GRE over IPSec

目录

一、先了解概念

(1)前言：

(2)什么是GRE?

(3)什么是IPSec？

(3.1)IPSec是如何运行的？

二、GRE over IPSec 配置篇

 (1)GRE配置

 (2)IPSec配置  

(2.1)IPSec的配置命令解析

(2.2)IPSec配置步骤：

           (3)防火墙安全策略的配置

三、总结

---

一、先了解概念

(1)前言：

       IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了
       GRE over IPSec  最简单理解就是GRE管怎么将数据传给接受者，IPSec管安全、加密、身份验证之类的部分，这两个结合就是GRE over IPSec 而中间over的意思就是

(2)什么是GRE?

     通用路由封装协议（General Routing Encapsulation，GRE）是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、IPv4、IPv6等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。
       GRE隧道协议属于网际协议组IP协议中的47号协议，为网络从一个网络传输到另一个网络的数据包提供了一种可靠的通道。它不改变数据包的头信息，而只是将原始数据包封装在一个新的数据包中，从而便于对原始数据包进行传输。
      GRE就是通过一个隧道将流量传给接收者，这个隧道我的理解就像是在一个专门的管道，A和B两个内网之间或者是要跨越其他类型的网络进行通信，AB之间建立一个专门的线路可以解决但是成本太高于是建立一个虚拟的逻辑上的道路，这个逻辑虚拟的道路就是AB中间的网络上通信加着一个使AB都可以读懂的标记，就像是两层包装一样外边是GRE里边包着的是数据，于是这个隧道形成，A和B可以愉快的在一起玩了。

其实说再多不如看图：记住数据的封装和逻辑上的隧道就可以理解了。

这时解决了互通的问题，但是安全数据加密呢？这时就需要IPSec来保证这个GRE隧道安全可靠了

(3)什么是IPSec？

      前边说IPSec就是管安全这些的其实他并不是一个协议而是一丛一簇协议组成的一个架构，可以说就是一个专门负责数据验证安全加密的一个体系或者说一个相关部门。
      官方说法：IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。
       总之作用就是加密防篡改完整性
如图：（他有很多专门搞安全加密验证这些的协议）

 

(3.1)IPSec是如何运行的？

   IPSec隧道建立过程中需要协商IPSec SA（Security Association，安全联盟），IPSec SA一般通过IKE协商生成。IKE的作用是验证对等体是合法设备，参数协商，生成密钥，这样ESP安全协议结合IKE生产的密钥进行加密和完整性校验。
IKE协商分为两个阶段 ：

首先阶段一：
       验证对等体身份是否合法通过共享密钥，交换明文数据进行一个DH算法生成一个两边一致的钥匙，保证钥匙相同，对等体身份合法
然后阶段二：
        定义哪些流量需要走VPN，需要被加密，完整性检查以及发给哪个对端。

二、GRE over IPSec 配置篇

    拓扑图：

备注：FW1/2到路由器配置缺省路由，FW1/2上的外网接口和GREtunnel配置OSPF用于保证传输链路连接

 (1)GRE配置

#FW1
interface Tunnel0----进入隧道0这个0就是个编号 
 ip address 10.1.0.12 255.255.255.0----配置隧道的IP地址
 tunnel-protocol gre----配置隧道的类型GRE
 source GigabitEthernet1/0/0----隧道流量源，隧道从哪里出发
 destination 155.1.121.13----隧道流量目的，隧道的终点目的地
#FW2
interface Tunnel0
 ip address 10.1.0.13 255.255.255.0
 tunnel-protocol gre
 source GigabitEthernet1/0/0
 destination 155.1.121.12

