专业提供IPLC、MPLS VPN、SD-WAN、IEPL、海外IDC、云专线等技术方案。
咨询热线:400-028-9798

海外专线-国际带宽-微云网络

IPLC

当GRE遇上IPSec后,安全性终于有了保障

发布时间:2021-07-10 15:33:06作者:网络之路博客阅读:0

[导读]: 回顾GRE配置 BJ_FW身后有一个服务器,CS_FW与CD_R后面的client需要访问这个服务器,希望不把服务器暴露在公网上面,能实现的那就只有GRE与IPSec了,但是GRE没有安全性保障,IPSec有安全性,

回顾GRE配置

当GRE遇上IPSec后,安全性终于有了保障

BJ_FW身后有一个服务器,CS_FW与CD_R后面的client需要访问这个服务器,希望不把服务器暴露在公网上面,能实现的那就只有GRE与IPSec了,但是GRE没有安全性保障,IPSec有安全性,那能不能把GRE与IPSec结合起来一起使用呢?下面先回顾下GRE的配置,把各个点之前打通,然后在这个基础上面尝试下用IPSec部署,看看有什么样的效果。

配置要点

  • 图里面BJ与CS是防火墙,而CD是一台路由器,配置方面没什么区别

  • BJ与CS需要考虑安全策略的放行,这个可以参考下29篇(这里为了简化策略全放)

  • 各自可以通过静态或者动态路由来完成内网之间的互通。

  • 基础接口对接配置这里就不在详细讲解了。

1、internet基础配置

#

interfaceGigabitEthernet0/0/0

 ip address 202.100.1.254 255.255.255.0

#

interfaceGigabitEthernet0/0/1

 ip address 61.128.1.254 255.255.255.0

#

interfaceGigabitEthernet0/0/2

 ip address 103.15.1.254 255.255.255.0

#

2、BJ_FW的基础配置

#

interfaceGigabitEthernet1/0/0

 undo shutdown

 ip address 202.100.1.1 255.255.255.0

#

interfaceGigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.10.254 255.255.255.0

#

firewall zone trust

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 add interface GigabitEthernet1/0/0

#

ip route-static 0.0.0.00.0.0.0 202.100.1.254

#

nat-policy

 rule name internet

  source-zone trust

  destination-zone untrust

  source-address 192.168.10.0 0.0.0.255

  action source-nat easy-ip

 

3、CS_FW的基础配置

#

interfaceGigabitEthernet1/0/0

 undo shutdown

 ip address 61.128.1.1 255.255.255.0

#

interfaceGigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.20.254 255.255.255.0

#

firewall zone trust

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 add interface GigabitEthernet1/0/0

#

ip route-static 0.0.0.00.0.0.0 61.128.1.254

#

nat-policy

 rule name internet

  source-zone trust

  destination-zone untrust

  source-address 192.168.20.0 0.0.0.255

  action source-nat easy-ip

 

4、CD_R的基础配置

#

interfaceGigabitEthernet0/0/0

 ip address 103.15.1.1 255.255.255.0

#

interfaceGigabitEthernet0/0/1

 ip address 192.168.30.254 255.255.255.0

#

ip route-static 0.0.0.00.0.0.0 103.15.1.254

#

acl number 3000 

 rule 5 permit ip source 192.168.30.0 0.0.0.255

#

interfaceGigabitEthernet0/0/0

 ip address 103.15.1.1 255.255.255.0

 nat outbound 3000

 

(至此除了安全策略没展示,其余基础配置都完成了,安全策略参考下29篇,这里暂时全放)

 

5、GRE相关配置

当GRE遇上IPSec后,安全性终于有了保障

总体下来BJ_FW创建了2个tunnel隧道,一个对接CS防火墙,一个对接CD路由器,然后加入了安全区域,CS防火墙这边也创建了一个对接BJ防火墙,注意的是路由器这边,路由器的tunnel接口是tunnel0/0/0,跟防火墙有点区别,其余的配置是一样的,然后不需要加入安全区域。

当GRE遇上IPSec后,安全性终于有了保障

防火墙测试接口的连通性是没任何问题了(这里为了简化策略全放)

 

