关于OSPF OVER GRE OVER IPSEC的问题

531207502

关于OSPF OVER GRE OVER IPSEC的问题，首先想问问，IPSEC建立的条件除了要配置正确以外，还需要有感兴趣流来触发，现在有这样一个场景，需要OSPF OVER GRE OVER IPSEC，首先配置GRE，IP地址假设为1.1.1.1/24，然后gre的source 和 destination地址分别为本路由器lo0地址2.2.2.2/24和对端路由器lo0地址3.3.3.3/24，接下来配置ipsec，匹配的感兴趣流就是2.2.2.0/24和3.3.3.0/24，然后这两台设备的local address和remote address就是本端和对端的接口地址，具体配置不说了，最后运行了OSPF协议，network为1.1.1.0/24（这里对端路由器也类似这样的配置），我想问下这个时候，IPSEC建立的条件是不是就是因为运行了ospf协议，有HELLO包发送出去，发送出去后根据gre规则变为源地址为2.2.2.2的地址，然后匹配上IPSEC感兴趣流，最终完成ipsec的建立?请知道的告诉下，谢谢了

李壑彝

http://www.h3c.com.cn/MiniSite/T ... /675214_97665_0.htm

这个帖子里面有说明哈，可以瞧瞧

bukesiyi

对的，正如你所理解的

zhurx

思科示例。。
https://www.cisco.com/c/en/us/su ... gre-ipsec-ospf.html

Introduction

Normal IP Security (IPsec) configurations cannot transfer routing protocols, such as Enhanced Interior Gateway Routing Protocol (EIGRP) and Open Shortest Path First (OSPF), or non-IP traffic, such as Internetwork Packet Exchange (IPX) and AppleTalk.

zhurx

真说不清，思科建议的解决方案应该有它特有的后台处理机制。只是看running config不能确认它的ospf hello 包是在IPSEC SA建立之前响应，还是IPSEC SA 建立之后有响应的。

liuyuhui_gdtyj

你不必纠结于ospf细节，只需要想通ospf，ipsec，gre的作用就能明白整个三者是什么关系。简单来讲，gre是建设点到点之间的网段（虚网段），然后ospf连接各个点到点之间的网段（包括实网段和虚网段）。而ipsec则与前两者没有必然的联系，它是位于网络边界（防火墙），与另一独立网络建立某条兴趣流之间的连接。或者说，gre和ospf主要用于网络内，ipsec主要用于网络外。

531207502

谢谢大家的回答哈，这次最佳给李壑彝，最近很多问题都有你的回复，谢谢了