1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031068USG6000V1R1V1.0開(kāi)發(fā)/優(yōu)化者時(shí)間審核人開(kāi)發(fā)類(lèi)型（新開(kāi)發(fā)/優(yōu)化）戴鑫2014-08-15王銳開(kāi)發(fā)丁祖賢2015-03-20優(yōu)化本頁(yè)不打印HC13031068 GRE Over IPsec 目標(biāo)學(xué)完本課程后，您將能夠:描述GRE及GRE Over IPSec的基本原理；掌握GRE及GRE Over IPSec的技術(shù)細(xì)節(jié)；掌握GRE及GRE Over IPSec的配置。 目錄GRE技術(shù)講解GRE OVER IPSec技術(shù)的原理和實(shí)現(xiàn)GRE協(xié)議概述Generic Routing EncapsulationOSI 第三層

2、隧道協(xié)議支持多種上層協(xié)議，使用一個(gè)新的IP頭來(lái)封裝其他OSI的第三層協(xié)議(e.g.，IP，IPX，AppleTalk)，使用IP傳送時(shí)，協(xié)議號(hào)為47支持組播GRE相關(guān)的參考標(biāo)準(zhǔn)與協(xié)議RFC1701：Generic Routing Encapsulation（GRE）RFC1702：Routing Encapsulation over IPv4 networksRFC2784：Generic Routing Encapsulation (GRE)draft-ietf-l3vpn-greip-2547-02：Use of PE-PE GRE or IP in BGP/MPLS IP VPNsdra

3、ft-ietf-mpls-in-ipor-gre-08：Encapsulating MPLS in IP or Generic Routing Encapsulation (GRE)GRE協(xié)議概述INTERNET總部GRE Tunnel防火墻A防火墻BIPX網(wǎng)絡(luò)IPX網(wǎng)絡(luò)鏈路層GREIPXIPPayloadFlagsProtocol Type最少4個(gè)字節(jié)GRE (Generic Routing Encapsulation): 是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP, IPX, AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE報(bào)文頭的格式01234

4、567890123456789012345678901CRKsSRecureFlagsVerProtocol TypeChecksum (optional)Offset (optional)Key (optional)Sequence Number (optional)Routing (optional)前4 字節(jié)是必須出現(xiàn)的。第520字節(jié)將根據(jù)第1字節(jié)的相關(guān)bit位信息，可選出現(xiàn)。 GRE頭部的長(zhǎng)度將影響Tunnel口的mtu值。GRE的實(shí)現(xiàn)-隧道接口目的地址 隧道接口IP地址 封裝類(lèi)型 源地址 隧道接口（Tunnel接口）是為實(shí)現(xiàn)報(bào)文的封裝而提供的一種點(diǎn)對(duì)點(diǎn)類(lèi)型的虛擬接口，與Loopbac

5、k接口類(lèi)似，都是一種邏輯接口。 GRE的實(shí)現(xiàn)-封裝與解封裝FW AFW BGRE TUNNELNext hop: tunnel協(xié)議字段: 47封裝解封GRE典型應(yīng)用場(chǎng)景描述INTERNET總部GRE TunnelE0/0/010.1.1.1/24E1/0/0192.13.2.1/24E1/0/0131.108.5.2/24E0/0/010.1.3.1/24防火墻A防火墻B運(yùn)行IP協(xié)議的兩個(gè)子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過(guò)在防火墻A和防火墻 B之間使用三層隧道協(xié)議GRE實(shí)現(xiàn)互聯(lián)。GRE配置思路基礎(chǔ)配置配置tunnel邏輯接口配置到對(duì)端網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)段的路由放開(kāi)相應(yīng)的域間規(guī)則GRE的優(yōu)缺點(diǎn)分析GRE的優(yōu)點(diǎn)支持

6、多種上層協(xié)議支持組播GRE協(xié)議的缺點(diǎn)，薄弱的安全性無(wú)加密支持較弱的身份認(rèn)證機(jī)制較弱的數(shù)據(jù)完整性校驗(yàn)IPSec的優(yōu)缺點(diǎn)分析IPSec的缺點(diǎn)只支持IP協(xié)議的封裝，不支持多種上層協(xié)議不支持組播IPSec協(xié)議的優(yōu)點(diǎn)，較強(qiáng)的安全性支持加密支持身份認(rèn)證機(jī)制支持?jǐn)?shù)據(jù)完整性校驗(yàn)GRE Over IPSec的原理ESPGREIPIPPayloadIPESPESPGREIPPayloadIPESPTransport ModeIPIP=加密內(nèi)容加密內(nèi)容Tunnel ModeGRE Over IPSec配置思路基礎(chǔ)GRE tunnel邏輯接口配置IPSec VPN配置到對(duì)端網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)段的路由放開(kāi)相應(yīng)的域間規(guī)則GRE

