H3CNE-Security(GB0-510)
- 0关注
- 0收藏,199浏览
问题描述:
如下图所示,FW1作为某公司总部的网关设备,FW2作为分公司的网关设备。要求在总部和分公司之间建 立GRE over IPsec VPN隧道,从而保证公司总部与分公司之间通信数据的完整性和安全性,下列那个配置 是正确的?
A.interface Tunnel1 mode gre
ip address 8.8.8.1 255.255.255.0
source 172.1.169.12 0
destination 172.1.170.254 0
ipsec apply policy test
#
ipsec policy test 1 isakmp
transform-set test security acl 3010
remote-address 8.8.8.2
ike-profile test
#
acl advanced 3010
description GRE_over_IPSec
rule 0 permit gre source 172.1.169.12 0 destination 172.1.170.254 0
#
ike key chian test
pre-share-key address 8.8.8.2 255.255.255.255 key cipher $c$3SvbBjWYfgqcf
iUeHLegpqasjC8OqUQwwtIg==
#
ip route-static192.168.2.1 Tunnel1
B.interface Tunnel1 mode gre
ip address 8.8.8.1 255.255.255.0
source 172.1.169.12 0
destination 172.1.170.254 0
ipsec apply policy test
#
ipsec policy test 1 isakmp
transform-set test
security acl 3010
remote-address 8.8.8.2
ike-profile test
#
acl advanced 3010
description GRE_over_IPSec
rule 0 permit gre source 192.168.1.254 0 destination 192.168.2.254 0
#
ike key chian test
pre-share-key address 8.8.8.2 255.255.255.255 key cipher $c$3SvbBjWYfgqcf
iUeHLegpqasjC8OqUQwwtIg==
#
ip route-static192.168.2.1 Tunnel1
C.interface GigabitEthemet 1/0/0
port link-mode route
combo enable copper
ip address 172.1.169.12 255.255.255.0
ipsec apply policy test
#
ipsec policy test 1 isakmp
transfrom-set test
security acl 3010
remote-address 172.1.170.254
ike-profile test
#
acl advanced 3010
description GRE_over_IPSec
rule 0 permit gre source 172.1.169.12 0
destination 172.1.170.254 0
#
ike keychian test
pre-share-key address 172.1.170.254 255.255.255.255 key cipher $c$3SvbBjWYfgq cfUeHLegpqasjC8OqUQwwtlg==
#
ip route-static 192.168.2.1 Tunnel1
D.interface GigabitEthemet 1/0/0
port link-mode route
combo enable copper
ip address 172.1.169.12 255.255.255.0
ipsec apply policy test
#
ipsec policy test 1 isakmp
transfrom-set test
security acl 3010
remote-address 172.1.170.254
ike-profile test
#
acl advanced 3010
description GRE_over_IPSec
rule 0 permit gre source 192.168.1.1 0
destination 192.168.2.1 0
#
ike keychian test
pre-share-key address 172.1.170.254 255.255.255.255 key cipher $c$3SvbBjWYfgq
cfUeHLegpqasjC8OqUQwwtlg==
#
ip route-static 192.168.2.1 Tunnel1
组网及组网描述:
请问正确答案是哪个
- 2026-06-02提问
- 举报
