Skip to main content

moregeek program

IPsec Over GRE-多极客编程

1、IPsec是怎么对GRE进行加密的
 GRE:
  公网地址+GRE隧道接口地址+原始数据包地址
 IPSEC over GRE:
  公网地址+IPsec加密点地址+原始数据包地址

2、匹配MAP的条件:
 在接口上必须有map
 源和目的地址必须满足map中的acl

3、关于IPSEC over GRE
 目的:
  配置GRE的目的是可以在隧道两边使用动态路由协议,通过隧道相互之间进

行学习,但是GRE隧道只是起到一个隧道的作用,还要通过IPsec进行加密,就将这两者结合

起来使用,这种技术一般不会用在工程里面,在工程里面用的比较广泛的技术就是GRE over 

IPsec
 缺点:
  有多少感兴趣流量,就要定义多少条ACL,很麻烦

 步骤:
  先配置GRE隧道
  在GRE隧道上面配置路由
  配置IPsec

一、使用tunnel接口作为ESP封装的源和目的IP地址(加密的更新源)


                        物理接口:202.100.1.0/24
                      |-----------------------|
 --1.1.1.1---|R1|--------------------|R2|--4.4.4.4--
                      |-----------------------|
                           隧道地址:172.16.1.0/24

 通信点流量:1.1.1.1<------------>4.4.4.4 (感兴趣流量)
 加密点接口:202.100.1.1<-------->202.100.1.2(使用物理接口做加密点更新源)

使用物理接口作为加密更新源的步骤分析:
 1、建立GRE隧道,通过GRE隧道让两边都能学习到对端的路由
 2、原始数据包:1.1.1.1--->4.4.4.4
  查找路由表,发现4.4.4.4是从tunnel接口学习到的
  将流量转发到tunnel接口,发现tunnel接口上面有map
  匹配map发现该流量是map中定义的感兴趣流量,进行ESP封装
  ESP封装:使用的是ipsec中定义的加密更新源和目的地址
   202.100.1.1--->202.100.1.2
 3、ESP封装的数据包:202.100.1.1--->202.100.1.2
  查找路由表,发现202.100.1.2就是本地的物理接口地址
  直接发送到物理接口,并去匹配物理接口上的map
  发现该流量并不是该map中定义的感兴趣流量
  通过物理接口发送出去


 R1:
 interface tunnel 0
 ip address 172.16.1.1 255.25.255.0
 no shutdown
 tunnel source fa0/0
 tunnel destination 202.100.1.2
 exit
 router ospf 1
 network 172.16.1.0 0.0.0.255 area 0
 network 1.1.1.1 0.0.0.0 area 0
 network 2.2.2.2 0.0.0.0 area 0
 network 3.3.3.3 0.0.0.0 area 0

 R2:
 interface tunnel 1
 ip address 172.16.1.2 255.255.255.0
 tunnel source fa0/0
 tunnel destination 202.100.1.1
 router ospf 1
 network 172.16.1.0 0.0.0.255 area 0
 network 4.4.4.4 0.0.0.0 area 0
 network 5.5.5.5 0.0.0.0 area 0
 network 6.6.6.6 0.0.0.0 area 0


 建立IPsec ×××
 R1:
 crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 crypto isakmp key cisco address 202.100.1.1
 crypto ipsec transform-set cisco esp-des esp-md5-hmac
 crypto map cisco 10 ipsec-isakmp
 set peer 202.100.1.2
 set transform-set cisco
 match address vpn
 exit
 ip access-list extended vpn
 permit ip host 1.1.1.1 host 4.4.4.4
 interface tunnel 0
 crypto map cisco
 interface fa0/0
 crypto map cisco
 tunnel口上必须启用map,除此之外,在所有的物理接口上最好也启用该map

 R2:
 crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 crypto isakmp key cisco address 202.100.1.1
 crypto ipsec transform-set cisco esp-des esp-md5-hmac
 crypto map cisco 10 ipsec-isakmp
 set peer 202.100.1.1
 set transform-set cisco
 match address vpn
 exit
 ip access-list extended vpn
 permit ip host 4.4.4.4 host 1.1.1.1
 interface tunnel 0
 crypto map cisco
 interface fa0/0
 crypto map cisco