6、局域网之间互通

隧道已经通了 ,互通的话很简单,可以通过静态路由,或者是跑动态路由,这里简单点来跑个静态路由。

[BJ_FW]ip route-static 192.168.20.0 24 Tunnel 0

[BJ_FW]ip route-static 192.168.30.0 24 Tunnel 1

[CS_FW]ip route-static 192.168.10.0 24 Tunnel 0

[CD_R]ip route-static 192.168.10.0 24 Tunnel 0/0/0

7、实际测试

在测试之前记得检测客户端的地址是否都设置了,并且服务器开启了80服务

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

访问没问题,GRE打通是没任何问题了,现在主要的是如何把IPSec融入进来。

GRE Over IPSec

当GRE遇上IPSec后,安全性终于有了保障

上面GRE已经连通了,但是缺乏安全性,这个时候IPSec出现了,IPSec不单单可以自己建立隧道,还可以兼容GRE等协议,为他们提供保护,这种方式称为 GRE over IPSec,就是数据报文先通过GRE封装,然后在进行IPSec封装。为什么有这样的技术出现呢?第一个是可以兼容更多的协议来保护这些不支持安全加密的(比如GRE、L2TP等),第二个是IPSec本身它是不支持组播的,假设我们的站点之间想跑OSPF协议,如果单纯的IPSec则无法实现,有了GRE的帮忙,那么组播就能够轻松穿越了,所以GRE over IPSec会更加的灵活。

GRE与IPSec是如何封装的?

GRE与IPSec结合,这两种协议都是需要封装的,那么在IPSec里面有两种封装方式,一个是隧道、一个是传输模式,那么在GRE over IPSec中应该选择哪种呢?这就需要来了解下数据包的结构了。

当GRE遇上IPSec后,安全性终于有了保障

在GRE OVER IPSec里面,传输模式跟隧道模式都能来保护私网的数据安全,但是仔细看其实可以发现隧道模式比传输模式多了一个IPSec的头部,这是加重了数据包的长度,会容易导致分片,所以在实际中比较推荐使用传输模式。(这个是GRE over IPSec,包括后面要讲解的L2TP over IPSec都会采用传输模式),因为GRE产生新的头部已经能够保证数据包穿越互联网了,而且里面的内容被ESP进行保护加密了,达到了最终的需求。

GRE over IPSec配置

GRE上面已经配置完毕了,这里来加入IPSec进来,看看IPSec这块有什么不一样的。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

配置里面几个不一样的地方,这里说明下

(1)ACL,平时的IPSec匹配的是双方的局域网之间的流量,但是这个是GRE over IPSec,IPSec保护GRE,而GRE里面包含了实际的数据,最终可以看到ACL匹配的各自公网地址的GRE流量。

(2)IKE提议与IPSec安全提议:会发现比之前的有点不一样,之前都是防火墙对接,所以可以用默认参数,但是有了路由器就不一样了,因为路由器的版本不一样,支持的算法强度不一样,很多没法支持最新的算法,所以要改成一致,否则会出现建立不起来的情况。

当GRE遇上IPSec后,安全性终于有了保障

(3)BJ_FW这边由于是同时跟CS与CD建立,所以需要两个IPSec policy策略,来各自匹配,但是也可以简化成一个。(视频会单独演示下)

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

问题出现了,CS_FW的建立成功了,但是CD_R却失败了,这里说下,并不是配置有问题,而是模拟器路由器与防火墙对接IPSec有这个问题,博主特意用debug看了下报错,提示是共享密钥不一致,我反复确认过,也重新输入过,确定是一致的。

当GRE遇上IPSec后,安全性终于有了保障

为了严谨性,我本想用真机AR系列路由器桥接到网络里面跟防火墙对接,结果发现桥接不起来,只好放弃了。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

直连网关都不通,这台不通的只能用防火墙来代替了。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

当替换这套台路由器后,用防火墙就建立起来了。

当GRE遇上IPSec后,安全性终于有了保障

BJ_FW这边有两对IKE的SA,一对是来自于CS的,一对来至于CD。

当GRE遇上IPSec后,安全性终于有了保障

两个IPSec SA里面有点特别就是在FLOW里面后面有个47,47表示协议号,就是GRE协议,说明保护的就是GRE,而且我们这里用的是隧道模式,并没有用传输模式,建立是可以建立的,但是会多出来20个字节。