-
(0)
答案:C
逐项拆解考点(GRE over IPSec H3C 标准配置)
核心原理回顾
GRE over IPSec:
IPSec 策略绑定在公网物理口(G1/0/0,172.1.169.12),不是 Tunnel 口 → A、B 直接错(AB 把ipsec apply policy test配在 Tunnel1,错误)
ACL 匹配GRE 协议流量:源 = FW1 公网 IP、目的 = FW2 公网 IP(封装前 GRE 头部的源目公网地址:172.1.169.12 ↔172.1.170.254)
IKE 预共享密钥对端地址 = 对端公网 IP:172.1.170.254
静态路由:去往对端内网192.168.2.1出接口 Tunnel1
选项对错分析
A/B 错误
ipsec apply policy test部署在 Tunnel 接口,GRE over IPSec 要求 IPSec 策略应用在外网物理 G1/0/0 口,Tunnel 只封装 GRE、不绑定 IPSec 策略;且 AB 的 IKE 对端地址错写成隧道 IP8.8.8.2。
D 错误
ACL3010 规则源目写成PC 内网地址 192.168.1.1→192.168.2.1;GRE over IPSec 的 ACL 要匹配GRE 报文的公网源目 IP(FW1 公网↔FW2 公网),不是终端私网 IP。
C 全部正确
IPSec 策略绑定公网 G1/0/0;
ACL 放行GRE 172.1.169.12→172.1.170.254(GRE 封装的公网头尾);
IKE 密钥对端地址是 FW2 公网172.1.170.254;
静态路由去往 192.168.2.1 下一跳出 Tunnel1。
关键总结口诀
GRE over IPSec:IPSec 绑物理公网口,ACL 抓 GRE 公网源目,IKE 对等体填公网 IP,路由走 Tunnel。
- 2026-06-03回答
- 评论(0)
- 举报
-
(0)
暂无评论
GRE OVER IPSEC
先配置IPsec,公网接口调用IPSEC,感兴趣留是两个接口对应的公网地址(172的)
再配置GRE,源目IP是公网地址,192 的路由指向 GRE隧道
A、B: 在GRE隧道调用ipsec,不对
D、感兴趣流不对
CD都存在一个问题,没配置GRE隧道,但是矮子里拔大个,选C
- 2026-06-03回答
- 评论(0)
- 举报
-
(0)
暂无评论
核心原理解析
- GRE 隧道的作用:先在两端建立一条虚拟的 GRE 隧道(Tunnel 接口),负责封装业务数据。
- IPsec 的作用:IPsec 并不直接加密业务数据,而是负责加密“GRE 封装后的数据包”。
- ACL 的关键:因为 IPsec 加密的是 GRE 报文,所以安全 ACL(security acl)必须匹配 GRE 协议,并且源目地址是两端物理接口的公网 IP 地址。
选项逐一排查
- A选项(正确):
- 配置位置:在
interface Tunnel1下应用了ipsec apply policy test,这是 GRE over IPsec 的标准做法。 - ACL 匹配:
acl advanced 3010中使用了rule 0 permit gre,且源目地址是两端的物理接口 IP(172.1.169.12和172.1.170.254)。这完美契合了“IPsec 保护 GRE 隧道流量”的逻辑。 - 其他配置:Tunnel 接口配置了正确的源目地址,并配置了指向对端内网的静态路由(
ip route-static 192.168.2.1 Tunnel1),整体逻辑严密。
- 配置位置:在
- B选项(错误):
- ACL 匹配错误:虽然它也在 Tunnel 接口下应用了 IPsec 策略,但其 ACL 3010 匹配的是内网 IP(
192.168.1.254和192.168.2.254)。在 GRE over IPsec 场景下,IPsec 看不到原始的内网 IP,它只能看到外层的 GRE 报文,因此该 ACL 无法匹配到需要加密的流量。
- ACL 匹配错误:虽然它也在 Tunnel 接口下应用了 IPsec 策略,但其 ACL 3010 匹配的是内网 IP(
- C选项(错误):
- 配置位置错误:它将
ipsec apply policy test直接应用在了物理接口GigabitEthernet 1/0/0上。这种配置通常用于传统的站点到站点 IPsec VPN(不带 GRE 封装)。 - 路由错误:虽然 ACL 匹配了 GRE 协议和物理接口 IP(这是对的),但最后的静态路由
ip route-static 192.168.2.1 Tunnel1指向了 Tunnel1 接口。然而在该选项中,Tunnel1 接口根本没有被创建和配置,路由黑洞会导致通信失败。
- 配置位置错误:它将
- D选项(错误):
- 配置位置错误:与 C 选项一样,IPsec 策略应用在了物理接口上,且没有配置 GRE Tunnel 接口。
- ACL 匹配错误:其 ACL 3010 匹配的是内网 IP 的 GRE 流量,这在逻辑上是完全行不通的。
- 2026-06-03回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论