当前您所在的位置:IOS/安卓通用版v3.5.2.6 > 新闻中心 > 东方森太新闻

GRE over IPSec技术原理

 最后更新:2021-08-11  浏览:2794次

  GRE原理 

 GRE简介:

General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。

GRE报文封装:

图:GRE报文格式
 

其中:

GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。

GRE首部各字段解释如下:

 

图:GRE报文抓包示例


 GRE的实现–隧道接口:

隧道接口(Tunnel接口)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。

隧道接口必须配置的四项:封装类型、隧道接口地址、源地址、目的地址。

 GRE的应用场景:


 GRE的优缺点:

优点:

 

缺点:~薄弱的安全性

 

  GRE over IPSec 

 IPSec的优缺点分析:

IPSec缺点:

 

IPSec的优点 —较强的安全性:

 

 GRE over IPSec:

GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如视频会议或动态路由协议消息等。

 

当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头,导致报文长度更长,更容易导致分片,所以推荐采用传输模式GRE over IPSec。

图:GRE over IPSec报文封装和隧道协商过程

 

IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用IPSec安全策略的接口地址。
IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址,目的地址为GRE隧道的目的端地址。


  GER over IPSec的两种封装模式:

(1) 传输模式 -------建议采用

(2) 隧道模式

 

  GRE over IPSec配置实验

实验拓扑图:

FW1和FW2之间建立GRE over IPSec隧道,使PC1网络好PC2网络用户可通过隧道互相访问。

图:GRE Over IPSec实验拓扑图

 

 实验一:IPSec策略在物理接口调用:

配置思路:


安全策略的放行:

图:安全策略的放行

注意:关于需不需要放行gre流量的问题。
因为gre头部是在esp头部或公网IP头部中封装的,实际流量会被esp加密传输。应该是不需要放行gre的,但是在实际测试中需要放行。
在华为防火墙实际测试中,放行gre流量后IPSec SA可以正常建立,双方的主机也可以互相通信。而不放行gre的话,IPSec SA可以正常建立,但是双方的主机不能互相通信。


检查测试:

图:PC1与PC2的连通性测试

 

图:IPSec SA状态

 

 实验二:IPSec策略在Tunnel口调用:

配置思路:

注意:当在Tunnel口调用IPSec后,可以成功建立IPSec SA,需要流量的触发。但是在防火墙的Web管理界面的IPSec监控中看不到有关IPSec的信息,只能通过命令行查看。
在配置IPSec Profile(模板)的时候:

在Tunnel口上绑定IPSec策略时,放行gre的流量的方向是,从vpn --> local的方向的流量。

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

转自:CSDN博主

下一篇2021服贸会:数字经济美好未来
上一篇IPv6