• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

一端地址不固定如何实现GRE并使用IPSEC保护

2022-10-11 发表
  • 0关注
  • 0收藏 1223浏览
吴秀涛
吴秀涛 五段
粉丝:6人 关注:1人

组网及说明


问题描述

需求:

R1有固定IPR2是拨号上网,需要实现R1R2建立OSPF实现内网的多网段互通且跑组播业务

配置思路:

使用IPSEC野蛮模式将R1R2的环回口打通,通过环回口建立GRE隧道实现

过程分析

主要配置:

R1

#

acl advanced name IPSEC12

 rule 2 permit ip source 1.1.1.1 0 destination 2.2.2.2 0

#

acl advanced name NAT

 rule 2 deny ip source 1.1.1.1 0 destination 2.2.2.2 0

 rule 5 permit ip

#

interface GigabitEthernet0/1

 port link-mode route

 combo enable copper

 ip address 10.10.12.2 255.255.255.252

 nat outbound name NAT

 ipsec apply policy 1

#

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

#

ip route-static 0.0.0.0 0 GigabitEthernet0/1 10.10.12.1

#

ipsec transform-set 12

 esp encryption-algorithm 3des-cbc aes-cbc-128

 esp authentication-algorithm md5

#

ipsec policy-template 1 1

 transform-set 12

 security acl name IPSEC12

 local-address 10.10.12.2

 ike-profile 12

#

ipsec policy 1 1 isakmp template 1

#

 ike identity fqdn R1

#

ike profile 12

 keychain 12

 exchange-mode aggressive

 local-identity fqdn R1

 match remote identity fqdn R2

 match local address GigabitEthernet0/1

 proposal 1

#

ike proposal 1

 encryption-algorithm 3des-cbc

 dh group2

 authentication-algorithm md5

#

ike keychain 12

 match local address 10.10.12.2

 pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$15I1sJQZilIbSRI0rxoELx9QAjJiCw==

#

interface Tunnel1 mode gre

 ip address 192.168.12.1 255.255.255.0

 ospf 1 area 0.0.0.0

 source 1.1.1.1

 destination 2.2.2.2

#

R2

#

acl advanced name IPSEC21

 rule 1 permit ip source 192.168.20.0 0.0.0.255 destination 192.1                                                                                                                            68.10.0 0.0.0.255

 rule 2 permit ip source 2.2.2.2 0 destination 1.1.1.1 0

#

acl advanced name NAT

 rule 1 deny ip source 192.168.20.0 0.0.0.255 destination 192.168                                                                                                                            .10.0 0.0.0.255

 rule 2 deny ip source 2.2.2.2 0 destination 1.1.1.1 0

 rule 5 permit ip

#

ipsec transform-set 21

 esp encryption-algorithm 3des-cbc aes-cbc-128

 esp authentication-algorithm md5

#

ipsec policy 2 1 isakmp

 transform-set 21

 security acl name IPSEC21

 remote-address 10.10.12.2

 ike-profile 21

#

 ike identity fqdn R2

#

ike profile 21

 keychain 21

 exchange-mode aggressive

 local-identity fqdn R2

 match remote identity address 10.10.12.2 255.255.255.252

 match local address Dialer1

 proposal 1

#

ike proposal 1

 encryption-algorithm 3des-cbc

 dh group2

 authentication-algorithm md5

#

ike keychain 21

 match local address 20.20.12.2

 pre-shared-key address 10.10.12.2 255.255.255.252 key cipher $c$                                                                                      3$B0MzOjTZ40lSqvNRs9ff7QW0s/UBCA==

#

interface Tunnel1 mode gre

 ip address 192.168.12.2 255.255.255.0

 ospf 1 area 0.0.0.0

 source 2.2.2.2

 destination 1.1.1.1

#

解决方法

1、正常的GRE over ipsec组网是两端有公网IPGRE的底层地址使用两端公网的IPIPSEC兴趣流是两端公网IP,数据转发流程:

组网:

PC1192.168.1.1——R111.11.11.11——ISP——22.22.22.22R2——PC2192.168.2.1

PC1访问PC2的将数据包发给R1R1查路由表发现目的IP192.168.2.1)需要从GRE接口出去,数据到达GRE接口进行GRE封装,将数据包的源IP改成11.11.11.11,目的IP改成22.22.22.22,此时设备再查路由表发现想要去目的IP 22.22.22.22需要将数据包送到物理接口,物理接口调用了IPSEC查询是否匹配IPSEC兴趣流,如果匹配进行IPSEC封装,在GRE的基础上再封装一层IPSEC,源IP11.11.11.11,目的IP22.22.22.22。数据包到达R2后首先进行IPSEC解封装,再把GRE解封装把真实的私网IP数据包恢复发给PC2

 

2、如果一端是拨号,一端固定IP去实现GRE Over IPSEC,因为GRE的配置无法配置域名相关所以无法用DDNS,考虑到GRE的源目IP可以是私网,例如常用环回口,那么首先使用IPSEC的野蛮模式打通环回口,然后GRE的源目IP使用环回口去建立。

组网:

PC1192.168.1.1——R111.11.11.11——ISP——pppoeR2——PC2192.168.2.1

通过IPSEC野蛮模式将R1/2的环回口打通,即2.2.2.21.1.1.1可以互通,再设置R1 GRE源目分别是1.1.1.12.2.2.2R2 GRE源目IP分别是2.2.2.21.1.1.1PC1PC2通信和普通的GRE Over IPSEC流程一样,先查路由表送到GRE口进行GRE封装,GRE封装完后源目IP变成环回口,查表去往目的IP需要送到物理接口再匹配IPSEC,所以公网也是ESP加密数据。

 

3、无论是哪一种,都和GRE的一个特性有关,无需destination IP可达逻辑接口才会UP,只要本端有去往des ip的路由(明细或者默认都可以)那么tunnel接口会UP,那么只需将私网互访的路由引到tunnel接口,那么私网互访的数据先发到tunnel口进行GRE封装再送到物理接口进行IPSEC封装再发往公网。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作