计算机网络-GRE Over IPSec实验
一、概述
前情回顾:上次基于IPsec VPN的主模式进行了基础实验,但是很多高级特性没有涉及,如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等,以后继续学习吧。
前面我们已经学习了GRE可以基于隧道口实现分支互联,然后又简单学习了IPSec VPN可以实现加密传输,但是它们都有各自的特点,GRE是明文传输,安全性不足,IPSec不支持组播路由协议,因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。
GRE over IPsec可利用GRE和IPsec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时,先进行GRE封装,再进行IPsec封装。
GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头,导致报文长度更长,更容易导致分片,所以GRE over IPsec推荐采用传输模式。
二、实验配置
在上次的IPSec VPN的基础上加上GRE的配置,原理基本一致,沿用GRE隧道接口、IPSec的加解密方式。
配置步骤:
-
配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。 -
配置GRE Tunnel接口。 -
配置IPSec安全提议,定义IPSec的保护方法。 -
配置IKE对等体,定义对等体间IKE协商时的属性。 -
配置安全框架,并引用安全提议和IKE对等体。 -
在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。 -
配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。
配置命令:
分部:
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# Ike peer对等体,这里不需要对端地址
ike peer zongbu v1pre-shared-key simple KL!@#258ike-proposal 1# 创建一个安全框架,调用ike peer 和ipsec 安全提议
ipsec profile zongbuike-peer zongbuproposal 1
#
interface GigabitEthernet0/0/0ip address 183.14.5.21 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 192.168.1.254 255.255.255.0 # 创建一个隧道接口,分配一段地址,隧道协议为gre,源目地址分别是两端的公网地址,在接口调用安全框架
interface Tunnel0/0/0ip address 10.0.0.1 255.255.255.0 tunnel-protocol gresource 183.14.5.21destination 220.103.54.39ipsec profile zongbu# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20总部:
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# ike 对等体
ike peer fengbu v1pre-shared-key simple KL!@#258ike-proposal 1# ipsec 安全框架
ipsec profile fengbuike-peer fengbuproposal 1
#
interface GigabitEthernet0/0/0ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 220.103.54.39 255.255.255.0 # 创建一个隧道口,配置源目地址以及调用安全框架
interface Tunnel0/0/0ip address 10.0.0.2 255.255.255.0 tunnel-protocol gresource 220.103.54.39destination 183.14.5.21ipsec profile fengbu# 互联的动态路由,也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 172.16.1.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38
结果验证:
然后ike和ipsec的SA都是正常的,只要GRE起来了,双方协商成功就可以。
通过动态路由协议学习到的路由:
报文抓包,可以看到数据都是经过加密后的数据,既提高了安全性也支持动态路由与组播应用等。
总结:GRE Over IPSec结合了两者的特点对数据进行加密保护,与IPSec VPN相比不需要通过ACL匹配感兴趣流,而是通过tunnel隧道口的方式匹配流量,使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP,而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。
本文由 mdnice 多平台发布
相关文章:
计算机网络-GRE Over IPSec实验
一、概述 前情回顾:上次基于IPsec VPN的主模式进行了基础实验,但是很多高级特性没有涉及,如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等,以后继续学习吧。 前面我们已经学习了GRE可以基于隧道口实现分支互联&…...
你的第一个博客-第一弹
使用 Flask 开发博客 Flask 是一个轻量级的 Web 框架,适合小型应用和学习项目。我们将通过 Flask 开发一个简单的博客系统,支持用户注册、登录、发布文章等功能。 步骤: 安装 Flask 和其他必要库: 在开发博客之前,首…...
若依启动项目时配置为 HTTPS 协议
文章目录 1、需求提出2、应用场景3、解决思路4、注意事项5、完整代码第一步:修改 vue.config.js 文件第二步:运行项目第三步:处理浏览器警告 6、运行结果 1、需求提出 在开发本地项目时,默认启动使用的是 HTTP 协议。但在某些测试…...
学习思考:一日三问(学习篇)之匹配VLAN
学习思考:一日三问(学习篇)之匹配VLAN 一、学了什么(是什么)1.1 理解LAN与"V"的LAN1.2 理解"V"的LAN怎么还原成LAN1.3 理解二层交换机眼中的"V"的LAN 二、为何会产生需求(为…...
[WiFi] WiFi 802.1x介绍及EAP认证流程整理
802.1X Wi-Fi 802.1X 是一种网络访问控制协议,常用于保护无线网络。它提供了一种基于端口的网络访问控制机制,主要用于在用户和网络之间建立安全的连接。以下是 802.1X 的一些关键特点: 认证框架 802.1X 使用 EAP(可扩展认证协议…...
用C#(.NET8)开发一个NTP(SNTP)服务
完整源码,附工程下载,工程其实也就下面两个代码。 想在不能上网的服务器局域网中部署一个时间服务NTP,当然系统自带该服务,可以开启,本文只是分享一下该协议报文和能跑的源码。网上作为服务的源码不太常见,…...
Mybatis能执行一对一、一对多的关联查询吗?都有哪些实现方式,以及它们之间的区别
MyBatis 是一个用于简化数据库操作的框架,它可以帮助开发人员通过映射语句轻松执行 SQL 查询,并且能够方便地实现对象与数据库表之间的映射。MyBatis 支持一对一、一对多和多对多等关联查询。下面我们来探讨一下 MyBatis 如何实现一对一、一对多的关联查…...
ABAP SQL 取日期+时间最新的一条数据
我们在系统对接的时候,外部系统可能会推送多个数据给到我们。 我们 SAP 系统的表数据中日期和时间是作为主键的,那么如果通过 ABAP SQL 取到最新日期的最新时间呢。 解决方案: 方式 1:SELECT MAX 可以通过两个 SELECT MAX 来取…...
【Rust自学】4.3. 所有权与函数
4.3.0 写在正文之前 在学习了Rust的通用编程概念后,就来到了整个Rust的重中之重——所有权,它跟其他语言都不太一样,很多初学者觉得学起来很难。这个章节就旨在让初学者能够完全掌握这个特性。 本章有三小节: 所有权࿱…...
【Redis分布式锁】高并发场景下秒杀业务的实现思路(集群模式)
一、什么是分布式锁 我们在上篇文章中实现了单机模式下的秒杀业务。其中采用了synchronized加锁来解决各种线程安全问题。而synchronized关键字是依赖于单机的JVM,在集群模式下,每个服务器都有独立的JVM,如果此时还采用synchronized关键字加…...
用docker快速安装电子白板Excalidraw绘制流程图
注:本文操作以debian12.8 最小化安装环境为host系统。 一、彻底卸载原有的残留 apt-get purge docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin docker-ce-rootless-extras 二、设置docker的安装源 # Add Dockers official G…...
使用Turtle库实现,鼠标左键绘制路径,用鼠标右键结束绘制,小海龟并沿路径移动
使用Turtle库实现,鼠标左键绘制路径,用鼠标右键结束绘制,小海龟并沿路径移动 Turtle库是Python标准库的一部分,它提供了一种基于命令的图形绘制方式。Turtle模块通过一个“海龟”(Turtle)对象在屏幕上移动…...
人工智能入门是先看西瓜书还是先看花书?
在人工智能入门时,关于先看《机器学习》(西瓜书)还是先看《深度学习》(花书)的问题,实际上取决于个人的学习目标和背景。 《机器学习》(西瓜书)由周志华教授撰写,是一本…...
,禁用任务管理器结束程序,在需要屏蔽双击窗体最大化、最小化、关闭)
winform中屏蔽双击最大化或最小化窗体(C#实现),禁用任务管理器结束程序,在需要屏蔽双击窗体最大化、最小化、关闭
winform中屏蔽双击最大化或最小化窗体(C#实现),禁用任务管理器结束程序,在需要屏蔽双击窗体最大化、最小化、关闭 protected override void WndProc(ref Message m){#region 处理点击窗体标题栏放大缩小问题,禁用点击窗体标题栏放大缩小//logger.Info($&…...
进程内存转储工具|内存镜像提取-取证工具
1.内存转储,内存转储(Memory Dump)是将计算机的物理内存(RAM)内容复制到一个文件中的过程,这个文件通常被称为“内存转储文件”或“核心转储文件”(Core Dump),内存转储的主要目的是…...
数据结构day5:单向循环链表 代码作业
一、loopLink.h #ifndef __LOOPLINK_H__ #define __LOOPLINK_H__#include <stdio.h> #include <stdlib.h>typedef int DataType;typedef struct node {union{int len;DataType data;};struct node* next; }loopLink, *loopLinkPtr;//创建 loopLinkPtr create();//…...
(OCPP服务器)SteVe编译搭建全过程
注意:建议使用3.6.0,我升级到3.7.1,并没有多什么新功能,反而电表的实时数据只能看到累计电能了,我回退了就正常,数据库是兼容的,java版本换位java11,其他不变就好 背景:…...
Mybatis分页插件的使用问题记录
项目中配置的分页插件依赖为 <dependency><groupId>com.github.pagehelper</groupId><artifactId>pagehelper</artifactId><version>5.1.7</version></dependency>之前的项目代码编写分页的方式为,通过传入的条件…...