当GRE遇上IPSec后,安全性终于有了保障当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

抓包也可以看到,IPSec新头部后,就是ESP,然后里面的内容都被加密了,所以看不到,那么改成传输模式看看。

ipsec proposal 1

 encapsulation-mode transport

(3个点都改成传输模式,然后要执行resetike sa    reset ipsec sa,重新建立)

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

重新建立后就变成传输模式了,这种会更加优化。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

抓包看,用传输模式效果比隧道模式少了一个新的IPSec头部,而GRE新IP头部跟IPSec新IP头部生成的内容其实是一样的,所以在GRE over IPSec下面比较推荐用传输模式。(注意是标准的GRE over IPSec使用传输模式,在后面的案例里面会讲解利用GRE衍生出来的特殊方案,就不一定可以用传输了)

如果跑动态路由协议OSPF会发生什么事?

去掉静态路由,清空IKE与IPSec SA信息。

BJ防火墙操作

undo ip route-static 192.168.20.0 255.255.255.0 Tunnel0

undo ip route-static 192.168.30.0 255.255.255.0 Tunnel1

#

reset ike sa

reset ipse sa

#

ospf 1 router-id10.1.1.1

 area 0.0.0.0

  network 10.1.1.1 0.0.0.0

  network 10.1.1.5 0.0.0.0

  network 192.168.10.0 0.0.0.255

CS防火墙操作

undo ip route-static 192.168.10.0 255.255.255.0 Tunnel0

#

reset ike sa

reset ipse sa

#

ospf 1 router-id10.1.1.2

 area 0.0.0.0

  network 10.1.1.2 0.0.0.0

  network 192.168.20.0 0.0.0.255

 

CD防火墙操作

undo ip route-static 192.168.10.0 255.255.255.0 Tunnel0

#

reset ike sa

reset ipse sa

#

ospf 1router-id 10.1.1.6

 area 0.0.0.0

  network 10.1.1.6 0.0.0.0

  network 192.168.30.0 0.0.0.255

当GRE遇上IPSec后,安全性终于有了保障

会发现OSPF自动就建立起来了

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

IKE与IPSec SA也都有了,并没有实际实际业务流量去触发IPSec建立,那它为什么能够自动的建立起来呢?

就是OSPF的功劳,OSPF里面宣告了tunnel口以及业务口的网段,那么会定期的去发送OSPF hello包,tunnel口的流量就会被发送出去,从而触发IPSec建立,建立成功后,那么OSPF的邻居也能够正常的建立起来,这个也是在项目中用的多的一种方式,希望IPSec能够自动化的去建立,而不是断开后需要依靠业务流量来触发建立。(华为设备是可以自动触发建立的,这个后面会讲解,这里说的其实是一种思路,像思科、华三的设备目前还不支持自动建立。)

当GRE遇上IPSec后,安全性终于有了保障

BJ防火墙这边能收到2个网段的路由。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

动态路由协议虽然很方便,但是带来了一个问题,它把各自分支的路由也学到了,相当于CS与CD之间也可以互通了。

当GRE遇上IPSec后,安全性终于有了保障

当GRE遇上IPSec后,安全性终于有了保障

两边互访没任何问题。

这就分情况来决定了

  • 如果分支之间不需要互访,建议用静态路由,如果要运行动态路由协议,建议多进程,这样可以区分开。

  • 如果分支之间需要互访,用动态路由协议是最方便的,简化配置量。

分支之间是如何通信的?

分支之间通信测试过了,但是它们之间通信是如何通的呢?分支之间并没有建立IPSec链接,其实从路由就可以看出来了,CS去往10.0跟30.0网段都是走的tunnel 10.1.1.1 BJ这边,CD去往10.0跟20.0也是走的tunnel 10.1.1.5 BJ这边,所以分支之间通信是通过BJ这边中转的,而并不是说CS与CD直接就互通了。

当GRE遇上IPSec后,安全性终于有了保障

这就带来了一个问题了,在实际项目中,确实有分支之间需要互通的场景,但是如果分支比较多,业务流量都需要经过总部中转,对总部的设备压力会相对较大,而且也吃总部的宽带资源,所以实际中要考虑的方面会多些,如果真的有很多分支需要互访,就要从总部的设备性能、带宽等方面权衡是否能够支撑起来。)

