其他分享
首页 > 其他分享> > 网络安全篇 GRE over IPSec-30

网络安全篇 GRE over IPSec-30

作者:互联网

实验难度3
实验复杂度3

 

 

 

目录

一、实验原理

二、实验拓扑

三、实验步骤

四、实验过程

总结


一、实验原理

GRE技术可以实现两个办事处的内网之间的数据通信,但是GRE协议有一个弊端,那就是它不具备数据加密特性。当需要在公网中传输机密性的数据时,若被有心人抓包进行分析,这些明文的数据就很容易被分析出来,所以它不是一个安全的协议。IPSec它可以实现数据的机密性传输,但是它的弊端之一就是无法进行多播更新(比如OSPF/RIP/EIGRP之类都是使用多播地址更新的),这样的话,它就无法在保证数据机密性的同时保证内网之间的路由更新。那能不能把GRE与IPSec的特性综合起来,使得不同地方的内网之间可以相互通信又可以保证数据的机密性?

答案是可以的,我们可以把所有的IPSec数据封装在GRE中,这样每个IPSec的报文就可以通过GRE协议来传输。当然也可以把GRE的数据封装在IPSec,下一章将会介绍IPSec over GRE。

 

二、实验拓扑

三、实验步骤

1.如图搭建网络拓扑;

2.初始化设备,配置相应的IP地址,测试直连网络的连通性;

3.在R1与R3上配置默认路由,使得它们可以相互通信;

4.配置GRE,通信网络为10.1.1.0/24;

5.配置IPSec,采用3des加密算法,MD5哈希数据,预共享方式验证;

6.配置EIGRP协议,使得公司总部与公司分部可以相互通信。

 

四、实验过程

1.如图搭建网络拓扑;

略。

2.初始化设备,配置相应的IP地址,测试直连网络的连通性;

略。

3.在R1与R3上配置默认路由,使得它们可以相互通信;

4.配置GRE,通信网络为10.1.1.0/24;

R1:

R3:

效果:

R1与R3的GRE隧道IP地址可以通信

5.配置IPSec,采用3des加密算法,MD5哈希数据,预共享方式验证;

(1)R1:

(3)R3:

6.配置EIGRP协议,使得公司总部与公司分部可以相互通信。

R1:

R3:

效果:

(1)公司总部与分部的内网都有彼此的路由

(2)内网互通

(3)抓包发现,路由更新的数据包都是采用ESP(IPSec)方式封装的

代码解析:

R1(config)#access-list 100 permit gre host 100.1.1.1 host 200.1.1.1    //配置ACL100,匹配主机100.1.1.1到主机200.1.1.1的GRE流量 

 

总结

采用GRE over IPSec技术是把GRE的数据封装在IPSec中,简单地说,就是GRE使用IPSec的报头来传输数据,所有的GRE数据在出口设备处都会经过IPSec的加密处理,在到达远程路由器的入口时会被IPSec进行解密处理,这样就实现了两个内网之间的机密性传输。本章节的内容就是把GRE与IPSec的技术综合起来使用,以达到公司内网之间机密性传输,难度不算高。好了,我们在下一个章节再见,加油!

标签:配置,R1,R3,over,30,GRE,机密性,IPSec
来源: https://blog.csdn.net/weixin_37171673/article/details/117854703