防火墙Gre over IPSec的原理和配置

实现PC1与PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口

过儿824

1409人浏览 · 2025-03-09 12:54:42

过儿824 · 2025-03-09 12:54:42 发布

一、概述

1.为什么需要Gre over IPSec技术？

一、概述

1.为什么需要Gre over IPSec技术？

（1）Gre：

①封装格式：

②不足之处：

无法进行加密

（2）IPSec：

①工作原理：

②不足之处：

传统L2L IP-sec VPN不支持组播流加密

传统L2LIP-SecVPN不支持动态路由协议

在大规模路由场景下使用手工书写ACL匹配感兴趣流操作繁琐

在大规模路由总部与分支机构场景下手工书写明细路由操作繁琐

在大规模路由总部与分支机构场景下手工书写默认路由无法保证流量正确传递

因此可将Gre 与 IPSec相互结合互补

2.封装模式

（本篇文章使用AH协议）为了更能体现其协议的封装过程，若用esp会将后续的数据包加密无法更好体现这个协议的数据包封装过程

3,工作原理

GRE over IPSec 结合了 GRE 的隧道封装和 IPSec 的安全加密功能，通过在 GRE 封装后的数据包上应用 IPSec 加密（通常使用隧道模式），实现在公共网络上安全传输数据。原始数据包先被 GRE 封装，形成新的 IP 包，再通过 IPSec 加密后传输；接收端先解密 IPSec，再解封装 GRE，最终还原原始数据包。这种方式兼具安全性（IPSec 加密）和灵活性（GRE 支持多协议和组播），常用于企业 VPN、数据中心互联和远程访问等场景。

二、实验

1.目的

实现PC1与PC2之间通过Gre over IPSec互访并且PC1能够通过NAT访问R3的loopback8接口

2.拓扑图

3.配置思路

（1）数据包转发过程：（Key）

1）由PC1发起对PC2的访问，到达防火墙之后查看路由表匹配明细路由（隧道路由）之后进入隧道接口进行Gre封装打上公网的IP地址

2）根据封装的公网源目IP地址查看路由表匹配上默认路由从实际物理外接口出去

3）在外接口已配置IPSec保护配置，接着匹配上感兴趣流量进行IPSec的加密封装再封装上加密报头在次查看路由表之后从外接口直接进行转发

4）对端出口防火墙收到之后依次的解封装最后发送给PC2

（2）配置顺序：

①基础配置通信

1）IP地址

2）接口划分安全区域

3）启用OSPF

4）配置默认路由（下发）

②配置Gre隧道

1）创建隧道接口

2）划分区域

3）通告OSPF

4）安全区域放行

③配置IPSec VPN

④NAT配置

4.具体配置

①基础配置通信

FW1（右边配置同理）
防火墙基础配置
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit  
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 13.13.13.1 30
[FW1-GigabitEthernet1/0/1]service-manage ping permit

[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/0
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/1 
创建OSPF
R1
[R1]ospf 1 router 1.1.1.1
[R1-ospf-1]a 0
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ospf enable 1 area 0
[R1]int g0/0/0          
[R1-GigabitEthernet0/0/0]ospf enable 1 area 0
FW1
[FW1]ospf 1 route 1.1.1.11
[FW1-ospf-1]a 0
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]o e 1 a 0
默认路由配置以下发
[FW1]ip route-static 0.0.0.0 0.0.0.0 13.13.13.2
[FW1]ospf 1 
[FW1-ospf-1]de
[FW1-ospf-1]default-route-advertise

测试：

②配置Gre隧道

FW1
创建隧道接口并划分安全区域和通告
[FW1]interface Tunnel12
[FW1-Tunnel12] ip address 12.12.12.1 255.255.255.252
[FW1-Tunnel12] tunnel-protocol gre
[FW1-Tunnel12] source 13.13.13.1
[FW1-Tunnel12] destination 23.23.23.1
[FW1-Tunnel12]service-manage ping permit #这个可不能忘记配置
OSPF通告
[FW1-Tunnel12]ospf enable 1 area 0
划分安全区域
[FW1]firewall zone trust 
[FW1-zone-trust]add interface tu12
安全区域放行
[FW1]security-policy
外接口的放行
[FW1-policy-security] rule name gre_out_o
[FW1-policy-security-rule-gre_out_o]  source-zone local
[FW1-policy-security-rule-gre_out_o]  destination-zone untrust
[FW1-policy-security-rule-gre_out_o]  source-address 13.13.13.0 30
[FW1-policy-security-rule-gre_out_o]  destination-address 23.23.23.0 30
[FW1-policy-security-rule-gre_out_o]  action permit
[FW1-policy-security] rule name gre_out_i
[FW1-policy-security-rule-gre_out_i]  source-zone untrust
[FW1-policy-security-rule-gre_out_i]  destination-zone local
[FW1-policy-security-rule-gre_out_i]  source-address 23.23.23.0 30
[FW1-policy-security-rule-gre_out_i]  destination-address 13.13.13.0 30
[FW1-policy-security-rule-gre_out_i]  action permit
tunnel接口的放行
[FW1-policy-security] rule name gre_in_o
[FW1-policy-security-rule-gre_in_o]  source-zone local
[FW1-policy-security-rule-gre_in_o]  source-address 12.12.12.0 30
[FW1-policy-security-rule-gre_in_o]  action permit
[FW1-policy-security] rule name gre_in_i
[FW1-policy-security-rule-gre_in_i]  destination-zone local
[FW1-policy-security-rule-gre_in_i]  destination-address 12.12.12.0 30
[FW1-policy-security-rule-gre_in_i]  action permit


