三分钟教会你搭建gre over ipsec隧道

已于 2023-07-05 16:13:07 修改
阅读量5.6k 收藏 72
点赞数 11
CC 4.0 BY-SA版权
分类专栏: HCIE 文章标签: 华为 网络 运维
于 2022-05-30 11:19:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44799797/article/details/124803056
本文介绍了VPN、IPSEC VPN和GRE OVER IPSEC VPN的技术原理,给出了ipsec vpn配置架构导图。以总部与分支打通GRE OVER IPSEC VPN为例,阐述了基础配置、虚拟专用网络部分配置及测试方法,还解决了特殊场景下无法ssh连接的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

华为gre over ipsec隧道实验(附ssh无法登陆问题)

技术简介

VPN:虚拟专用网络,旨在解决不同内网穿越公网实现互访的问题,主要实现途径是在公网中搭建一个隧道,用于传输跨公网的内网流量。说人话就是在家里能上公司内网 -_-

IPSEC VPN:是VPN的一种,通过IPSEC来加密内网流量,实现流量在公网中的安全传输

GRE OVER IPSEC VPN:旨在解决IPSEC VPN无法传输组播流量的问题,IPSEC加上GRE隧道可实现组播流量的可靠传输

逻辑导图

纯靠文字理解过于抽象,在此处补充一张ipsec vpn的配置架构导图
在这里插入图片描述

实验拓扑

在这里插入图片描述

环境介绍

现总部需与分支打通GRE OVER IPSEC VPN,用于实现设备间的内网互通,要求:
1、所有设备可通过隧道实现内网连通
2、总部设备可ssh登陆分支设备

配置文件

基础配置

LSW1、LSW2:此处仅看做主机设备,只在上面配置地址与路由即可

LSW1:

//地址配置
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0

//端口配置
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10

//路由配置
ip route-static 0.0.0.0 0 10.1.1.254

FW1:

//地址配置(1/0/1口作为内网ssh地址,需打开ssh服务,此处打开ping服务方便进行测试)
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
 service-manage ping permit
 service-manage ssh permit
 
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 100.1.1.1 255.255.255.252
 service-manage ping permit

//路由配置
ip route-static 0.0.0.0 0 100.1.1.2

//安全域配置(内网口trust,外网口untrust)
firewall zone trust
 add interface GigabitEthernet1/0/1

firewall zone untrust
 add interface GigabitEthernet1/0/0

//安全策略配置(允许内网用户访问外网)
security-policy
 rule name trust==>untrust
  source-zone trust
  destination-zone untrust
  action permit
 
 rule name local==>any
  source-zone local
  action permit
//nat配置(此处采用easy-ip)
nat-policy
 rule name trust==>untrust
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

R1:

//地址配置
interface GigabitEthernet0/0/1
 ip address 200.1.1.2 255.255.255.252

interface GigabitEthernet0/0/0
 ip address 100.1.1.2 255.255.255.252

FW2:

//地址配置(1/0/1口作为内网ssh地址,需打开ssh服务,此处打开ping服务方便进行测试)
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 20.1.1.254 255.255.255.0
 service-manage ping permit
 service-manage ssh permit
 
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 200.1.1.1 255.255.255.252
 service-manage ping permit

//路由配置
ip route-static 0.0.0.0 0 200.1.1.2

//安全域配置(内网口trust,外网口untrust)
firewall zone trust
 add interface GigabitEthernet1/0/1

firewall zone untrust
 add interface GigabitEthernet1/0/0

//安全策略配置(允许内网用户访问外网)
security-policy
 rule name trust==>untrust
  source-zone trust
  destination-zone untrust
  action permit
 
 rule name local==>any
  source-zone local
  action permit
//nat配置(此处采用easy-ip)
nat-policy
 rule name trust==>untrust
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

LSW2:

//地址配置
interface Vlanif20
 ip address 20.1.1.1 255.255.255.0

//端口配置
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 20

//路由配置
ip route-static 0.0.0.0 0 20.1.1.254

基础配置测试

此时LSW1、LSW2、FW1、FW2应当能ping通100.1.1.2/200.1.1.2
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

虚拟专用网络部分配置

前言:
1、首先我们应该知道,虚拟专用网络的搭建需要配置acl、ike proposal、ike peer、ipsec proposal、ipsec policy
2、其中ike peer中需要绑定ike proposal、预共享秘钥、本端对端的IP信息
———ipsec policy中需要绑定acl用于定义保护流量、ike peer、ipsec proposal
3、最后我们在接口调用ipsec policy即可

FW1:

//acl配置
acl number 3001
 rule 5 permit ip source 100.1.1.1 0 destination 200.1.1.1 0

