计算机网络-GRE Over IPSec实验

一、概述

前情回顾：上次基于IPsec VPN的主模式进行了基础实验，但是很多高级特性没有涉及，如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等，以后继续学习吧。

前面我们已经学习了GRE可以基于隧道口实现分支互联，然后又简单学习了IPSec VPN可以实现加密传输，但是它们都有各自的特点，GRE是明文传输，安全性不足，IPSec不支持组播路由协议，因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。

GRE over IPsec可利用GRE和IPsec的优势，通过GRE将组播、广播和非IP报文封装成普通的IP报文，通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时，先进行GRE封装，再进行IPsec封装。

GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头，导致报文长度更长，更容易导致分片，所以GRE over IPsec推荐采用传输模式。

二、实验配置

在上次的IPSec VPN的基础上加上GRE的配置，原理基本一致，沿用GRE隧道接口、IPSec的加解密方式。

配置步骤：

• 配置物理接口的IP地址和到对端的静态路由，保证两端路由可达。
• 配置GRE Tunnel接口。
• 配置IPSec安全提议，定义IPSec的保护方法。
• 配置IKE对等体，定义对等体间IKE协商时的属性。
• 配置安全框架，并引用安全提议和IKE对等体。
• 在Tunnel接口上应用安全框架，使接口具有IPSec的保护功能。
• 配置Tunnel接口的转发路由，将需要IPSec保护的数据流引到Tunnel接口。

配置命令：

分部：
# ipsec安全提议
ipsec proposal 1
 esp encryption-algorithm 3des
 
# ike 安全提议
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5

# Ike peer对等体，这里不需要对端地址
ike peer zongbu v1
 pre-shared-key simple KL!@#258
 ike-proposal 1
 
# 创建一个安全框架，调用ike peer 和ipsec 安全提议
ipsec profile zongbu
 ike-peer zongbu
 proposal 1
#
interface GigabitEthernet0/0/0
 ip address 183.14.5.21 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 

# 创建一个隧道接口，分配一段地址，隧道协议为gre，源目地址分别是两端的公网地址，在接口调用安全框架
interface Tunnel0/0/0
 ip address 10.0.0.1 255.255.255.0 
 tunnel-protocol gre
 source 183.14.5.21
 destination 220.103.54.39
 ipsec profile zongbu
 
# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 
 area 0.0.0.0 
  network 10.0.0.0 0.0.0.255 
  network 192.168.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20


总部：
# ipsec安全提议
ipsec proposal 1
 esp encryption-algorithm 3des
 
# ike 安全提议
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5
 
# ike 对等体
ike peer fengbu v1
 pre-shared-key simple KL!@#258
 ike-proposal 1
 
# ipsec 安全框架
ipsec profile fengbu
 ike-peer fengbu
 proposal 1
#
interface GigabitEthernet0/0/0
 ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 220.103.54.39 255.255.255.0 

# 创建一个隧道口，配置源目地址以及调用安全框架
interface Tunnel0/0/0
 ip address 10.0.0.2 255.255.255.0 
 tunnel-protocol gre
 source 220.103.54.39
 destination 183.14.5.21
 ipsec profile fengbu
 
# 互联的动态路由，也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 
 area 0.0.0.0 
  network 10.0.0.0 0.0.0.255 
  network 172.16.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38

结果验证：

然后ike和ipsec的SA都是正常的，只要GRE起来了，双方协商成功就可以。

通过动态路由协议学习到的路由：

报文抓包，可以看到数据都是经过加密后的数据，既提高了安全性也支持动态路由与组播应用等。

总结：GRE Over IPSec结合了两者的特点对数据进行加密保护，与IPSec VPN相比不需要通过ACL匹配感兴趣流，而是通过tunnel隧道口的方式匹配流量，使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP，而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。