gre over ipsec 和 ipsec over gre 到底怎么区分
到底该怎么区分 头都大了一个设置对等体为对端物理接口
另一个设置对等体为对端GRE接口
啊啊啊啊啊啊啊
GRE over IPSEC 在接口下调用策略以及模板。
而IPSEC over GRE是在Tunnel 接口下调用策略。
刚才总结了下IPSEC over GRE 和 GRE over IPSEC 和大家分享下
1、 GRE over IPSEC:ipsec中acl匹配的是tunnle流,源和目的是隧道的源和目的
IPSEC over GRE:acl匹配的就是业务流
2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC:ipsec policy应用在本地物理接口上
IPSEC over GRE:ipsec policy应用在本地tunnel接口上
4.、对于GRE VPN,若公网地址不固定,则应在tunnel中的源和目的参数选用本地loopback接口地址,公网打通Loopback,
如果GRE路由选用OSPF等动态路由协议发布千万不要发布loopback接口地址,会引起表内自环路由动荡
5、 对于IPSEC VPN,若一端公网地址固定,一端公网地址不固定(如通过PPPOE拨号方式,或DHCP分配等),则两端IKE对 等体需配置为野蛮模式,且公网地址不固定端需使用id-type name (默认是id-type ip)、remote name(ike local name默认是网关设备名称)和 remote addess方式,IPSEC流量触发为有固定公网地址端单向触发;
6、 对于IPSEC VPN的NAT穿越功能,必须IKE对等体配置为野蛮模式,必须使用ESP封装方式,不能用AH封装也不能AH+ESP,且ipsec的安全提议必须工作在隧道模式(默认),而不能为传输模式;也由私网内部(藏在NAT后方)触发,在两端配置nat-traversal
如果本网关也是nat设备需要deny掉Ipsec的流防止nat修改ipsec流导致ipsec失败
7、 对于总部多分支机构的情况下做IPSEC VPN,总部端可以通过IPSEC的安全模板来实现,然后在IPSEC的安全策略中调用安 全模板,安全模板中可以不定义匹配的安全ACL,此时IPSEC的数据流触发为分支机构端单向触发。配置:
ipsec policy 1 1 isakmp template 前一个1为策略名字,后一个1为结点号(顺序号)安全模板的意思就是自动配置IPSEC ACL流配置,
8、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况,在配置完成IPSEC VPN后,一定要触发一下保护的流量(ping命 令),若清除sa,顺序应为先reset ipsec sa,然后再reset ike sa
页:
[1]