IPSec Over GRE和GRE Over IPSec技术

一. 技术介绍

IPsec

主要作用是对数据进行加密，因为他能提供所有有时候被单独用作实现加密的一种方法！IPsec建立的是一个逻辑隧道，并不是真正意义上的隧道！并且不能提供路由功能，因为IPsec不支持非ip流量，也不支持广播（组播）！

GRE

（通用路由封装）能很好的提供一个真正意义上的点对点的隧道，GRE是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题，虽然无法提供加密，但是能很好的支持非ip流量和广播！

GRE over IPSec（使用IPsec来加密隧道进行传输）

GRE封装可以让你的私有IP地址封装在全球可路由的 new IP header GRE header，实现在不同site 之间的互联，但是GRE本身是明文方式，所以需要IPSec来加密保护，一般用传输模式即可，因为是GRE接口，所以支持组播，常用的一般就是这种模式。

IPSec over GRE（加密数据流后从隧道传输）

这种方式在现实中很少用到,一般是通过crypto map 方式建立IPsec, 然后再用GRE来增加一个新的IP header, 因为这种模式IPSec 不是一种接口,只是一种映射,所以不能支组播。

一些区别：

GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的
IPSEC over GRE：acl匹配的就是业务流
GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址
GRE over IPSEC：ipsec policy应用在本地物理接口上
IPSEC over GRE：ipsec policy应用在本地tunnel接口上

二. GRE Over IPSec配置实验（VPN）

项目背景

公司拥有两地办事机构，这里用R1和R3代表，分别拥有各自的子网。出口网关分别从ISP处获得一公网IP（此处分别以10.0.12.1/24和10.0.23.3/24网络代表）。架设一个网络，使得内部子网能够通信。

网络拓扑

为了使得两地可以相互访问内网，冒无疑问的需要使用到VPN技术。为了保证传输的安全性，这里直接使用IPSec 。但是我们知道，IPSec 只能传输单播报文。那么当两地的网络较庞大之时，相互的一条一条互指静态路由，是一个庞大的成本。若要使用路由，由于路由协议是组播报文，这里，使用GRE 插入到IPSec当中，构成GRE Over IPSec，使得组播报文在传输的同时，也能保证安全性。

命令配置

R1接口基本配置：

[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.0.12.1 24
[R1]interface LoopBack0
[R1-LoopBack0]ip address 10.0.1.1
[R1]interface LoopBack1
[R1-LoopBack1]ip address 10.0.11.11 32OSPF设置：
[R1]ospf 10 router-id 1.1.1.1
[R1-ospf-10]area 0
[R1-ospf-10-area-0.0.0.0]network 10.0.12.0 0.0.0.255

R2接口基本配置：

[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.0.12.1 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.0.23.2 24OSPF设置：
[R2]ospf 10 router-id 2.2.2.2
[R2-ospf-10]area 0
[R2-ospf-10-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R2-ospf-10-area-0.0.0.0]network 10.0.23.0 0.0.0.255

R3接口基本配置：

[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24
[R3]interface LoopBack0
[R3-LoopBack0]ip address 10.0.3.3 32
[R3]interface LoopBack1
[R3-LoopBack1]ip address 10.0.33.33 32OSPF设置：
[R3]ospf 10 router-id 3.3.3.3
[R3-ospf-10]area 0
[R3-ospf-10-area-0.0.0.0]network 10.0.23.0 0.0.0.255

R1和R3配置GRE链路：该GRE链路用来承载AR1和AR3之间的OSPF路由

R1:
[R1]interface Tunnel 0/0/0
[R1-Tunnel0/0/0]ip address 100.1.1.1 24
[R1-Tunnel0/0/0]tunnel-protocol gre
[R1-Tunnel0/0/0]source 10.0.12.1
[R1-Tunnel0/0/0]destination 10.0.23.3R3:
[R3]interface Tunnel 0/0/0
[R3-Tunnel0/0/0]ip address 100.1.1.2 24
[R3-Tunnel0/0/0]tunnel-protocol gre
[R3-Tunnel0/0/0]source 10.0.23.3
[R3-Tunnel0/0/0]destination 10.0.12.1

使用IPSec 来加密GRE隧道:

R1:
[R1]acl number 3000
[R1-acl-adv-3000]rule 0 permit ip source 10.0.12.0 0.0.0.255 destination 10.0.23
.0 0.0.0.255
[R1]ipsec proposal huawei
[R1]ike proposal 1                                    引用IKE安全提议
[R1]ike peer r3 v2                                    创建IKE Peer（名称），并进入IKE Peer视图
[R1-ike-peer-r3]pre-shared-key simple huawei123       认证方式为预共享密钥验证，配置预共享密钥
[R1-ike-peer-r3]ike-proposal 1
[R1-ike-peer-r3]remote-address 10.0.23.3              配置对端IP地址或地址段
[R1]ipsec policy huawei 1 isakmp
[R1-ipsec-policy-isakmp-huawei-1]security acl 3000
[R1-ipsec-policy-isakmp-huawei-1]ike-peer r3
[R1-ipsec-policy-isakmp-huawei-1]proposal huaweiR3:
[R3]acl 3000
[R3-acl-adv-3000]rule 0 permit ip source 10.0.23.0 0.0.0.255 destination 10.0.12
.0 0.0.0.255
[R3]ipsec proposal huawei
[R3]ike proposal 1
[R3]ike peer r1 v2
[R3-ike-peer-r1]pre-shared-key simple huawei123
[R3-ike-peer-r1]ike-proposal 1
[R3-ike-peer-r1]remote-address 10.0.12.1
[R3]ipsec policy huawei 1 isakmp
[R3-ipsec-policy-isakmp-huawei-1]security acl 3000
[R3-ipsec-policy-isakmp-huawei-1]ike-peer r1
[R3-ipsec-policy-isakmp-huawei-1]proposal huawei

配置基于Tunnel隧道的OSPF进程来传输路由：当开启了路由协议或者组播，例如OSPF，只要将该GRE的Tunnel口宣告进入OSPF进程，则触发了IPSec的感兴趣流，即可对数据进行保护。

R1:
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.0.11.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255R3:
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.33.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255