由於GRE隧道不提供安全性保障,使用ipsec加密gre隧道是現網中比較常用的VPN部署,它的加密方式分爲兩種,可以使用IPsec來加密隧道進行傳輸,叫做IPsec over GRE,也可以加密數據流後從隧道傳輸,稱爲GRE over IPsec。下面將配置一個簡單的IPsec over GRE實驗;
實驗拓撲:
要求:
公司1和公司2之間通過GRE隧道傳輸192.168.10.0/24和172.16.20.0/24的數據流;
使用ipsec協議加密GRE隧道;
1)ip,路由配置、端口加入區域配置如圖,爲了實驗的方便,在兩臺防火牆之間放行所有流量;
2)測試兩端公網的連通性
3)兩端配置GRE隧道實現內網間通信;
FW1配置:
interface Tunnel1 //創建隧道口1
gre checksum //開啓GRE校驗
gre key 123456 //隧道key爲123456
tunnel-protocol gre //封裝GRE協議
ip address 192.168.200.1 255.255.255.0
quit
#
firewall zone untrust
set priority 5
add interface Tunnel1 //將隧道口加入untrust區域
quit
FW2配置除了ip外與FW1的一致,上訴參數配置完後會被隱藏掉
4)測試GRE隧道的連通性;
配置靜態路由去往對端內網的流量從tunnel1口出去;
測試兩個內網間的通信;
5)配置ipsec加密隧道
由於GRE是基於公網ip建立的,數據的傳輸也在公網上,所以加密GRE隧道實際上是加密兩端公網流量間的GRE流量;
fw1
#
acl number 3000
rule 5 permit gre source 1.1.1.1 0 destination 2.2.2.2 0 //加密隧道兩端通過的GRE流量
#
ike proposal 10 //創建ike提議
#
ike peer fw2 //創建ike鄰居,名字爲fw2
pre-shared-key huawei123 // 配置共享密鑰爲huawei123
ike-proposal 10 //配置ike提議
remote-address 2.2.2.2 //配置遠端地址
#
ipsec proposal pro_1 //配置ipsec提議
#
ipsec policy pol_1 1 isakmp //配置ipsec動態策略
security acl 3000
ike-peer fw2
proposal pro_1
local-address 1.1.1.1
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ipsec policy pol_1 //將ipsec策略綁定在對外的公網接口上;
fw2的配置與fw1類似,這裏就不做多說明了,但要注意流量的去向和密鑰的一致性。
6)測試隧道,抓個包看看
用PC1 ping PC2,在wireshare抓包
抓包後,只能看到加密的隧道流量,不會顯示爲ICMP流量;
在fw2上我們可以清楚的看到加密的GRE流量進入防火牆;