GRE over IPSEC 用于在GRE隧道上对数据进行IPSEC封装,特点是解决了GRE隧道的安全问题,使传输数据具有“加密”特性,从而提高了隧道的安全性。在设置GRE over IPSEC前,需要了解两个注意事项。
- 加密的数据包是对端公网出口的ip地址,因为内网数据转发到外网时,NAT功能将其“翻译”为公网的IP,所以加密的数据流其实是本地网关WAN口到远程网关WAN口。
- 加密的数据是通过GRE隧道口封装,从网关WAN口发送出去,所以加密规则应设置在网关WAN口上。
网络拓扑图
如上图:模拟杭州分公司和宁波分公司通过GRE over IPSEC实现互联,红色线路模拟Internet,黑色虚线模拟两个分公司局域网。“hangzhou”、“ningbo”分别是两个分公司的出口网关,连接红色线路是WAN口、连接黑色线路是LAN口。
注:WAN指广域网、LAN指局域网
实验环境:Packet Tracer 6.1
实验准备1、设置两端主机的ip地址
杭州分公司的电脑
宁波分公司电脑
2、设置三台路由器的IP地址
杭州分公司的网关路由器
宁波分公司的网关路由器
模拟公网的路由器
3、配置路由,实现杭州分公司和宁波分公司的网关能够相互访问,这里我通过静态路由实现
杭州分公司路由表
宁波分公司路由表
4、配置NAT,实现两个分公司的主机能够访问互联网,这里使用的是PAT技术实现(PAT配置过程略,可以参考我的前导课程)。
杭州分公司访问到宁波分公司的网关WAN口
宁波分公司访问到杭州分公司的网关WAN口
配置GRE隧道,实现宁波分公司和杭州分公司互访要实现两个分公司的连接,先定义GRE隧道,再配置静态路由
GRE隧道的建立
杭州分公司的静态路由,注意通过隧道到达宁波分公司
宁波分公司的静态路由,注意通过隧道到达杭州分公司
验证效果:杭州分公司访问宁波分公司,看到数据包走隧道接口
到这一步的验证很关键,先保证数据包通过隧道实现两个分公司之间的互访!
配置GRE over IPSEC(六步)第一步:定义加密数据流(这里的数据流是网关的WAN口IP地址)
access-list 110 permit ip host 60.0.0.1 host 60.0.0.5
第二步:定义加密规则
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
第三步:定义共享密钥、定义对端地址(共享密钥两端要一样,这里是123,对端地址是远程网关的WAN口地址)
crypto isakmp key 123 address 60.0.0.5
第四步:定义加密规则(规则名称“vpn”,可以自己定义)
crypto ipsec transform-set vpn esp-des esp-md5-hmac
第五步:定义加密规则图:vpnmap(规则图“vpnmap”,可以自己定义)
crypto map vpnmap 10 ipsec-isakmp
set peer 60.0.0.5(设置对端WAN口地址)
set pfs group2
set transform-set vpn (设置前面定义的加密规则“vpn”)
match address 110(设置数据流110号访问控制列表)
第六步:在物理接口上绑定加密规则图
interface Serial0/0/0
ip address 60.0.0.1 255.255.255.252
ip nat outside
crypto map vpnmap(将规则图“vpnmap”绑定在该接口上)
效果验证
先ping一下,pc0 ping pc1,正常!
通过show crypto isakmp sa查看加密隧道
通过show crypto isakmp sa查看加密隧道
通过show crypto isakmp sa查看加密隧道,如果查询到隧道状态为Active,表示加密成功!
结束语GRE over IPSEC是GRE隧道协议和IPSEC加密协议的综合运用,实现隧道封装后对数据进行加密,两个协议取长补短,共同实现两个局域网之间数据流的安全性。
GRE over IPSEC本身配置过程和理论过程都比较复杂,理论部分知识点限于篇幅,不再详细展开,配置过程要理清楚步骤,大致分为以下几个过程,请同学们牢记。
- 配置局域网连通
- 配置公网连通
- 配置NAT实现局域网访问公网
- 配置GRE实现局域网访问局域网
- 配置IPSEC对GRE进行加密
