计算机网络-GRE Over IPSec实验

一、概述

前情回顾:上次基于IPsec VPN的主模式进行了基础实验,但是很多高级特性没有涉及,如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等,以后继续学习吧。

前面我们已经学习了GRE可以基于隧道口实现分支互联,然后又简单学习了IPSec VPN可以实现加密传输,但是它们都有各自的特点,GRE是明文传输,安全性不足,IPSec不支持组播路由协议,因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。

GRE over IPsec可利用GRE和IPsec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时,先进行GRE封装,再进行IPsec封装。

GRE Over IPsec
GRE Over IPsec

GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头,导致报文长度更长,更容易导致分片,所以GRE over IPsec推荐采用传输模式

二、实验配置

在上次的IPSec VPN的基础上加上GRE的配置,原理基本一致,沿用GRE隧道接口、IPSec的加解密方式。

实验拓扑
实验拓扑

配置步骤:

  • 配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。
  • 配置GRE Tunnel接口。
  • 配置IPSec安全提议,定义IPSec的保护方法。
  • 配置IKE对等体,定义对等体间IKE协商时的属性。
  • 配置安全框架,并引用安全提议和IKE对等体。
  • 在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。
  • 配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。

配置命令:

分部:
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# Ike peer对等体,这里不需要对端地址
ike peer zongbu v1pre-shared-key simple KL!@#258ike-proposal 1# 创建一个安全框架,调用ike peer 和ipsec 安全提议
ipsec profile zongbuike-peer zongbuproposal 1
#
interface GigabitEthernet0/0/0ip address 183.14.5.21 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 192.168.1.254 255.255.255.0 # 创建一个隧道接口,分配一段地址,隧道协议为gre,源目地址分别是两端的公网地址,在接口调用安全框架
interface Tunnel0/0/0ip address 10.0.0.1 255.255.255.0 tunnel-protocol gresource 183.14.5.21destination 220.103.54.39ipsec profile zongbu# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20总部:
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# ike 对等体
ike peer fengbu v1pre-shared-key simple KL!@#258ike-proposal 1# ipsec 安全框架
ipsec profile fengbuike-peer fengbuproposal 1
#
interface GigabitEthernet0/0/0ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 220.103.54.39 255.255.255.0 # 创建一个隧道口,配置源目地址以及调用安全框架
interface Tunnel0/0/0ip address 10.0.0.2 255.255.255.0 tunnel-protocol gresource 220.103.54.39destination 183.14.5.21ipsec profile fengbu# 互联的动态路由,也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 172.16.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38

结果验证:

PC1与PC2连通性
PC1与PC2连通性

然后ike和ipsec的SA都是正常的,只要GRE起来了,双方协商成功就可以。

IKE和IPSec安全联盟
IKE和IPSec安全联盟

通过动态路由协议学习到的路由:

路由
路由

报文抓包,可以看到数据都是经过加密后的数据,既提高了安全性也支持动态路由与组播应用等。

报文
报文

总结:GRE Over IPSec结合了两者的特点对数据进行加密保护,与IPSec VPN相比不需要通过ACL匹配感兴趣流,而是通过tunnel隧道口的方式匹配流量,使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP,而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。

本文由 mdnice 多平台发布

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/64738.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用Turtle库实现,鼠标左键绘制路径,用鼠标右键结束绘制,小海龟并沿路径移动

使用Turtle库实现,鼠标左键绘制路径,用鼠标右键结束绘制,小海龟并沿路径移动 Turtle库是Python标准库的一部分,它提供了一种基于命令的图形绘制方式。Turtle模块通过一个“海龟”(Turtle)对象在屏幕上移动…

《计算机组成及汇编语言原理》阅读笔记:p9-p27

《计算机组成及汇编语言原理》学习第 2 天,p9-p27 总结,总计 19 页。 一、技术总结 1.quantum physics(量子物理学) (1)quantum(量子) quantum的本意是:c. the smallest amount of sth(量子)。 In physics, a quantum is the minimum am…

使用 Dash 构建交互式数据可视化应用

使用 Dash 构建交互式数据可视化应用 1. 什么是 Dash? Dash 是一个由 Plotly 开发的开源 Python 框架,用于快速构建交互式数据可视化应用。Dash 将前端(HTML、CSS 和 JavaScript)与后端(Python)无缝集成&…

Qt:QMetaObject::connectSlotsByName实现信号槽自动关联

简介 在Qt中,QMetaObject::connectSlotsByName 是一个便利的方法,它可以根据对象的对象名(objectName)自动将信号和槽连接起来。但是,要使用这个方法,必须确保: 1 控件(如按钮&…

周末总结(2024/12/21)

工作 人际关系核心实践: 要学会随时回应别人的善意,执行时间控制在5分钟以内 坚持每天早会打招呼 遇到接不住的话题时拉低自己,抬高别人(无阴阳气息) 朋友圈点赞控制在5min以内,职场社交不要放在5min以外 职场的人际关系在面对利…

一般行业安全管理人员考试题库分享

1.在高速运转的机械飞轮外部安装防护罩,属于(B)安全技术措施。 A.限制能量 B.隔离 C.故障设计 D.设置薄弱环节 2.生产经营单位的(B)是本单位安全生产的第一责任人,对落实本单位安全生产主体责任全面负责,具体履行安全生产管理职责。 A.全员 B…

国标GB28181平台EasyGBS在安防视频监控中的信号传输(电源/视频/音频)特性及差异

在现代安防视频监控系统中,国标GB28181协议作为公共安全视频监控联网系统的国家标准,该协议不仅规范了视频监控系统的信息传输、交换和控制技术要求,还为不同厂商设备之间的互联互通提供了统一的框架。EasyGBS平台基于GB28181协议&#xff0c…