(2)IPSec配置  

#FW1/FW2
acl number 3000
 rule 5 permit gre----规定这条ACL允许通过的流量走，受IPSec保护进行加密，完整性验证
#
ipsec proposal LAN_SET
 encapsulation-mode transport----传输模式：当有其他协议提供VPN隧道时用传输模式，overIPSec
 transform ah---用来配置IPSec安全提议使用的安全协议---#也可以用esp 这里为展示报文所以AH
 ah authentication-algorithm sha1----//数据完整性检查的算法(SHA1)
#
ike proposal 10----指定引用的IKE安全提议的序号，数值越小，优先级越高。
 encryption-algorithm 3des----//指定加密算法为3DES
 dh group2---- //指定DH算法(生成数据或认证信息的加密密钥)
 authentication-algorithm sha1----//指定完整性检查的算法为SHA1---默认数据
 authentication-method pre-share----//指定VPN对等体验证方式为共享密钥---默认配置
 integrity-algorithm hmac-sha2-256----//指定协商时使用的完整性校验的算法
 prf hmac-sha2-256----//同样是IKE协商里的一个算法
#
ike peer FW-1
 pre-shared-key HUAWEI----//指定共享密钥
 ike-proposal 10----宣告ike-proposal 10
 remote-address 155.1.121.12----//指定VPN对端
#
ipsec policy LAN_MAP 10 isakmp----//利用IKE阶段1的密钥，最后策略决定IPSec的部署
 security acl 3000
 ike-peer FW-1
 proposal LAN_SET
#
interface GigabitEthernet1/0/0 
----#这里注意ipsec策略要应用在出去的端口 而不是GRE的隧道端口，因为是在端口
 ipsec policy LAN_MAP

(2.1)IPSec的配置命令解析

• encryption-algorithm：命令用来配置IKE协商时所使用的加密算法
• dh：命令用来配置IKE协商时所使用的DH（Diffie-Hellman）组
• authentication-algorithm：命令用来配置IKEv2协商时所使用的认证算法
• authentication-method：命令用来配置IKE安全联盟协商时使用的认证方法
• integrity-algorithm ：命令用来配置IKEv2协商时所使用的完整性算法
• prf：命令用来配置IKEv2协商时所使用的伪随机数产生函数的算法
• transform：命令用来配置IPSec安全提议使用的安全协议   
• 备注：华为默认都用IKEv2，思科用IKEv1，现网主要看对接的是什么设备 

(2.2)IPSec配置步骤：

1、IKE-proposal      配置VPN对等体验证方式/DH算法设置/加密算法设置/完整性检查算法
2、IKE PEER          共享密钥/peer iPaddress/绑定IKE-proposal
3、ACL 3000           定义VPN流量 source des IP 
4、IPsec-proposal  设置传输模式/加密算法/完整性检查算法
5、IPsec policy       策略配置 ACL、ike-proposal、IPsec-proposal
6、interface             接口 绑定ipsec policy

 (3)防火墙安全策略的配置

#FW1/FW2
firewall zone dmz----#GRE部署在dmz区域
 set priority 50
 add interface Tunnel0
security-policy
 default action permit
 rule name LOCAL->ANY----#local区域到所有允许
  source-zone local
  action permit
 rule name OUT->LOCAL----#外网到防火墙本地区域就是FW2发起找FW1，FW1发起找FW2
  source-zone untrust
  destination-zone local
  service protocol 51----#这里添加AH协议，#ESP 协议号是50；AH 协议号是51；GRE协议号是47 
  service protocol udp destination-port 500    
  #添加IKE的服务，只有添加了这俩个服务FW才能对外部untrust区域过来的流量进行密钥交换身份验证建立 
  SA，这样GREoverIPSec服务才能执行
  action permit
 rule name DMZ->IN----#dmz到trust区域也就是GRE到主机上的通信
  source-zone dmz
  destination-zone trust
  source-address 10.1.0.0 mask 255.255.0.0---#地址都是10.1.X.X，所以前16位匹配这样比较省事
  destination-address 10.1.0.0 mask 255.255.0.0 
#这里的地址是tunnel10的地址，因为DMZ部署的是GRE tunnel
  action permit
 rule name IN->DMZ----#通信是双向的所以要再写一个主机到GRE的安全策略，即trust区域去往DMZ区域
  source-zone trust  
  destination-zone dmz
  source-address 10.1.0.0 mask 255.255.0.0  
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit
#

(3.1)安全策略示意图：

• 防火墙要求和任意区域都通；
• 外网区域到防火墙本地，即对端发起协商时外部到本地要放行的流量；
• GRE隧道到用户两区域互通，即主机发起的流量在隧道，隧道口在DMZ，反之也是一样

 三、总结

GRE------IPSec-------GRE over IPSec
首先传输路由打通，数据转发流程和数据包结构理清楚，进而做安全策略，IPSec配置就是IKE协商两个阶段：IKE-proposal----IKE peer----IPSec proposal----IPSec policy