IPSec over GRE 和 GRE over IPSec学习总结

GRE可以与IPSec配合使用，通过建立GRE over IPSec隧道，对路由协议、语音、视频等数据先进性GRE封装，再对封装后的报文进行IPsec处理。

二者配合使用的有点：

• 提高数据在隧道中的传输安全性；
• 解决IPSec只能处理单播报文的问题，GRE可以支持组播、广播和非IP报文，先对这些报文进行GRE封装，使其成为普通的单播报文，然后再使用IPSec对其进一步处理；
• 简化IPSec的配置。由于所有报文都先经过GRE封装再进行IPSec处理，因此只要根据GRE隧道的源、目的地址来定义需要IPSec保护的数据流即可，不需要关注原始报文的源、目的地址。

IPSec over GRE方式不能充分利用二者的优势，一般不推荐使用。

1.GRE over IPSec ：

流量先走GRE封装，再走IPSec封装

1.2配置思路：

1、先配置GRE类型的Tunnel接口；

2、配置路由使流量出接口为Tunnel，先封装GRE。

3、配置IPSec感兴趣流的ACL，ACL保护的是GRE隧道的上层IP，本例中是GRE的源、目的IP；

4、配置IPSec业务，其中IPSec的remote-address和local-address分别是实际物理口的地址；

5、在实际物理口下应用IPSec策略。

2.IPSec over GRE：

流量先走IPSec封装，再走GRE封装

2.1配置思路

1、先配置GRE类型的Tunnel接口，

2、配置路由，流量的出接口走Tunnel口；

3、配置IPSec感兴趣流的ACL，其中ACL过滤的ip为流量的真实源、目的ip地址；

4、配置IPSc业务，其中IPSec策略中的local-address和remote-address分别是Tunnel隧道的ip；

5、在Tunnel隧道口下应用IPSec策略。