ipsec over gre 和 gre over ipsec的具体区别

IPSEC over GRE 和 GRE over IPSEC 区别

1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的
       IPSEC over GRE：acl匹配的就是业务流
2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址
      IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC：ipsec policy应用在本地物理接口上
      IPSEC over GRE：ipsec policy应用在本地tunnel接口上

4.、  对于GRE VPN,若公网地址不固定,则应在tunnel中的源和目的参数选用本地loopback接口地址，公网打通Loopback，
       如果GRE路由选用OSPF等动态路由协议发布千万不要发布loopback接口地址，会引起表内自环路由动荡

5、 对于IPSEC VPN，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式，或DHCP分配等），则两端IKE对          等体需配置为野蛮模式，且公网地址不固定端需使用id-type name （默认是id-type ip）、remote name(ike local name默认是网关设备名称)和          remote addess方式，IPSEC流量触发为有固定公网地址端单向触发；

6、 对于IPSEC VPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，必须使用ESP封装方式,不能用AH封装也不能AH+ESP,且ipsec的安全提议必须工作在隧道模式（默认），而不能为传输模式；也由私网内部(藏在NAT后方)触发,在两端配置nat-traversal
如果本网关也是nat设备需要deny掉Ipsec的流防止nat修改ipsec流导致ipsec失败

7、 对于总部多分支机构的情况下做IPSEC VPN，总部端可以通过IPSEC的安全模板来实现，然后在IPSEC的安全策略中调用安         全模板，安全模板中可以不定义匹配的安全ACL，此时IPSEC的数据流触发为分支机构端单向触发。配置：
      ipsec policy 1 1 isakmp template 前一个1为策略名字，后一个1为结点号（顺序号）安全模板的意思就是自动配置IPSEC ACL流配置，

8、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况，在配置完成IPSEC VPN后，一定要触发一下保护的流量（ping命      令），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa  

您好，请知：

IPSec是现网中常用的VPN技术，也经常和GRE隧道用来互相嵌套；很多人对其中的一些原理并不是很清楚，本文结合具体现网经验（H3C），总结出两者之间的差异，望有所收获。

 ———— / BEGIN / ————

首先是清晰的配置区别，如下：

通俗来说，GRE over IPSec是将GRE流量作为私网流量进行加密，GRE隧道的建立以及隧道中传输的流量都会被加密；而IPSec over GRE是在GRE隧道建立的基础之上，进行私网数据的加密，与普通的IPSec相比，区别仅仅是私网流量从哪转发就从哪进行加密。纯IPSec流量从公网接口转发，将策略应用在公网接口；IPSec over GRE只是因为私网流量从隧道转发，将策略应用在了Tunnel接口下。

以下是一些常见的注意事项：

1、对于GREVPN，若公网地址不固定，则应在Tunnel中的源和目的参数选用本地Loopback接口地址，公网打通Loopback，如果GRE路由选用OSPF等动态路由协议发布，一定不能发布Loopback接口地址，否则会引起路由表表内自环，路由动荡，接口频繁Up/Down。

2、对于IPSecVPN，若一端公网地址固定，一端公网地址不固定（如通过PPPoE拨号方式，或DHCP分配等），则需要采用野蛮模式，且公网地址不固定端需使用id-type name (默认是id-type ip)、remote name(ike local name默认是网关设备名称)和remote addess方式，IPSec流量触发为公网地址不固定一端主动触发。

对于v7设备，id-type name == identity fqdn；id-type ip == identity address；ike local name== ike identity fqdn。

2、对于IPSecVPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，必须使用ESP封装方式（默认），不能用AH封装也不能AH+ESP，且IPSec的安全提议必须工作在隧道模式（默认），而不能为传输模式；隧道也由私网内部（藏在NAT后方）触发，在两端配置nat-traversal（v5需配置，v7默认）。

如果本网关也是NAT设备，则需要Deny掉IPSec的流防止NAT修改IPSec流导致IPSec失败（纯IPSec必须注意此项）。

4、对于总部多分支机构的情况下做IPSecVPN，总部端必须通过IPSec的安全模板来实现，然后在IPSec的安全策略中调用安全模板，安全模板中可以不定义匹配的安全ACL，此时IPSec的数据流触发为分支机构端单向触发。配置如：

ipsec policy 1 1 isakmp template 前一个1为策略名字，后一个1为结点号（顺序号）安全模板的意思就是自动配置IPSec ACL流配置。

5、可以通过dispaly ike sa和display ipsec sa来查看sa建立情况，在配置完成IPSec VPN后，一定要触发一下保护的流量（ping-a 源地址 目标地址），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa。