当前位置：首页 > news >正文

计算机网络-GRE Over IPSec实验

news 2026/2/9 12:09:11

一、概述

前情回顾：上次基于IPsec VPN的主模式进行了基础实验，但是很多高级特性没有涉及，如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等，以后继续学习吧。

前面我们已经学习了GRE可以基于隧道口实现分支互联，然后又简单学习了IPSec VPN可以实现加密传输，但是它们都有各自的特点，GRE是明文传输，安全性不足，IPSec不支持组播路由协议，因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。

GRE over IPsec可利用GRE和IPsec的优势，通过GRE将组播、广播和非IP报文封装成普通的IP报文，通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时，先进行GRE封装，再进行IPsec封装。

GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头，导致报文长度更长，更容易导致分片，所以GRE over IPsec推荐采用传输模式。

二、实验配置

在上次的IPSec VPN的基础上加上GRE的配置，原理基本一致，沿用GRE隧道接口、IPSec的加解密方式。

配置步骤：

配置物理接口的IP地址和到对端的静态路由，保证两端路由可达。
配置GRE Tunnel接口。
配置IPSec安全提议，定义IPSec的保护方法。
配置IKE对等体，定义对等体间IKE协商时的属性。
配置安全框架，并引用安全提议和IKE对等体。
在Tunnel接口上应用安全框架，使接口具有IPSec的保护功能。
配置Tunnel接口的转发路由，将需要IPSec保护的数据流引到Tunnel接口。

配置命令：

分部：
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# Ike peer对等体，这里不需要对端地址
ike peer zongbu v1pre-shared-key simple KL!@#258ike-proposal 1# 创建一个安全框架，调用ike peer 和ipsec 安全提议
ipsec profile zongbuike-peer zongbuproposal 1
#
interface GigabitEthernet0/0/0ip address 183.14.5.21 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 192.168.1.254 255.255.255.0 # 创建一个隧道接口，分配一段地址，隧道协议为gre，源目地址分别是两端的公网地址，在接口调用安全框架
interface Tunnel0/0/0ip address 10.0.0.1 255.255.255.0 tunnel-protocol gresource 183.14.5.21destination 220.103.54.39ipsec profile zongbu# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20总部：
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# ike 对等体
ike peer fengbu v1pre-shared-key simple KL!@#258ike-proposal 1# ipsec 安全框架
ipsec profile fengbuike-peer fengbuproposal 1
#
interface GigabitEthernet0/0/0ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 220.103.54.39 255.255.255.0 # 创建一个隧道口，配置源目地址以及调用安全框架
interface Tunnel0/0/0ip address 10.0.0.2 255.255.255.0 tunnel-protocol gresource 220.103.54.39destination 183.14.5.21ipsec profile fengbu# 互联的动态路由，也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 172.16.1.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38

结果验证：

然后ike和ipsec的SA都是正常的，只要GRE起来了，双方协商成功就可以。

通过动态路由协议学习到的路由：

报文抓包，可以看到数据都是经过加密后的数据，既提高了安全性也支持动态路由与组播应用等。

总结：GRE Over IPSec结合了两者的特点对数据进行加密保护，与IPSec VPN相比不需要通过ACL匹配感兴趣流，而是通过tunnel隧道口的方式匹配流量，使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP，而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。

本文由 mdnice 多平台发布

计算机网络-GRE Over IPSec实验

一、概述

二、实验配置

相关文章：

计算机网络-GRE Over IPSec实验

你的第一个博客-第一弹

若依启动项目时配置为 HTTPS 协议

学习思考：一日三问（学习篇）之匹配VLAN

[WiFi] WiFi 802.1x介绍及EAP认证流程整理

用C#(.NET8)开发一个NTP（SNTP）服务

Mybatis能执行一对一、一对多的关联查询吗？都有哪些实现方式，以及它们之间的区别

ABAP SQL 取日期+时间最新的一条数据

【Rust自学】4.3. 所有权与函数

【Redis分布式锁】高并发场景下秒杀业务的实现思路（集群模式）

用docker快速安装电子白板Excalidraw绘制流程图

使用Turtle库实现，鼠标左键绘制路径，用鼠标右键结束绘制，小海龟并沿路径移动

人工智能入门是先看西瓜书还是先看花书？

winform中屏蔽双击最大化或最小化窗体(C#实现)，禁用任务管理器结束程序,在需要屏蔽双击窗体最大化、最小化、关闭

进程内存转储工具|内存镜像提取-取证工具

数据结构day5：单向循环链表代码作业

(OCPP服务器)SteVe编译搭建全过程

Mybatis分页插件的使用问题记录

36. Three.js案例-创建带光照和阴影的球体与平面

CentOS 7 安装、测试和部署FastDFS

多云管理“拦路虎”：深入解析网络互联、身份同步与成本可视化的技术复杂度

Java 语言特性(面试系列1)

FFmpeg 低延迟同屏方案

Cilium动手实验室: 精通之旅---20.Isovalent Enterprise for Cilium: Zero Trust Visibility

HTML 列表、表格、表单

Module Federation 和 Native Federation 的比较

【配置 YOLOX 用于按目录分类的图片数据集】

04-初识css

腾讯云V3签名

代码规范和架构【立芯理论一】（2025.06.08）