2023学年完整公开课版GREoverIPSec

1GREoverIPSec学完本课程后，您将能够了解GREOVERIPSEC目标2目录31.

GREOVERIPSEC概述GRE的优缺点分析4GRE的优点支持多种上层协议支持组播GRE的缺点—薄弱的安全性不支持加密较弱的身份认证机制较弱的数据完整性校验IPSec的优缺点分析5IPSec的缺点只支持IP协议的封装，不支持多种上层协议不支持组播IPSec的优点—较强的安全性支持加密支持身份认证机制支持数据完整性校验组播业务的安全传输6业务需求：某公司运行了组播业务，在两个分支之间需要进行业务传输，目前使用GRE隧道来完成这一需求，但GRE隧道安全性较低，管理员希望能用更高安全性的方法传输业务数据。场景关键点组播业务。IPSec不支持组播、广播和非IP报文。GRE传输安全性低。解决方案关键点使用IPSec对传输数据进行加密。采用GREOverIPSec传输组播业务。组网方案：GREOverIPSec应用场景7GREoverIPSec8分部网关NGFW_A和总部网关NGFW_B已经建立了GRE隧道，现需要在GRE隧道之外再封装IPSec隧道，对总部和分部的通信进行加密保护。Internet1.1.1.1/24NGFW_ANGFW_B分部总部IPSec隧道GRE隧道3.3.3.3/24GREoverIPSec传输模式9传输模式不改变GRE封装后的报文头，IPSec隧道的源和目的地址就是GRE封装后的源和目的地址。GREoverIPSec传输模式10分部网关NGFW_A和总部网关NGFW_B建立GREoverIPSec隧道，使用NGFW公网接口建立GRE隧道，现采取传输模式封装用户报文，思考：用户A访问用户B的报文有几个IP报头？各IP报头的源和目的地址分别是哪些？Internet1.1.1.1/24NGFW_ANGFW_B分部总部IPSec隧道GRE隧道3.3.3.3/24192.168.1.1/24192.168.2.1/24用户A用户BGREoverIPSec隧道模式11隧道模式使用新的IPSec报文头来封装经过GRE封装后的消息。GREoverIPSec隧道模式12分部网关NGFW_A和总部网关NGFW_B建立GREoverIPSec隧道，使用NGFW公网接口建立GRE隧道，现采取隧道模式封装用户报文，思考：用户A访问用户B的报文有几个IP报头？各IP报头的源和目的地址分别是哪些？Internet1.1.1.1/24NGFW_ANGFW_B分部总部IPSec隧道GRE隧道3.3.3.3/24192.168.1.1/24192.168.2.1/24用户A用户BGREoverIPSec配置思路13配置GRETunnel逻辑接口配置IPSecVPN配置到对端网络内网网段的路由配置域间安全策略GREOverIPSec配置思路(CLI)14防火墙基本配置（略）开始结束配置IPSec配置到达对端私网的静态路由出接口为tunnel接口Tunnel接口配置GRE配置基本配置关键配置配置IKE与IPSec提议配置IPSec安全框架将安全框架应用到Tunnel接口上GREoverIPSec配置举例15对于NGFW_A和NGFW_B，配置思路相同。如下：分别创建GRE隧道接口，并配置GRE隧道接口的IP地址、源地址和目的地址。配置安全策略。配置静态路由，将出接口指定为GRE隧道接口，将流量引入到隧道中。配置IPSec隧道。包括配置IPSec策略的基本信息、待加密的数据流和安全提议。关键配置16创建GRETunnel接口配置到达目的私网的路由由Tunnel接口出去创建IPSec框架将IPSec框架应用在GREtunnel接口下[FW_A]interfaceTunnel1[FW_A-Tunnel1]tunnel-protocolgre[FW_A-Tunnel1]source1.1.3.1[FW_A-Tunnel1]destination1.1.5.1[FW_A-Tunnel1]ipaddress172.16.2.124[FW_A]iproute-static10.1.2.024Tunnel1[FW_A]ipsecprofilepro1[FW_A-ipsec-profile-pro1]proposaltran1[FW_A-ipsec-profile-pro1]ike-peerb[FW_A]interfacetunnel1[FW_A-Tunnel1]ipsecprofilepro1GREoverIPSec配置17NGFW_A防火墙配置（GRE）：1、将接口加入安全区域，并配置域间策略，以保证网络基本通信正常（略）。2、配置GRE隧道接口。[NGFW_A]interfacetunnel1[NGFW_A-Tunnel1]ipaddress10.3.1.1255.255.255.0[NGFW_A-Tunnel1]tunnel-protocolgre[NGFW_A-Tunnel1]source1.1.3.1[NGFW_A-Tunnel1]destination1.1.5.13、配置Tunnel转发路由。[NGFW_A]iproute-static10.1.2.024tunnel1建议将Tunnel接口和隧道源接口（本端与公网连接的物理接口）加入到同一个安全区域。如果他们加入了不同的安全区域，需要配置安全策略，使两个安全区域能够互相访问。NGFW_B防火墙配置（GRE）：1、将接口加入安全区域，并配置域间策略，以保证网络基本通信正常（略）。2、配置GRE隧道接口。[NGFW_B]interfacetunnel1[NGFW_B-Tunnel1]ipaddress10.3.1.2255.255.255.0[NGFW_B-Tunnel1]tunnel-protocolgre[NGFW_B-Tunnel1]source1.1.5.1[NGFW_B-Tunnel1]destination1.1.3.13、配置Tunnel转发路由。[NGFW_B]iproute-static10.1.1.024tunnel1GREoverIPSec配置18NGFW_A防火墙配置（IPSec）：1、配置ACL，定义需要保护的数据流：[NGFW_A]aclnumber3000[NGFW_A-acl-adv-3000]rulepermitipsource1.1.3.10destination1.1.5.102、配置IKEpeer：[NGFW_A]ikepeerNGFW_B[NGFW_A-ike-peer-NGFW_B]pre-shared-key12345[NGFW_A-ike-peer-NGFW_B]remote-address1.1.5.1NGFW_B防火墙配置（IPSec）：1、配置ACL，定义需要保护的数据流：[NGFW_B]aclnumber3000[NGFW_B-acl-adv-3000]rulepermitipsource1.1.5.10destination1.1.3.102、配置IKEpeer：[NGFW_B]ikepeerNGFW_A[NGFW_B-ike-peer-NGFW_A]pre-shared-key12345[NGFW_B-ike-peer-NGFW_A]remote-address1.1.3.1GREoverIPSec配置19NGFW_A防火墙配置（IPSec）：3、配置IPsecproposal：[NGFW_A]ipsecproposalp14、配置IPsecPolicy：[NGFW_A]ipsecpolicypolicy11isakmp[NGFW_A-ipsec-policy-isakmp-policy1-1]securityacl3000[NGFW_A-ipsec-policy-isakmp-policy1-1]ike-peerNGFW_B[NGFW_A-ipsec-policy-isakmp-policy1-1]proposalp1[NGFW_A]interfaceGigabitEthernet1/0/1[NGFW_A-GigabitEthernet1/0/1]ipsecpolicypolicy1NGFW_B防火墙配置（IPSec）：3、配置IPsecproposal：[NGFW_B]ipsecproposalp14、配置IPsecPolicy：[NGFW_B]ipsecpolicypolicy11isakmp[NGFW_B-ipsec-policy-isakmp-policy1-1]securityacl3000[NGFW_B-ipsec-policy-isakmp-policy1-1]ike-peerNGFW_A[NGFW_B-ipsec-policy-isakmp-policy1-1]proposalp1[NGFW_B]interfa