二、使用回环接口地址作为ESP封装的源和目的IP

使用环回接口作为加密更新源的步骤分析:

        物理接口:202.100.1.0/24
       |------------------------|
 --1.1.1.1---|R1|--------------------|R2|--4.4.4.4--
       |------------------------|
         隧道地址:172.16.1.0/24

 通信点流量:1.1.1.1<------------>4.4.4.4 (感兴趣流量)
 加密点接口:11.1.1.1<-------->22.2.2.2(使用回环接口做加密点更新源)

 1、原始数据包1.1.1.1--->4.4.4.4
  查询路由表,发现到达4.4.4.4的出口是tunnel接口
  发送到tunnel接口上,而在tunnel接口上又有map
  匹配map,发现该流量是map中定义的感兴趣流量
  对该流量进行加密,封装ESP包头
  ESP封装:通过IPsec中定义的源和目的地址
 2、ESP封装后的数据包:11.1.1.1--->22.2.2.2
  查询路由表,发现到达22.2.2.2的下一跳还是tunnel接口
  将这个新的数据包发送给tunnel接口
  tunnel接口收到以后,匹配map,发现不是map中定义的感兴趣流量
  该流量在tunnel接口上进行GRE封装,封装成为正常的数据包
  GRE封装:使用GRE隧道中定义的源和目的地址进行封装
 3、GRE封装后的数据包:202.100.1.1--->202.100.1.2
  查找路由表,发现目的地址的下一跳是物理接口
  新的数据包从物理接口进行正常的转发

 新的数据包的IP包头结构
 |202.100.1.1-->202.100.1.2|+|11.1.1.1-->22.2.2.2|+|1.1.1.1-->4.4.4.4|

 R1:
 interface loopback 0
 ip address 11.1.1.1 255.255.255.0
 no shutdown
 rotuer ospf 1
 network 11.1.1.0 0.0.0.255 area 0
 exit
 no crypto isakmp key cisco address 202.100.1.2
 crypto isakmp key cisco address 22.2.2.2
 crypto map cisco 10 ipsec-isakmp
 no set peer 202.100.1.2
 set peer 22.2.2.2
 exit
 crypto map cisco local-address loopback 0
  使用换回口地址作为加密的更新源

 R2:
 interface loopback 1
 ip address 22.2.2.2 255.255.255.0
 no shutdown
 router ospf 1
 network 22.2.2.0 0.0.0.255 area 0
 exit
 no crypto isakmp key cisco address 202.100.1.1
 crypto isakmp key cisco address 11.1.1.1
 crypto map cisco 10 ipsec-isakmp
 no set peer 202.100.1.1
 set peer 11.1.1.1
 exit
 crypto map cisco local-address loopback 0

 

 

 

 

 

©著作权归作者所有:来自51CTO博客作者cp1610108556的原创作品,如需转载,请注明出处,否则将追究法律责任
IPsec Over GRE
https://blog.51cto.com/applechaning/1343516

Linux 下ssh创建ip加密码隧道-多极客编程

Linux 下SSH 创建ip加密隧道基于SSH的加密通道: SSH(SecureShell)是一套安全的网络连接程序,它可以实现通过网络远程登录其他系统,它就是加密的telnet协议。但是openssh除了具有远程登录功能外,更可以建立加密ip隧道。如下图所示:1、我们要使用用外网172.16.2.1登录到内网192.168.1.1这台服务器上,需要在两服务器之间创建ip隧道。首先要登录到19

linux之vpn服务器间ip隧道跳转多ip路由走向分流(系真实案例)-多极客编程

本文系统Centos6.0;这里的vpn服务以pptpd为例;其中底层涉及到pptpd+freeradius+mysql认证;相关url:http://lansgg.blog.51cto.com/5675165/1225461 本文系真实案例;leader需求大多是这样的,节约成本还要达到所需要的效果;没办法,总的做个效果出来;需求,国内一台vpn机器(server1),多ip,如:10.10.1