//ike proposal配置
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

//ike peer配置(此处使用被动式连接,因此总部无需设置分支信息)
ike peer master
 pre-shared-key Admin@huawei.com               //预共享秘钥
 ike-proposal 1                                //绑定ike proposal
 local-id 100.1.1.1                            //本地local-id信息

//ipsec proposal配置
ipsec proposal 1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

//ipsec policy配置(此处采用模板配置)
ipsec policy-template temp 1                   //ipsec policy模板配置
 security acl 3001
 ike-peer master
 proposal 1

ipsec policy master 10 isakmp template temp    //应用ipsec policy模板

//tunnel口配置(tunnel口封装gre协议以传递内网流量)
interface Tunnel1
 ip address 30.1.1.1 255.255.255.252
 tunnel-protocol gre
 source 100.1.1.1
 destination 200.1.1.1
 service-manage ping permit

//安全域配置
firewall zone untrust
 add interface Tunnel1
 
//安全策略配置
security-policy
  rule name ipsec==>local              //放行分部来的ipsec请求                
   source-zone untrust
   destination-zone local
   source-address 200.1.1.1 mask 255.255.255.255
   destination-address 100.1.1.1 mask 255.255.255.255
   action permit
                            
  rule name fenbu==>trust                //放行分部访问进来的流量
   source-zone untrust
   destination-zone trust
   source-address 20.1.1.0 mask 255.255.255.0
   destination-address 10.1.1.0 mask 255.255.255.0
   action permit

//路由配置(因为分部tunnel口地址为30.1.1.2,因此总部访问分部内网需走tunnel口)
ip route-static 20.1.1.1 24 Tunnel 1

//nat-policy配置(总部访问分部内网的流量不应当被nat)
nat-policy 
 rule name master==>slave
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  destination-address 20.1.1.0 mask 255.255.255.0
  action no-nat

rule move master==>slave top            //将该策略置顶

//应用ipsec policy
interface GigabitEthernet1/0/0
 ipsec policy master

FW2:

//acl配置
acl number 3001
 rule 5 permit ip source 200.1.1.1 0 destination 100.1.1.1 0

//ike proposal配置
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

//ike peer配置(此处使用被动式连接,因此分部需要主动发起协商)
ike peer slave
 pre-shared-key Admin@huawei.com               //预共享秘钥
 ike-proposal 1                                //绑定ike proposal
 remote-id-type ip  
 remote-id 100.1.1.1                           //对端IP信息
 remote-address 100.1.1.1                          
 local-id 200.1.1.1                            //本地local-id信息

//ipsec proposal配置
ipsec proposal 1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

//ipsec policy配置(此处不能采用模板配置)
ipsec policy slave 10 isakmp
 security acl 3001
 ike-peer slave
 proposal 1
 tunnel local applied-interface                 //这两条命令一定要配置
 sa trigger-mode auto

//tunnel口配置(tunnel口封装gre协议以传递内网流量)
interface Tunnel1
 ip address 30.1.1.2 255.255.255.252
 tunnel-protocol gre
 source 200.1.1.1
 destination 100.1.1.1
 service-manage ping permit

//安全域配置
firewall zone untrust
 add interface Tunnel1
 
//安全策略配置(放行总部来的ipsec回应)
security-policy
  rule name ipsec==>local
   source-zone untrust
   destination-zone local
   source-address 100.1.1.1 mask 255.255.255.255
   destination-address 200.1.1.1 mask 255.255.255.255
   action permit
 
  rule name zongbu==>trust                //放行总部访问进来的流量
   source-zone untrust
   destination-zone trust
   source-address 10.1.1.0 mask 255.255.255.0
   destination-address 20.1.1.0 mask 255.255.255.0
   action permit
   
//路由配置(因为分部tunnel口地址为30.1.1.1,因此分部访问总部内网需走tunnel口)
ip route-static 10.1.1.1 24 Tunnel 1

//nat-policy配置(分部访问总部内网的流量不应当被nat)
nat-policy 
 rule name slave==>master
  source-zone trust
  destination-zone untrust
  source-address 20.1.1.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  action no-nat

rule move slave==>master top             //将该策略置顶

//应用ipsec policy
interface GigabitEthernet1/0/0
 ipsec policy slave

虚拟专用网络测试

在FW1/2上运行display ike sa、display ipsec sa应当能看到已建立连接
在这里插入图片描述
在这里插入图片描述
LSW1 ping LSW2:
在这里插入图片描述

特殊场景

注:假设在FW2上配置ssh服务,FW1使用20.1.1.254去ssh FW2
会产生如下问题:
FW1可以ping通20.1.1.254,却无法ssh到20.1.1.254,
解决方法:
在FW1/2的tunnel口下运行service-manage ssh permit即可

