华为GRE over IPsec

先建立GRE隧道

[R1]interface  Tunnel  0/0/1   //进入隧道口
[R1-Tunnel0/0/1]tunnel-protocolgre    //封装GRE
[R1-Tunnel0/0/1]source12.1.1.1   //源地址
[R1-Tunnel0/0/1]destination23.1.1.3    //目标地址
[R1-Tunnel0/0/1]ipaddress13.1.1.124    //配置隧道地址
​
[R3]interface  Tunnel  0/0/1   //进入隧道口
[R3-Tunnel0/0/1]tunnel-protocolgre    //封装GRE
[R3-Tunnel0/0/1]source23.1.1.3   //源地址
[R3-Tunnel0/0/1]destination12.1.1.1    //目标地址
[R3-Tunnel0/0/1]ipaddress13.1.1.324    //配置隧道地址
​
[R1]iproute-static20.1.1.024Tunnel0/0/1  //写一条指向隧道的路由
[R3]iproute-static10.1.1.024Tunnel0/0/1 //写一条指向隧道的路由
//GRE配置完后就会产生一条GRE的隧道，并且tunnel口会以直连的方式存在路由表
//IPsec本身没有隧道，所以之前的ipsec调用到出接口上去了
//现在有GRE隧道，就直接在GRE隧道上调用IPsec，既有隧道数据又加密，以保证报文传输的完整性和私密性
//IPsec不需要去匹配感兴趣流了，因为用的就是GRE隧道，传输的数据就是私网业务的传输，只需要对隧道进行加密

IPsec第一阶段

[R1]ikeproposal1     //ike提议号码1
[R1-ike-proposal-1]encryption-algorithm3des-cbc   //配置加密方式
[R1-ike-proposal-1]authentication-algorithmmd5    //配置验证算法
[R1-ike-proposal-1]authentication-methodpre-share   //配置预共享密钥
​
[R3]ikeproposal1     //ike提议号码1
[R3-ike-proposal-1]encryption-algorithm3des-cbc   //配置加密方式
[R3-ike-proposal-1]authentication-algorithmmd5    //配置验证算法
[R3-ike-proposal-1]authentication-methodpre-share   //配置预共享密钥
ike peer指定ike对等体
[R1]ikepeerv1    //配置ike对等体名字为，版本为1，自定义名字
[R1-ike-peer-]pre-shared-keysimplehuawei   //配置预共享密钥，cipher密文加密，simple简单密钥
[R1-ike-peer-]ike-proposal1   //调用ike第一阶段
//不用写对端IP，因为用的是GRE隧道，不需要写对端地址
​
[R3]ikepeerv1    //配置ike对等体名字为，版本为1
[R3-ike-peer-]pre-shared-keysimplehuawei   //配置预共享密钥
[R3-ike-peer-]ike-proposal1   //调用ike第一阶段
​
//预共享密钥要相同

IPsec第二阶段

[R1]ipsecproposalipsec     //ipsec安全提议
[R1-ipsec-proposal-ipsec]encapsulation-modetunnel    //传输模式选择隧道模式
[R1-ipsec-proposal-ipsec]transformesp   //选择认证模式选择esp认证
[R1-ipsec-proposal-ipsec]espencryption-algorithmaes-256  //配置esp加密方式
[R1-ipsec-proposal-ipsec]espauthentication-algorithmsha1   //配置esp认证方式
​
[R3]ipsecproposalipsec     //ipsec安全提议
[R3-ipsec-proposal-ipsec]encapsulation-modetunnel    //传输模式选择隧道模式
[R3-ipsec-proposal-ipsec]transformesp   //选择认证模式选择esp认证
[R3-ipsec-proposal-ipsec]espencryption-algorithmaes-256  //配置esp加密方式
[R3-ipsec-proposal-ipsec]espauthentication-algorithmsha1   //配置esp认证方式
​
//参数也要一致

IPsec安全框架，IPsec的两个阶段要调用到安全框架上

[R1]ipsecprofilegre   //配置安全框架，名字为gre，名字自定义
[R1-ipsec-profile-gre]ike-peer    //调用ike对等体
[R1-ipsec-profile-gre]proposalipsec   //调用ipsec第二阶段
​
[R3]ipsecprofilegre   //配置安全框架，名字为gre，名字自定义
[R3-ipsec-profile-gre]ike-peer    //调用ike对等体
[R3-ipsec-profile-gre]proposalipsec   //调用ipsec第二阶段
//GRE OVER IPsec 因为在隧道调用，所以进入隧道内的流量会被加密，所以无需匹配任何规则
GRE隧道调用IPsec安全框架
[R1]interface  Tunnel0/0/1   //进入隧道口
[R1-Tunnel0/0/1]ipsecprofilegre    //调用ipsec安全框架gre
​
[R3]interface  Tunnel0/0/1   //进入隧道口
[R3-Tunnel0/0/1]ipsecprofilegre    //调用ipsec安全框架gre