1、修訂記錄課程編碼適用產品產品版本課程版本ISSUEHC13031068USG6000V1R1V1.0開發/優化者時間審核人開發類型（新開發/優化）戴鑫2014-08-15王銳開發丁祖賢2015-03-20優化本頁不打印HC13031068 GRE Over IPsec 目標學完本課程后，您將能夠:描述GRE及GRE Over IPSec的基本原理；掌握GRE及GRE Over IPSec的技術細節；掌握GRE及GRE Over IPSec的配置。 目錄GRE技術講解GRE OVER IPSec技術的原理和實現GRE協議概述Generic Routing EncapsulationOSI 第三層

2、隧道協議支持多種上層協議，使用一個新的IP頭來封裝其他OSI的第三層協議(e.g.，IP，IPX，AppleTalk)，使用IP傳送時，協議號為47支持組播GRE相關的參考標準與協議RFC1701：Generic Routing Encapsulation（GRE）RFC1702：Routing Encapsulation over IPv4 networksRFC2784：Generic Routing Encapsulation (GRE)draft-ietf-l3vpn-greip-2547-02：Use of PE-PE GRE or IP in BGP/MPLS IP VPNsdra

3、ft-ietf-mpls-in-ipor-gre-08：Encapsulating MPLS in IP or Generic Routing Encapsulation (GRE)GRE協議概述INTERNET總部GRE Tunnel防火墻A防火墻BIPX網絡IPX網絡鏈路層GREIPXIPPayloadFlagsProtocol Type最少4個字節GRE (Generic Routing Encapsulation): 是對某些網絡層協議（如：IP, IPX, AppleTalk等）的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協議（如IP）中傳輸。GRE報文頭的格式01234

4、567890123456789012345678901CRKsSRecureFlagsVerProtocol TypeChecksum (optional)Offset (optional)Key (optional)Sequence Number (optional)Routing (optional)前4 字節是必須出現的。第520字節將根據第1字節的相關bit位信息，可選出現。 GRE頭部的長度將影響Tunnel口的mtu值。GRE的實現-隧道接口目的地址 隧道接口IP地址 封裝類型 源地址 隧道接口（Tunnel接口）是為實現報文的封裝而提供的一種點對點類型的虛擬接口，與Loopbac

5、k接口類似，都是一種邏輯接口。 GRE的實現-封裝與解封裝FW AFW BGRE TUNNELNext hop: tunnel協議字段: 47封裝解封GRE典型應用場景描述INTERNET總部GRE TunnelE0/0/010.1.1.1/24E1/0/0192.13.2.1/24E1/0/0131.108.5.2/24E0/0/010.1.3.1/24防火墻A防火墻B運行IP協議的兩個子網網絡1和網絡2，通過在防火墻A和防火墻 B之間使用三層隧道協議GRE實現互聯。GRE配置思路基礎配置配置tunnel邏輯接口配置到對端網絡內網網段的路由放開相應的域間規則GRE的優缺點分析GRE的優點支持

6、多種上層協議支持組播GRE協議的缺點，薄弱的安全性無加密支持較弱的身份認證機制較弱的數據完整性校驗IPSec的優缺點分析IPSec的缺點只支持IP協議的封裝，不支持多種上層協議不支持組播IPSec協議的優點，較強的安全性支持加密支持身份認證機制支持數據完整性校驗GRE Over IPSec的原理ESPGREIPIPPayloadIPESPESPGREIPPayloadIPESPTransport ModeIPIP=加密內容加密內容Tunnel ModeGRE Over IPSec配置思路基礎GRE tunnel邏輯接口配置IPSec VPN配置到對端網絡內網網段的路由放開相應的域間規則GRE