36. Three.js案例-创建带光照和阴影的球体与平面
36. Three.js案例-创建带光照和阴影的球体与平面 实现效果 知识点 Three.js基础 WebGLRenderer WebGLRenderer 是Three.js中最常用的渲染器,用于将场景渲染到网页上。 构造器 new THREE.WebGLRenderer(parameters)参数类型描述parametersobject可选参数&#…...
CentOS 7 安装、测试和部署FastDFS
目录 FastDFS环境搭建 安装 libfastcommon 库 安装FastDFS 查看编译后的文件 FastDFS配置 FastDFS启动 启动tracker服务 启动storage服务 查看storage是否已经注册到了tracker下 查看存储文件的目录 FastDFS重启 FastDFS关闭 使用fdfs_test进行测试 修改client.co…...
AWS CloudFormation模板定制终极指南:从模板到个性化部署的完整教程
AWS CloudFormation模板定制终极指南:从模板到个性化部署的完整教程 【免费下载链接】aws-cloudformation-templates awslabs/aws-cloudformation-templates: 是一个包含各种 AWS CloudFormation 模板的存储库。适合查找和学习 AWS CloudFormation 模板的示例&#…...
FxSound高级功能开发:插件系统与第三方集成技术深度解析
FxSound高级功能开发:插件系统与第三方集成技术深度解析 【免费下载链接】fxsound-app FxSound application and DSP source code 项目地址: https://gitcode.com/gh_mirrors/fx/fxsound-app FxSound是一款专业的数字音频处理软件,其强大的插件系…...
Qwen2.5-0.5B Instruct在软件测试中的自动化应用
Qwen2.5-0.5B Instruct在软件测试中的自动化应用 1. 引言 软件测试是确保产品质量的关键环节,但传统测试方法往往耗时费力。开发人员需要编写大量测试用例,执行重复的测试流程,还要分析复杂的测试结果。这个过程不仅枯燥,还容易…...
别再死记硬背API了!用这3个真实JS开发案例,带你玩转泛微Ecology9前端定制
别再死记硬背API了!用这3个真实JS开发案例,带你玩转泛微Ecology9前端定制 在泛微Ecology9的二次开发中,许多前端开发者都会遇到一个共同的痛点:面对庞大的API文档无从下手,每次开发都要反复查阅手册,效率低…...
寻音捉影·侠客行企业应用:制药企业GMP培训录音中自动核查‘无菌操作’等SOP术语
寻音捉影侠客行企业应用:制药企业GMP培训录音中自动核查‘无菌操作’等SOP术语 1. 引言:制药企业的音频管理痛点 在制药企业的日常运营中,GMP(良好生产规范)培训是确保药品质量和生产安全的关键环节。每次培训都会产…...
这是什么编码 - writeup by AI
这是什么编码 - writeup by AI 📋 题目信息项目内容题目名称这是什么编码来源平台BUGKU CTF题目类型Crypto (密码学)核心考点Base 家族编码识别、多层嵌套解码涉及编码Hex、Base32、Base64 🎯 题目描述 给定的密文文件 encode.txt 中包含一串经过多重编码…...
OpenClaw隐私保护:QwQ-32B本地化部署数据边界控制
OpenClaw隐私保护:QwQ-32B本地化部署数据边界控制 1. 为什么需要关注OpenClaw的数据边界 去年我在帮一个法律团队搭建自动化文档处理系统时,第一次深刻意识到数据边界的重要性。他们处理的案件材料包含大量敏感信息,任何数据泄露都可能造成…...
Pixel Dream Workshop详细步骤:日志系统集成与渲染异常诊断方法
Pixel Dream Workshop详细步骤:日志系统集成与渲染异常诊断方法 1. 像素幻梦创意工坊简介 Pixel Dream Workshop(像素幻梦创意工坊)是一款基于FLUX.1-dev扩散模型的下一代像素艺术生成工具。它采用明亮的16-bit像素风格界面设计,…...
GPU算力优化实践:GTE-Chinese-Large在RTX 4090 D上的推理性能实测
GPU算力优化实践:GTE-Chinese-Large在RTX 4090 D上的推理性能实测 1. 模型介绍与背景 GTE-Chinese-Large是阿里达摩院推出的通用文本向量模型,专门针对中文语义理解场景进行了深度优化。这个模型能够将任意长度的文本转换为高质量的1024维向量表示&…...
告别重复造轮子:用快马平台一键生成高效yolov11开发模板
告别重复造轮子:用快马平台一键生成高效yolov11开发模板 最近在做一个基于yolov11的目标检测项目,发现从零开始搭建开发环境特别费时间。光是配环境、写基础代码、整合工具链这些重复性工作,就占用了将近一半的开发周期。后来尝试用InsCode(…...