GRE Over IPSec配置
weixin_30247781的博客
12-13 2046
路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN的配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面有很多的网络,这样出现的难题是: *没有虚拟隧道接口,不能让两个站点的动态路由协议贯通 *由于没有虚...
GRE over IPSec
BJH23的博客
09-04 5270
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
ENSP期末神帖:防火墙GRE/IPSec/GRE over IPSec点对点配置 保姆级实验+避坑指南(附拓扑/配置文档)
最新发布
2301_78202824的博客
06-01 2363
(没有这个策略,在防火墙出口可以接收到GRE报文,虽然防火墙有10网段路由,但是在近PC端的接口是没有icmp包的,这时候会命中default策略拒绝掉。)其中采用的方式是将tunnel划分到untrust ,此时的安全策略(控制普通报文到tunnel接口的策略)是将目的区域dmz改成了untrust。接下来又是重复的操作,这里gre over ipsec是我最开始配置的实验,当时不知道g0/0/0接口的特殊,所以配置放在文档中自行查找。//创建策略规则,越先配置的安全策略规则位置越靠前,优先级越高。
GRE OVER IPSEC的配置方法
weixin_33812433的博客
04-17 1210
试验目的:GRE OVER IPSEC的配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
GRE over IPsec VPN配置
傻傻的心动的博客
06-19 2590
GRE over IPsec VPN配置
GRE over ipsec组网实验
weixin_44256357的博客
06-12 1980
实验理由:在vpn加密的过程中,之所以要建立GRE over IPsec,是因为ipsec是不能抓去组播流量的(如视频流等),需要用到gre封装。IPSec(Internet Protocol Security)是一种由多种协议组成的协议栈,在建立IPSec链接前,会先使用IKE协议来进行密钥的交换和认证,建立安全关联(SA)。GRE(通用路由封装)是一种封装协议,它允许一种协议的报文封装在另一种协议的数据包中,VPN(虚拟专用网络)是一个在公共网络上建立起一个逻辑的、专用的隧道的技术。
三分钟教会你:如何设计一个功分器
01-20
功分器在微波电路中用途非常广泛,特别是在相控阵/固态功率合成如火如荼的今天,几乎每个微波产品里都有它的身影。很多书里都有功分器的介绍,个人十分推崇由清华大学主编的《微带电路》一书,读此书可以感觉到老一...
大神三分钟教会你按键控制移位显示.docx
11-25
该文档介绍了一个基于C语言的简单电子项目,利用4x4矩阵键盘和数码显示器实现按键控制移位显示的功能。在微控制器(可能是如8051等)的P1口连接矩阵键盘,P0和P2口连接数码显示器。下面将详细解释该项目的关键知识点...
【图文】三分钟教会你如何重新硬盘安装GhostXP系统.pdf
10-11
随着信息技术的迅速发展,个人计算机用户经常会遇到需要重新安装操作系统的情况。对于许多初学者来说,复杂的安装流程往往令人望而却步。然而,借助Ghost XP系统,即便是电脑小白也可以在极短时间内完成系统的安装。...
三分钟使用java快速搭建教程步骤
06-10
Java是一门面向对象编程语言,不仅吸收了C++语言的各种优点,还摒弃了C++里难以理解的多继承、指针等概念。三分钟使用java快速搭建运行环境的步骤
三分钟教会你Linux网卡安装
QianXI9537的博客
03-21 7325
Linux
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3218
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
GRE over IPsec
Goallegoal的博客
04-09 936
GRE over IPsec 概述 GRE,Generic Routing Encapsulation,通用路由封装,GRE 采用 Tunnel 技术,是 VPN 三层隧道协议,用于对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。 GRE 技术是一种明文 Tunnel 技术,而 IPsec 是一种加密隧道技术,为什么要将两种隧道技...
GRE Over IPsec(华三)
qq_73757784的博客
10-30 1757
当总部想要访问分部172.16.10.0网段时,下一跳为tunnel接口,进入接口后,首先会被GRE封装,封装为源1.1.1.1,目的3.3.3.3然后从G0/1发出,因为在g0/1接口调用了ipsec策略,又会被感兴趣流匹配上,封装为公网地址源100.1.1.1,目的200.1.1.2从g0/1接口发出。那么当数据进入tunnel隧道后,会先被GRE封装后再进行IPsec感兴趣流acl匹配,匹配上了则封装IPsec,没匹配上则丢包。GRE Over IPsec 顾名思义,GRE在内,IPsec在外。
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1237
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