FW2（同理，不在详细说明）
[FW2]interface Tunnel12
[FW2-Tunnel12] ip address 12.12.12.2 255.255.255.252
[FW2-Tunnel12] tunnel-protocol gre
[FW2-Tunnel12] source 23.23.23.1
[FW2-Tunnel12] destination 13.13.13.1
[FW2-Tunnel12] ospf enable 1 area 0.0.0.0
[FW2-Tunnel12]service-manage ping permit #这个可不能忘记配置
[FW2]firewall zone trust 
[FW2-zone-trust]add interface Tunnel 12
[FW2]security-policy
[FW2-policy-security] rule name gre_out_o
[FW2-policy-security-rule-gre_out_o]  source-zone local
[FW2-policy-security-rule-gre_out_o]  destination-zone untrust
[FW2-policy-security-rule-gre_out_o]  source-address 23.23.23.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_out_o]  destination-address 13.13.13.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_out_o]  action permit
[FW2-policy-security-rule-gre_out_o] rule name gre_out_i
[FW2-policy-security-rule-gre_out_i]  source-zone untrust
[FW2-policy-security-rule-gre_out_i]  destination-zone local
[FW2-policy-security-rule-gre_out_i]  source-address 13.13.13.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_out_i]  destination-address 23.23.23.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_out_i]  action permit
[FW2-policy-security-rule-gre_out_i] rule name gre_in_o
[FW2-policy-security-rule-gre_in_o]  source-zone local
[FW2-policy-security-rule-gre_in_o]  source-address 12.12.12.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_in_o]  action permit
[FW2-policy-security-rule-gre_in_o] rule name gre_in_i
[FW2-policy-security-rule-gre_in_i]  destination-zone local
[FW2-policy-security-rule-gre_in_i]  destination-address 12.12.12.0 mask 255.255.255.252
[FW2-policy-security-rule-gre_in_i]  action permit

疑问：为什么不需要放行从PC1--PC2的安全策略？

因为tunnel接口属于trust区域，同一个安全区域之间可以互访

测试：

③配置IPSec VPN

FW1
IPsec的安全策略放行与Gre刚好一致无需匹配
创建感兴趣流量：（因为通过tunnel接口的封装为公网源目IP地址）
[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 13.13.13.1 0.0.0.0 destination 23.23.23.1 0.0.0.0
配置IPSec保护：
创建IKE安全提议
[FW1]ike proposal 5
[FW1-ike-proposal-5] encryption-algorithm aes-128
[FW1-ike-proposal-5] dh group14
[FW1-ike-proposal-5] authentication-algorithm sha1
[FW1-ike-proposal-5] authentication-method pre-share
[FW1-ike-proposal-5] integrity-algorithm hmac-sha2-256
[FW1-ike-proposal-5] prf hmac-sha2-256
创建IKE peer
[FW1]ike peer B
[FW1-ike-peer-B] undo version 2
[FW1-ike-peer-B] pre-shared-key Huawei@123
[FW1-ike-peer-B] ike-proposal 5
[FW1-ike-peer-B] remote-address 23.23.23.1
[FW1-ike-peer-B]exchange-mode main
创建IPSec安全提议
[FW1]ipsec proposal p
[FW1-ipsec-proposal-p] transform ah
[FW1-ipsec-proposal-p] ah authentication-algorithm sha1
IPSec策略
[FW1]ipsec policy p1 10 isakmp 
Info: The ISAKMP policy sequence number should be smaller than the template policy sequence number in the policy group. Otherwise, the ISAKMP policy does not take effect.
[FW1-ipsec-policy-isakmp-p1-10]se
[FW1-ipsec-policy-isakmp-p1-10]security acl 3000
[FW1-ipsec-policy-isakmp-p1-10]il
[FW1-ipsec-policy-isakmp-p1-10]ik
[FW1-ipsec-policy-isakmp-p1-10]ike-peer B
[FW1-ipsec-policy-isakmp-p1-10]pro
[FW1-ipsec-policy-isakmp-p1-10]proposal p
调用
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ips
[FW1-GigabitEthernet1/0/1]ipsec po
[FW1-GigabitEthernet1/0/1]ipsec policy p1
FW2：
[FW2]acl 3000                                                               
[FW2-acl-adv-3000]rule permit ip source 23.23.23.1 0.0.0.0 destination 13.13.13.1 0.0.0.0
[FW2]ike proposal 5
[FW2-ike-proposal-5] encryption-algorithm aes-128
[FW2-ike-proposal-5] dh group14
[FW2-ike-proposal-5] authentication-algorithm sha1
Warning: The security level of md5/sha1 is low.
[FW2-ike-proposal-5] authentication-method pre-share
[FW2-ike-proposal-5] integrity-algorithm hmac-sha2-256
[FW2-ike-proposal-5] prf hmac-sha2-256
[FW2]ike peer A
[FW2-ike-peer-A] undo version 2
[FW2-ike-peer-A] pre-shared-key Huawei@123
[FW2-ike-peer-A] ike-proposal 5
[FW2-ike-peer-A] remote-address 13.13.13.1
[FW2-ike-peer-A]exchange-mode main

测试：

④NAT配置

[FW1-policy-security] rule name internet
[FW1-policy-security-rule-internet]  source-zone trust
[FW1-policy-security-rule-internet]  destination-zone untrust                
[FW1-policy-security-rule-internet]  source-address 172.16.1.0 mask 255.255.255.0
[FW1-policy-security-rule-internet]  action permit

[FW1]nat-policy
[FW1-policy-nat] rule name nat
[FW1-policy-nat-rule-nat]  source-zone trust
[FW1-policy-nat-rule-nat]  destination-zone untrust
[FW1-policy-nat-rule-nat]  source-address 172.16.1.0 mask 255.255.255.0
[FW1-policy-nat-rule-nat]  action source-nat easy-ip