华为GRE over IPsec的配置思路原理以及安全策略的设置

ACL方式

1、建立IPsec隧道

2、创建tunnel接口,且指定封装协议是GRE

3、创建静态路由进行tunnel接口的引流,也就是指定哪些流量想要进行gre的封装

4、在ipsec策略中指定感兴趣流为进行gre封装后的源目IP,也就是指定只要流量是gre隧道的两端那么就进行ipsec的隧道封装

路由方式

在gretunnel口上绑定一个ipsec profile即可

原理

流量进入防火墙的时候会先进行路由表查表,而只有流量到达接口上准备发送的时候才会进行ipsec的隧道封装,于是相关流量如果被静态路由引入tunnel接口后,先做的操作其实是gre的封装,然后该流量到达与ipsec绑定的相关物理接口并进行相关的ipsec的隧道封装。其实无论有没有gre的封装,ipsec的对原生报文的改造都是一样的,如果是传输模式,那么它就会在原生报文的IP首部后面加入esp首部或者ah首部,如果是隧道模式那就直接在gre封装后的报文前面再封装新的ip首部和esp首部或者ah首部。

安全策略

经过这样一个十分骚气的操作之后,安全策略该如何设置?首先为了建立ipsec隧道,我们必须放行端口为500,untrust<--->local之间的流量。同时在流量查找路由表后发现,目的接口时tunnel接口时,会确定流量的源目区域,此时我们必须放行流量源区域到tunnel接口所在区域的流量, 一般是放行内部主机的trust区域到tunnel接口的untrust区域的流量。然后为了使得加密后的流量可以被防火墙接收处理,我们必须放行untrust<--->local,且协议是esp或者ah的流量,这样就可以满足整个数据交互。如果你将tunnel接口放在dmz区域,那么其报文的互相传递将会变得异常复杂,因为涉及的区域又trust,untrust,以及dmz,为了细化策略而且你还需要考虑到其中使用到的协议,总的来说就是很麻烦啦。

如果你不想全部的流量都变为gre over ipsec,那么你就不把全部的流量都引入tunnel接口中就可以了,因为在这种网络场景下,只要流量进入了tunnel接口就意味着流量会经过gre协议的封装然后再经过ipsec的封装。所以只要流量不进入tunnel口,就不会被封装为gre over ipsec,那么剩下的流量自然就直接从物理接口出去了,如果匹配了ipsec的感兴趣流,那么就会被ipsec隧道封装,如果没有匹配上,那就直接正常转发了。

你可能感兴趣的:(网工软考中级,HCIA/HCIP,sercurity,网络,安全,IPsec)