GRE Over IPSec技术
weixin_51045259的博客
03-07 5915
分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道,现需要在GRE隧道之外再封装IPSec隧道,对总部和分部的通信进行加密保护。 GRE可以封装组播数据并在GRE隧道中传输。而IPSec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPSec隧道中的加密传输。 GRE overIPSec可以结合GREIPSec两种技术
gre over ipsec
weixin_44548030的博客
02-27 641
gre over ipsec
GRE Over IPsec
qq_51577576的博客
01-06 1460
GRE Over IPsecGRE 结合 IPsce) IPsec: 不支持组播(意味着不能传递路由 IGP路由利用组播学习)(不是传递路由表 而是 通过ACL交给隧道 走公网 ) 不支持其他网络协议 只支持IP GRE: 找路由表(更灵活 不用写ACL 用IPsce 需要写很多ACL GRE不需要) IPsce IP安全的虚拟专用网络 通用路由封装协议 GRE 协议号47 支持多个上层协议 IPX协议 OSI模型里面的 GRE...
僵尸进程与孤儿进程有什么区别
04-03
<think>好的,用户想了解Linux或Unix系统中僵尸进程和孤儿进程的区别。首先,我需要回忆这两个概念的基本定义。 僵尸进程是已经终止但父进程尚未通过wait()系统调用获取其退出状态的进程。这时候,进程描述符仍然保留在系统中,导致资源泄漏。记得引用中的说明,如果父进程不调用wait(),就会产生僵尸进程[^2]。僵尸进程无法被kill命令终止,因为它们已经死了,只能等待父进程处理。 孤儿进程则是父进程已经终止或退出,而子进程仍在运行的进程。这时候,init进程(PID 1)会接管这些子进程,成为它们的新父进程。这样,孤儿进程最终会被init回收,不会长期占用资源。例如,用户提到的引用[1]中的例子,父进程先于子进程退出,子进程就变成了孤儿进程,由init接管[^1]。 接下来需要比较两者的生命周期和影响。僵尸进程会一直存在直到父进程调用wait(),如果父进程不处理,就会一直残留,占用系统资源。而孤儿进程只是暂时存在,被init接管后会被正常回收,不会造成长期问题。 另外,处理方式也不同。解决僵尸进程需要父进程正确处理子进程的退出状态,或者终止父进程,让init来回收。而孤儿进程则由系统自动处理,无需用户干预。 可能还需要提到如何检测这两种进程。使用ps命令查看状态,僵尸进程显示为Z,而孤儿进程的父进程ID会变为1。 用户可能还会关心实际应用中的例子,比如编写代码时,如果父进程没有正确等待子进程,就会产生僵尸进程。而如果父进程意外终止,子进程变成孤儿进程,由init接管。 最后,总结两者的主要区别:产生原因、处理方式、对系统的影响以及如何预防和解决。需要确保回答清晰,结构合理,符合用户的需求。</think>### 僵尸进程与孤儿进程的区别 #### 1. **僵尸进程(Zombie Process)** - **定义**: 子进程已终止但未被父进程通过`wait()`系统调用回收退出状态,此时进程描述符仍保留在系统中。 - **特征**: - 状态为`Z`(通过`ps`命令查看) - 无法被终止(已处于终止状态) - 占用少量系统资源(如进程ID) - **产生原因**: 父进程未调用`wait()`或`waitpid()`,导致操作系统无法释放子进程资源。 - **解决方法**: - 修改父进程代码,添加`wait()`调用 - 终止父进程(僵尸进程会被`init`进程接管并回收) --- #### 2. **孤儿进程(Orphan Process)** - **定义**: 父进程先于子进程终止,子进程被`init`进程(PID=1)接管。 - **特征**: - 仍在运行中 - 父进程ID变为`1` - **产生原因**: 父进程意外终止(如崩溃)或主动退出但未等待子进程[^1]。 - **系统处理**: `init`进程自动回收孤儿进程,无需人工干预。 --- #### 3. **核心区别** | 特征 | 僵尸进程 | 孤儿进程 | |--------------|------------------------------|------------------------------| | **状态** | 已终止(`Z`状态) | 仍在运行 | | **父进程** | 原父进程未调用`wait()` | 原父进程终止,由`init`接管 | | **资源占用** | 少量资源泄漏 | 无长期影响 | | **解决方案** | 需父进程处理或终止父进程 | 系统自动处理 | --- #### 4. **代码示例** ```c // 产生僵尸进程的示例 #include <unistd.h> int main() { if (fork() == 0) { // 子进程立即退出 return 0; } else { // 父进程不调用wait(),睡眠30秒 sleep(30); } return 0; } ``` 运行后通过`ps aux | grep Z`可观察到僵尸进程。 --- #### 5. **实际影响** - **僵尸进程**: 长期存在会导致进程ID耗尽(极端情况下)[^2]。 - **孤儿进程**: 对系统无危害,常用于守护进程的实现[^1]。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值