： ? sysname fw1 # ?router id 10.1.1.1?? # ?firewall packet-filter enable ?firewall packet-filter default permit # ike proposal 10?? //设置IKE的策略 ?authentication-algorithm md5? //选择md5算法来进行验证（验证方式为预共享密钥，密钥交换为DH:group1,因为此两项均为缺省设置，故没有显示在dis cu 中，特此说明） ?sa duration 1500? //设置IKE的生存周期为1500s # ike peer wanxin? //设置预共享密钥的认证字 ?pre-shared-key h3c?? //密钥为：h3c（对端也必须一样） ?remote-address 202.103.1.1? //设置对端地址 # ipsec proposal wanxin? //创建一个名为“wanxin”的安全提议 encapsulation-mode transport?? //报文封装采用传输模式(安全协议采用esp,认证算法采用sha1，此两项均为缺省设置，故也没有显示在dis cu 中) # ipsec policy 1 10 isakmp? ?//创建安全策略，协商方式为自动协商，也就是采用IKE的策略协商 ?security acl 3000? //引用下面设置的acl 3000 ?ike-peer wanxin?? //引用上面设置的“ike peer wanxin” ?proposal wanxin?? //引用上面设置的“ipsec proposal wanxin” ?sa duration time-based 1500? //设置基于时间的生存周期为1500s # acl number 3000? //创建加密数据流（加密的是两Peer出口的网段，这个很关键） ?rule 1 permit gre source 192.168.1.0 0.0.0.255 destination 202.103.1.0 0.0.0.255 ?rule 2 deny ip # interface GigabitEthernet0/0 ?ip address 192.168.1.1 255.255.255.0 ?ipsec policy 1? //在出接口上应用安全策略（只有应用了IPSec才能生效） # interface Tunnel0? //创建GRE隧道 ?ip address 1.1.1.1 255.255.255.0 ?source 192.168.1.1 ?destination 202.103.1.1