概率论得学习和整理29: 用EXCEL 描述二项分布

目录 1 关于二项分布的基本内容 2 二项分布的概率 2.1 核心要素 2.2 成功K次的概率,二项分布公式 2.3 期望和方差 2.4 具体试验 2.5 概率质量函数pmf 和cdf 3 二项分布的pmf图的改进 3.1 改进折线图 3.2 如何生成这种竖线图呢 4 不同的二项分布 4.1 p0.…

长短期记忆网络(LSTM):深度学习中的序列数据处理利器

目录 ​编辑 长短期记忆网络(LSTM):深度学习中的序列数据处理利器 引言 LSTM的起源与背景 LSTM的核心机制 LSTM的优势 LSTM的应用案例 LSTM的研究进展 LSTM的变种 LSTM的改进 LSTM的最新研究 结论 长短期记忆网络(LST…

代码随想录第52天

110.字符串接龙 #include<iostream> #include<unordered_map> #include<queue> using namespace std; // 定义一个类用来解决本道题 class Xxc { private:// 用来记录可以每个字符可以改变的可能static char libs[26]; public:static int xxc(unordered_ma…

2024年前端面试题【基本功篇】

文章目录 前言一、html 相关1.1 行内元素和块级元素分别有哪些&#xff1f;1.2 IE盒子模型和标准盒子模型 二、css 相关2.1 选择器2.2 设置垂直居中的方法2.3 定位的几种方式2.4 清除浮动的几种方式2.5 rem、em、px、vw、vh区别2.6 响应式和自适应布局的区别2.7 元素隐藏的几种…

图解HTTP-HTTP状态码

状态码 状态码的职责是当客户端向服务器端发送请求时&#xff0c;描述返回的请求结果。 类别原因短语1XXInformational(信息状态码)接收的请求正在处理2XXSuccess&#xff08;成功状态码&#xff09;请求正常处理完毕4XXRedirection &#xff08;重定向状态码&#xff09;需要…

Excel设置生日自动智能提醒,公式可直接套用!

大家好&#xff0c;我是小鱼。 今天跟大家分享一个WPS表格中根据出生日期&#xff0c;设置生日提醒&#xff0c;并且根据距离生日天数自动标记数据颜色。简单又实用&#xff0c;一个公式轻松搞定&#xff01; 接下来我们先学习一下需要使用到的函数&#xff0c;然后再根据实例让…

【MAC】深入浅出 Homebrew 下 Nginx 的安装与配置指南

硬件&#xff1a;Apple M4 Pro 16寸 系统&#xff1a; macos Sonoma 15.1.1 Nginx 是一款高性能的 Web 服务器和反向代理服务器&#xff0c;广泛应用于全球各地的网站和企业应用中。本文将详细介绍如何在 macOS 环境下使用 Homebrew 安装、启动、管理以及优化配置 Nginx&#x…

Flink执行模式(批和流)如何选择

DataStream API支持不同的运行时执行模式(batch/streaming),你可以根据自己的需求选择对应模式。 DataStream API的默认执行模式就是streaming,用于需要连续增量处理并且预计会一直保持在线的无界(数据源输入是无限的)作业。 而batch执行模式则用于有界(输入有限)作业…

安卓环境配置及打开新项目教程,2024年12月20日最新版

1.去官网下载最新的Android Studio&#xff0c;网址&#xff1a;https://developer.android.com/studio?hlzh-cn 2.下载加速器&#xff0c;注册账号&#xff0c;开启加速器。网址&#xff1a;放在文末。 3.下载安卓代码&#xff0c;项目的路径上不能有中文&#xff0c;特别是…

VMware虚拟机Ubuntu 18.04版本 磁盘扩容

一、版本配置 虚拟机版本&#xff1a;VMware WORKSTATION 16 PRO Ubuntu版本&#xff1a;Ubuntu 18.04 二、磁盘大小介绍 目的&#xff1a;磁盘扩容&#xff08;20G----->100G&#xff09;&#xff0c;从20G扩到100G 查看磁盘大小命令&#xff1a;df -h 扩容前的磁盘大小 …

面试题整理2---Nginx 性能优化全方案

面试题整理2---Nginx 性能优化全方案 1. 调整工作进程数和线程数1.1 调整工作进程数1.2 调整进程的最大连接数 2. 配置Gzip压缩2.2 配置Gzip压缩 3. 配置缓存策略3.1 配置浏览器缓存时间3.2 配置代理服务器缓存时间 4. 优化文件访问方式4.1 使用sendfile()函数发送文件数据4.2 …

10. 虚拟机VMware Workstation Pro下共享Ubuntu和Win11文件夹

本文记录当前最新版虚拟机VMware Workstation Pro&#xff08;2024.12&#xff09;如何在win11下共享文件&#xff0c;以实现Windows与Ubuntu互传文件的目的。 1. 创建共享文件夹 1.1 先关闭虚拟机的客户机&#xff0c;打开虚拟机设置 1.2 在虚拟机设置界面找到“选项”->“…

Halcon单相机+机器人=眼在手上#标定心得

首先&#xff0c;这个标定板肯定是放在我们要作业的工作台上的 目的 **1&#xff0c;得到标定物&#xff08;工作台&#xff09;与机器人底座之间的pose转换关系。2&#xff0c;得到相机与机器人末端tool的的转换关系。 两个不确定的定量 1&#xff0c;标定板与机器人底座b…