GRE over IPSec总结

  • 实际配置就是GRE+IPSec的配置,ACL与封装模式这里有点区别注意下

  • GRE over IPSec标准情况下,双方之间都是需要公网地址建立的,而且建议使用传输模式

  • 注意分片问题,建议把GRE的tunnel隧道MTU减少在1380~1400之间,尽量减少分片

  • 如果分支之间不需要互访,又跑动态路由协议,建议使用多个进程进行区分

  • 分支少的场景可以直接使用静态路由协议

  • GRE over IPSec 只要tunnel隧道不在NAT范围内,比如案例里面在GRE区域,则不需要做NONAT策略。

  • 以上就是当GRE遇上IPSec后,安全性终于有了保障的介绍,Vecloud为国内外用户供给包括全球主机托管、主机租用、云专线接入等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递 更多信息之目的,并不意味着赞同其观点或证实其内容的真实性,如本站文章和转稿涉及版权等问题,请作者在及时联系我们本站,我们会尽快处理。

标题:当GRE遇上IPSec后,安全性终于有了保障

TAG标签:

地址:http://www.vecloud.com.cn/zhishibaike/304.html

常见问题

  • 如何解决网络丢包问题?

    常常会遇到各种各样的网络性能问题:丢包,延迟,TCP问题。 当这些问题影响传统企业应用程序时,有很多工具可以用于查找这些问题。可是,在面向互联网的应用程序中寻找丢包和延

  • 淘宝直播海外专线怎么开通?

    直播是淘宝全球采购市场非常重要的引流渠道;通过直播,用户可以增加对自己的信任,从而更好地促进转型。很多买家会在海外直播,但是网络卡顿影响用户观看,所以不能错过海外专线。这是什么?怎样添加?

  • 什么是硬盘挖矿?chia硬盘挖矿是什么意思?

    随着币圈一片火热,特斯拉入局比特币,大大刺激了挖矿行业,导致挖矿的人们连硬盘也不放过了。显卡暴涨后,现在有个叫chia(奇亚),以存储空间来挖矿。硬盘挖矿是什么意思?硬盘

  • 公司KUDO进行国际会议卡顿延迟的解决方案

    最近经常有客户咨询公司KUDO进行国际会议卡顿的问题,今天小编就做个简单总结,分享给大家,希望能解决大家KUDO进行国际会议卡顿延迟的问题。跨国视频会议延时很难保证。 想要做

  • 应该选择公有云还是私有云?

    众所周知,上云是企业数字化转型的关键一步。因此,什么样的云成为企业必须理解的问题。然而,从公有云和私有云的优缺点来看,事情可能并不简单。公共云便宜,扩展灵活,配置和PaaS丰富,SaaS应用可选。这相

  • 专线海外到国内的延迟高怎么回事?

    海外网络延迟高的原因有哪些:1.服务器之间的物理距离是硬伤。海外网络延迟较高,服务器延迟仅与物理距离和路由有关。一般来说,简单的理解与物理距离有更大的关系。物理距离越近,延迟越低。延迟与带宽和硬件无关

  • 香港服务器能备案吗?香港服务器怎么备案

    很多国内站长前期为了快速上线网站业务,都会使用国外服务器,一般以香港服务器居多。 在以前香港服务器确实是可以备案,但后来针

  • 什么是香港国际专线,为什么走香港呢

    为什么我们现在一说国际专线习惯性的说走香港呢?香港与国际专线有什么关联呢? 大陆与海外的网络访问通过香港的互联网的我们称之为香港国际专线,大陆到香港的局域网专线我们也

  • ZOOM海外会议共享演示PPT掉线怎么办?

    ZOOM海外会议共享演示PPT掉线:ZOOM视频会议国际版服务器在海外欧美等国家,主要原因是较差的Internet连接海外云服务器,音频和视频质量低,延迟。下载和上传缓慢主要是由于数据传输

  • 游戏服务器总被DDoS攻击,到底是为什么?

    一直都说游戏是受DDoS攻击的重灾区,游戏行业确实是DDoS攻击的热门目标,而且现在海外DDoS攻击真的很强大。 在腾讯安全发布的一份报告中,其表明游戏行业仍是DDoS的首要攻击目标。