7、Over IPSec配置INTERNET總部GRE TunnelE0/0/010.1.1.0/24E1/0/020.1.1.1/24E1/0/030.1.1.2/24E0/0/010.2.1.0/24防火墻A防火墻BTunnel40.1.1.1Tunnel40.1.1.2分支IPsec Tunnel完成USG_A、USG_B的接口基本配置、安全域間包過(guò)濾配置和路由配置。在USG_A和USG_B上分別創(chuàng)建Tunnel接口，并配置Tunnel接口的源地址和目的地址。在USG_A和USG_B上分別配置IPSec安全提議、IKE安全提議和IKE對(duì)等體。在USG_A和USG_B上將出接口指定為T(mén)unne

8、l接口，將流量引入到隧道中。GRE Over IPSec配置（1）USG A防火墻配置（GRE）:1、對(duì)于USG系列，將接口加入安全區(qū)域，并配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常(略)2、配置GRE隧道接口USG_A interface tunnel 1 USG_A-Tunnel1 ip address 40.1.1.1 255.255.255.0 USG_A-Tunnel1 tunnel-protocol gre USG_A-Tunnel1 source 20.1.1.1 USG_A-Tunnel1 destination 30.1.1.2 3、在隧道的源端設(shè)備和目的端設(shè)備上配置Tunnel

9、轉(zhuǎn)發(fā)路由。USG_A ip route-static 10.2.1.0 255.255.255.0 tunnel 1 Tunnel接口可以加入到任意一個(gè)安全區(qū)域。建議當(dāng)Tunnel接口和源端接口屬于同一區(qū)域。（源端地址所屬的接口）不在同一安全區(qū)域中時(shí)，需要配置域間包過(guò)濾，使兩個(gè)安全區(qū)域能夠互相訪(fǎng)問(wèn)。USG B防火墻配置（GRE）:1、對(duì)于USG系列，將接口加入安全區(qū)域，并配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常(略)2、配置GRE隧道接口USG_A interface tunnel 1 USG_A-Tunnel1 ip address 40.1.1.2 255.255.255.0 USG_A-T

10、unnel1 tunnel-protocol gre USG_A-Tunnel1 source 30.1.1.2USG_A-Tunnel1 destination 20.1.1.1 3、在隧道的源端設(shè)備和目的端設(shè)備上配置Tunnel轉(zhuǎn)發(fā)路由。USG_A ip route-static 10.2.1.0 255.255.255.0 tunnel 1GRE Over IPSec配置（2）USG A防火墻配置（IPsec）:1、ACLUSG_A acl number 3000 USG_A-acl-adv-3000 rule permit ip source 20.1.1.1 0 destinatio

11、n 30.1.1.2 02、配置ike peerUSG_A ike peer USG_BUSG_A-ike-peer-USG_B pre-shared-key 12345 USG_A-ike-peer-USG_B remote-address 30.1.1.2USG B防火墻配置（IPsec）:1、ACLUSG_B acl number 3000 USG_B-acl-adv-3000 rule permit ip source 30.1.1.2 0 destination 20.1.1.1 02、配置ike peerUSG_B ike peer USG_AUSG_B-ike-peer-USG_

12、A pre-shared-key 12345 USG_B-ike-peer-USG_A remote-address 20.1.1.1GRE Over IPSec配置（3）USG A防火墻配置（IPsec）:3、配置IPsec proposalUSG_A ipsec proposal p14、配置IPsec PolicyUSG_A ipsec policy policy1 1 isakmp USG_A-ipsec-policy-isakmp-policy1-1 security acl 3000 USG_A-ipsec-policy-isakmp-policy1-1 ike-peer USG_

13、BUSG_A-ipsec-policy-isakmp-policy1-1 proposal p1USG_A interface GigabitEthernet 0/0/3 USG_A-GigabitEthernet0/0/3 ipsec policy policy1USG B防火墻配置（IPsec）:3、配置IPsec proposalUSG_B ipsec proposal p14、配置IPsec PolicyUSG_B ipsec policy policy1 1 isakmp USG_B-ipsec-policy-isakmp-policy1-1 security acl 3000 USG_B-ipsec-policy-isakmp-policy1-1 ike-peer USG_AUSG_B-ipsec-policy-isakmp-policy1-1 proposal p1USG_B interface GigabitEthernet 0/0/3 USG_A-GigabitEt