计算机网络-GRE Over IPSec实验

一、概述

前情回顾:上次基于IPsec VPN的主模式进行了基础实验,但是很多高级特性没有涉及,如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等,以后继续学习吧。

前面我们已经学习了GRE可以基于隧道口实现分支互联,然后又简单学习了IPSec VPN可以实现加密传输,但是它们都有各自的特点,GRE是明文传输,安全性不足,IPSec不支持组播路由协议,因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。

GRE over IPsec可利用GRE和IPsec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时,先进行GRE封装,再进行IPsec封装。

GRE Over IPsec
GRE Over IPsec

GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头,导致报文长度更长,更容易导致分片,所以GRE over IPsec推荐采用传输模式

二、实验配置

在上次的IPSec VPN的基础上加上GRE的配置,原理基本一致,沿用GRE隧道接口、IPSec的加解密方式。

实验拓扑
实验拓扑

配置步骤:

  • 配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。
  • 配置GRE Tunnel接口。
  • 配置IPSec安全提议,定义IPSec的保护方法。
  • 配置IKE对等体,定义对等体间IKE协商时的属性。
  • 配置安全框架,并引用安全提议和IKE对等体。
  • 在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。
  • 配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。

配置命令:

分部:
# ipsec安全提议
ipsec proposal 1
 esp encryption-algorithm 3des
 
# ike 安全提议
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5

# Ike peer对等体,这里不需要对端地址
ike peer zongbu v1
 pre-shared-key simple KL!@#258
 ike-proposal 1
 
# 创建一个安全框架,调用ike peer 和ipsec 安全提议
ipsec profile zongbu
 ike-peer zongbu
 proposal 1
#
interface GigabitEthernet0/0/0
 ip address 183.14.5.21 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 

# 创建一个隧道接口,分配一段地址,隧道协议为gre,源目地址分别是两端的公网地址,在接口调用安全框架
interface Tunnel0/0/0
 ip address 10.0.0.1 255.255.255.0 
 tunnel-protocol gre
 source 183.14.5.21
 destination 220.103.54.39
 ipsec profile zongbu
 
# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 
 area 0.0.0.0 
  network 10.0.0.0 0.0.0.255 
  network 192.168.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20


总部:
# ipsec安全提议
ipsec proposal 1
 esp encryption-algorithm 3des
 
# ike 安全提议
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5
 
# ike 对等体
ike peer fengbu v1
 pre-shared-key simple KL!@#258
 ike-proposal 1
 
# ipsec 安全框架
ipsec profile fengbu
 ike-peer fengbu
 proposal 1
#
interface GigabitEthernet0/0/0
 ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 220.103.54.39 255.255.255.0 

# 创建一个隧道口,配置源目地址以及调用安全框架
interface Tunnel0/0/0
 ip address 10.0.0.2 255.255.255.0 
 tunnel-protocol gre
 source 220.103.54.39
 destination 183.14.5.21
 ipsec profile fengbu
 
# 互联的动态路由,也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 
 area 0.0.0.0 
  network 10.0.0.0 0.0.0.255 
  network 172.16.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38

结果验证:

PC1与PC2连通性
PC1与PC2连通性

然后ike和ipsec的SA都是正常的,只要GRE起来了,双方协商成功就可以。

IKE和IPSec安全联盟
IKE和IPSec安全联盟

通过动态路由协议学习到的路由:

路由
路由

报文抓包,可以看到数据都是经过加密后的数据,既提高了安全性也支持动态路由与组播应用等。

报文
报文

总结:GRE Over IPSec结合了两者的特点对数据进行加密保护,与IPSec VPN相比不需要通过ACL匹配感兴趣流,而是通过tunnel隧道口的方式匹配流量,使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP,而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。

本文由 mdnice 多平台发布

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/941320.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【运维笔记】向日葵远程:输入法大写无法切换至小写

项目场景: 向日葵:远程客户电脑ubuntu系统 客户电脑:windows 10 ,并安装向日葵 服务器:ubuntu系统 问题描述 维护ubuntu时突然无法切换成小写,导致无法运维 原因分析: 大写键被锁住 解决方案…

「Mac畅玩鸿蒙与硬件46」UI互动应用篇23 - 自定义天气预报组件

本篇将带你实现一个自定义天气预报组件。用户可以通过选择不同城市来获取相应的天气信息,页面会显示当前城市的天气图标、温度及天气描述。这一功能适合用于动态展示天气信息的小型应用。 关键词 UI互动应用天气预报数据绑定动态展示状态管理 一、功能说明 自定义…

AAAI-2024 | 大语言模型赋能导航决策!NavGPT:基于大模型显式推理的视觉语言导航

作者:Gengze Zhou, Yicong Hong, Qi Wu 单位:阿德莱德大学,澳大利亚国立大学 论文链接: NavGPT: Explicit Reasoning in Vision-and-Language Navigation with Large Language Models (https://ojs.aaai.org/index.p…

react杂乱笔记(一)

程序“npx”无法运行: 找不到应用程序所在位置 行:1 字符: 1 解决方法; 不要在vscode中执行命令,在cmd 中可以执行 Module not found: Error: Cant resolve web-vitals in D:\learn\react-basic\src ERROR in ./src/reportWebVitals.js 5:4-24 Module not found: Error: Cant…

【计算机视觉】opencv-停车位检测原理及代码演示

概述 本文介绍了一种基于OpenCV库的停车场空位检测方法。通过本项目演示,可以对opencv库有更深刻的理解。文章详细阐述了检测原理、算法流程以及代码实现。 一、原理介绍 基于OpenCV的停车位检测原理涉及多个图像处理步骤,以下将结合相关公式详细介绍每…