DirectAccess部署(一)之DirectAccess介绍及部署要求(多图!)-多极客编程

因为工作关系,客户要求部署DirectAccess测试环境,其实说白了无非就是微软售前在推动这个事。DirectAccess的部署虽然不难,只是走了不少弯路,上网查找了些资料 但是讲的不清不楚,再加上自己的一些自由发挥,自然就花了不少时间去摸索这样一个全新的产品。 即使如此,但不得不说DirectAccess是一款好的产品,在给客户演示的PPT中,我把它称作是“一场全新的办公体验革命”,不但能完

IPV4和IPV6之间相互通信-多极客编程

网络拓扑:  R1:   ipv6 unicast-routing                                ===========开启ipv6int f0/0   ip address 192.168.12.1 255.255.255.0    no shutdown    interface Loopback0     ipv6 address 2012:2012::1/6

烂泥:学习ssh之ssh隧道应用-多极客编程

前几篇有关ssh的文章,我们只是介绍了ssh的登录功能。其实ssh功能不只是这些,这篇文章我们来介绍下有关ssh隧道的功能。    ssh隧道也叫ssh端口转发,或者叫ssh tunnel,这些都是说的是ssh隧道功能。在此,我们统称为ssh隧道。ssh隧道分为正向隧道和反向隧道,在实际工作中我们可以根据需要来随其分别使用。下面开始对正向和反向隧道分别介绍下,由于使用平台的不同,我们分为Linux

ssh隧道(跳板机/堡垒机)-多极客编程

  ssh隧道/跳板的使用  所有服务器都只允许跳板机远程登录之后,用户需要先建立与跳板机的隧道连接,然后再通过隧道连接到远端服务器,使用上来讲增加了一个步骤         跳板机IP 192.168.1.1:1379  所拥有的用户 root  www      服务器IP 192.168.1.5:2000  所拥有的用户 root  test  一,跳板机配置1,跳板机需要开启forword

GRE隧道+ipsec传输-多极客编程

 资源来自网络视频,我做笔记          视频教程请移步此处处http://www.verycd.com/topics/2802335/           IPSec ×××路由的配置----隧道模式     ipsec在默认情况下不支持组播   GRE隧道+ipsec传输   tunnel默认的封装就是GRE封装       实验:   配置GRE的

华为路由器GRE隧道配置案例-多极客编程

       本文讲述了利用两台华为路由器,使用GRE隧道建立×××,实现两个网络之间通信的案例,组网结构及详细的配置步骤请查看以下内容。        运行IP协议的两个子网Group1和Group2,通过在路由器Quidway1和路由器Quidway2之间使用三层隧道协议GRE实现互联。             配置步骤: (1) 配置路由器Q

Linux下的GRE隧道及其路由转发-多极客编程

    隧道,字面上来看就是一条通道,这条通道由点到点,独立与其他。linux下的隧道其他的了解不深,单独写下最近搭建过的gre隧道和路由转发功能实现。    先说一下隧道的基本概念:        一种技术(协议)或者策略的两个或多个子网穿过另一种技术(协议)或者策略的网络实现互联,称之为overlay topology,这一技术是电信技术的永恒主题之一。       电信技术在发展,多种网络技

GRE隧道配置-多极客编程

GRE隧道配置通用路由封装(GRE)隧道几乎可以封装所有类型的数据。事实上,GRE可以封装所有的三层协议,因此这款协议相当灵活。下面我们来实验一个GRE的简单配置:实验环境如下:三台CISCO 1841 路由器,分别模拟为HQ,ISP,Branch,我们在HQ和Branch之间建立Tunnel。三个路由接口配置如下:HQ:Fa0/0:192.168.12.1/24ISP:Fa0/0:192.168

ubantu与CentOS虚拟机之间搭建GRE隧道-多极客编程

Author       : Email         : vip_13031075266@163.com Date          : 2020.01.23 Copyright : 未经同意不得转载!!! Version    : openswan-2.6.51.5 Reference:https://download.o