7、Over IPSec配置INTERNET總部GRE TunnelE0/0/010.1.1.0/24E1/0/020.1.1.1/24E1/0/030.1.1.2/24E0/0/010.2.1.0/24防火墻A防火墻BTunnel40.1.1.1Tunnel40.1.1.2分支IPsec Tunnel完成USG_A、USG_B的接口基本配置、安全域間包過濾配置和路由配置。在USG_A和USG_B上分別創建Tunnel接口，并配置Tunnel接口的源地址和目的地址。在USG_A和USG_B上分別配置IPSec安全提議、IKE安全提議和IKE對等體。在USG_A和USG_B上將出接口指定為Tunne

8、l接口，將流量引入到隧道中。GRE Over IPSec配置（1）USG A防火墻配置（GRE）:1、對于USG系列，將接口加入安全區域，并配置域間包過濾，以保證網絡基本通信正常(略)2、配置GRE隧道接口USG_A interface tunnel 1 USG_A-Tunnel1 ip address 40.1.1.1 255.255.255.0 USG_A-Tunnel1 tunnel-protocol gre USG_A-Tunnel1 source 20.1.1.1 USG_A-Tunnel1 destination 30.1.1.2 3、在隧道的源端設備和目的端設備上配置Tunnel

9、轉發路由。USG_A ip route-static 10.2.1.0 255.255.255.0 tunnel 1 Tunnel接口可以加入到任意一個安全區域。建議當Tunnel接口和源端接口屬于同一區域。（源端地址所屬的接口）不在同一安全區域中時，需要配置域間包過濾，使兩個安全區域能夠互相訪問。USG B防火墻配置（GRE）:1、對于USG系列，將接口加入安全區域，并配置域間包過濾，以保證網絡基本通信正常(略)2、配置GRE隧道接口USG_A interface tunnel 1 USG_A-Tunnel1 ip address 40.1.1.2 255.255.255.0 USG_A-T

10、unnel1 tunnel-protocol gre USG_A-Tunnel1 source 30.1.1.2USG_A-Tunnel1 destination 20.1.1.1 3、在隧道的源端設備和目的端設備上配置Tunnel轉發路由。USG_A ip route-static 10.2.1.0 255.255.255.0 tunnel 1GRE Over IPSec配置（2）USG A防火墻配置（IPsec）:1、ACLUSG_A acl number 3000 USG_A-acl-adv-3000 rule permit ip source 20.1.1.1 0 destinatio

11、n 30.1.1.2 02、配置ike peerUSG_A ike peer USG_BUSG_A-ike-peer-USG_B pre-shared-key 12345 USG_A-ike-peer-USG_B remote-address 30.1.1.2USG B防火墻配置（IPsec）:1、ACLUSG_B acl number 3000 USG_B-acl-adv-3000 rule permit ip source 30.1.1.2 0 destination 20.1.1.1 02、配置ike peerUSG_B ike peer USG_AUSG_B-ike-peer-USG_

12、A pre-shared-key 12345 USG_B-ike-peer-USG_A remote-address 20.1.1.1GRE Over IPSec配置（3）USG A防火墻配置（IPsec）:3、配置IPsec proposalUSG_A ipsec proposal p14、配置IPsec PolicyUSG_A ipsec policy policy1 1 isakmp USG_A-ipsec-policy-isakmp-policy1-1 security acl 3000 USG_A-ipsec-policy-isakmp-policy1-1 ike-peer USG_

13、BUSG_A-ipsec-policy-isakmp-policy1-1 proposal p1USG_A interface GigabitEthernet 0/0/3 USG_A-GigabitEthernet0/0/3 ipsec policy policy1USG B防火墻配置（IPsec）:3、配置IPsec proposalUSG_B ipsec proposal p14、配置IPsec PolicyUSG_B ipsec policy policy1 1 isakmp USG_B-ipsec-policy-isakmp-policy1-1 security acl 3000 USG_B-ipsec-policy-isakmp-policy1-1 ike-peer USG_AUSG_B-ipsec-policy-isakmp-policy1-1 proposal p1USG_B interface GigabitEthernet 0/0/3 USG_A-GigabitEt