华为认证考试模拟题测试题库(含答案解析)

你还在为华为认证数通考试的备考而烦恼吗? 还在纠结如何高效复习,掌握考点吗? 腾科IT教育为广大考生提供了华为认证考试模拟题库,让你在考试前轻松应对各种题型,提升做题能力与考试信心! 【单选题】 PPP…

序列化和反序列化(一)

因为通过这段时间的学习,发现,序列化和反序列化的考点和漏洞在平时遇到的还是比较多的,而且自己也没有特别去学习过这个知识点,所以在这里写一篇关于这里序列化和反序列话的博客,废话就停止在这里了。 在介绍具体的序列…

优雅草央千澈-关于蓝湖如何快速的标注交互原型是如何使用的-如何使用蓝湖设计交互原型和整个软件项目的流程逻辑-实践项目详细说明

优雅草央千澈-关于蓝湖如何快速的标注交互原型是如何使用的-如何使用蓝湖设计交互原型和整个软件项目的流程逻辑-实践项目详细说明 问题背景 我们ui设计师在设计完整套ui的时候一般要标注原型,但是如果ui对项目整体理解不够深刻的时候,一般就产品经理需要…

三维测量与建模笔记 - 7.3 表面建模概念和方法

基本概念 当我们通过3D扫描设备对物体进行扫描后,会得到三维点云,通过表面建模,我们会重建出物体的3D模型。如果想得到完整的物体的3D模型,需要对物体进行多个角度的扫描并通过拼接算法重建。经过处理得到的3D模型,在很…

共模电感的工作原理

共模电感也称为共模扼流线圈,是一种抑制共模干扰的器件,它是由两个尺寸相同,匝数相同的线圈对称地绕制在同一个铁氧体环形磁芯上,形成的一个四端器件。当共模电流流过共模电感时,磁芯上的两个线圈产生的磁通相互叠加&a…

汉塔科技-上网行为管理系统 ping.php 远程命令执行漏洞复现

0x01 产品简介 汉塔科技是一家专注于网络应用软件开发的公司,在网络安全、网络协议分析以及网络数据流控制等领域拥有丰富的经验和雄厚的技术实力。其上网行为管理系统是应用识别丰富、网络安全防护强大的专业设备之一,汉塔科技上网行为管理系统是一款功能强大、应用识别丰富…

图书管理系统5,制作第十天

1. 在Java中,BigDecimal 类提供了多种方法可以用来将其转换为 String 类型。以下是几种常见的方法: 使用 toString() 方法: 这是将 BigDecimal 转换为 String 的最直接的方法。 Java 深色版本 BigDecimal bd new BigDecimal("123.456&…

机器视觉检测相机基础知识 | 颜色 | 光源 | 镜头 | 分辨率 / 精度 / 公差

注:本文为 “keyence 视觉沙龙中机器视觉检测基础知识” 文章合辑。 机器视觉检测基础知识(一)颜色篇 视觉检测硬件构成的基本部分包括:处理器、相机、镜头、光源。 其中,和光源相关的最重要的两个参数就是光源颜色和…

Linux shell脚本用于常见图片png、jpg、jpeg、webp、tiff格式批量转PDF文件

Linux Debian12基于ImageMagick图像处理工具编写shell脚本用于常见图片png、jpg、jpeg、webp、tiff格式批量转PDF文件,”多个图片分开生成多个PDF文件“或者“多个图片合并生成一个PDF文件” 在Linux系统中,使用ImageMagick可以图片格式转换&#xff0c…

批量提取zotero的论文构建知识库做问答的大模型(可选)——含转存PDF-分割统计PDF等

文章目录 提取zotero的PDF上传到AI平台保留文件名代码分成20个PDF视频讲解 提取zotero的PDF 右键查看目录 发现目录为 C:\Users\89735\Zotero\storage 写代码: 扫描路径‘C:\Users\89735\Zotero\storage’下面的所有PDF文件,全部复制一份汇总到"C:\Users\89735\Downl…

解决:websocket 1002 connection rejected 426upgrade required

这是问题是websocket客户端访问websocket服务端时候报的错,并非代码错误,需要配置一下k8s的路由策略 新增两行

Flutter组件————Container

Container Container 是 Flutter 中最常用的布局组件之一 参数 参数名称类型描述alignmentAlignmentGeometry定义子组件在其内部的对齐方式,默认为 null,即不改变子组件的位置。paddingEdgeInsetsGeometry内边距,用于在子组件周围添加空间…

ElasticSearch - 深入解析 Elasticsearch Composite Aggregation 的分页与去重机制

文章目录 Pre概述什么是 composite aggregation?基本结构after 参数的作用问题背景:传统分页的重复问题after 的设计理念响应示例 after 如何确保数据不重复核心机制Example步骤 1: 创建测试数据创建索引插入测试数据 步骤 2: 查询第一页结果查询第一页返…

MySQL 8.0:explain analyze 分析 SQL 执行过程

介绍 MySQL 8.0.16 引入一个实验特性:explain formattree ,树状的输出执行过程,以及预估成本和预估返 回行数。在 MySQL 8.0.18 又引入了 EXPLAIN ANALYZE,在 formattree 基础上,使用时,会执行 SQL &#…

【C++动态规划 图论】3243. 新增道路查询后的最短距离 I|1567

本文涉及知识点 打开打包代码的方法兼述单元测试 C动态规划 C图论 LeetCode3243. 新增道路查询后的最短距离 I 给你一个整数 n 和一个二维整数数组 queries。 有 n 个城市,编号从 0 到 n - 1。初始时,每个城市 i 都有一条单向道路通往城市 i 1&#…