GRE over IPSec解决OSPF跨公网问题

GRE over IPSec解决OSPF跨公网问题_第1张图片

拓扑背景

A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访

知识回顾

1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。

2、ipsec VPN与GRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网环境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。

注意:ISIS虽然也是常用的IGP协议,但是ISIS属于二层数据链路层无法通过GRE传输HELLO包建立邻居。

配置思路

底层配置略过(接口地址、公网互通、VLAN等)

1、首先起GRE隧道,写静态路由将流量引入GRE

2、起IPSEC安全框架

3、防火墙策略放通,注意要将GRE隧道接口tunnel口加入安全区域并放行,如有协议要求需要放通ESP、UDP、GRE协议

4、在tunnel口起OSPF,查看协议是否正常建立邻居,注意隧道下起的OSPF邻居为P2P模式,因为GRE是点到点的隧道协议。

配置开始

1、起GRE隧道

FW1上:

interface Tunnel0
 ip address 172.16.0.1 255.255.255.0   //双方隧道地址为同一网段互联地址
 tunnel-protocol gre           
 source 12.0.0.1               //源地址物理接口地址
 destination 23.0.0.3        //目的地址对端物理接口地址
 service-manage ping permit   //开PING协议方便测试

ip route-static 10.0.20.0 255.255.255.0 172.16.0.2    //静态路由将流量引入GRE隧道

FW3上:

interface Tunnel0
 ip address 172.16.0.2 255.255.255.0
 tunnel-protocol gre
 source 23.0.0.3
 destination 12.0.0.1
 service-manage ping permit

ip route-static 10.0.10.0 255.255.255.0 172.16.0.1

2、起IPSEC安全框架

FW1上:

ipsec proposal 1      //ipsec安全提案
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

许多命令是默认的,命令敲上去不显示,可最后查看ipsec安全提案

GRE over IPSec解决OSPF跨公网问题_第2张图片

 ike proposal 1      // IKE提案
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

ike peer 1   //IKE PEER 配置
 undo version 2
 pre-shared-key huawei@123
 ike-proposal 1
 remote-address 23.0.0.3         //对端物理地址,不可填GRE隧道地址

ipsec profile FW1   //不同于配置IPSEC VPN 此处只需要配置ipsec摘要信息,无需配置ipsec策略
 ike-peer 1
 proposal 1

注意:如若配置ipsec VPN时,ipsec policy需要指定本地物理地址。

interface Tunnel0  //GRE接口下执行ipsec安全框架

 ipsec profile FW1

FW3上配置与FW1类似略过

3、防火墙策略放通

FW1上:

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0   //缺省管理口
 add interface GigabitEthernet1/0/0

firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
 add interface Tunnel0

security-policy      //安全策略放所有方便测试,完成后可根据需要放具体策略
 rule name any_any
  action permit

FW3配置类似略过

策略放通后可以尝试在FW1上PING对端GRE地址

GRE over IPSec解决OSPF跨公网问题_第3张图片

 查看IKE 建立的SA(FW1+FW3一共两对SA,由于SA只能进行单向传输,所以一对SA是起本端到对端的隧道,一对SA是起对端到本端的隧道

GRE over IPSec解决OSPF跨公网问题_第4张图片

注意:IPSEC 安全框架的加密方式,使用非对称加密传输秘钥,使用对称加密传输数据

4、在tunnel口起OSPF

ospf 1
 import-route direct
 area 0.0.0.0
  network 172.16.0.1 0.0.0.0

FW3类似略过

查看OSPF邻居

GRE over IPSec解决OSPF跨公网问题_第5张图片

查看路由 

GRE over IPSec解决OSPF跨公网问题_第6张图片

可以看到OSPF已经学习到了对端的直连路由,但是由于对端是引入的直连路由,属于OSPF外部路由,pre参数大于静态路由所有没有被选中

可以查看路由表

GRE over IPSec解决OSPF跨公网问题_第7张图片

测试连通性

GRE over IPSec解决OSPF跨公网问题_第8张图片

 配置完成

你可能感兴趣的:(网络,网络协议,安全,华为,IPSec)