IPSEC over GRE 和 GRE over IPSEC的区别__刘丰源

http://blog.sina.com.cn/u/3755026630

首页博文目录关于我

个人资料

微博

加好友发纸条

写留言加关注

博客等级：
博客积分：

博客访问：
关注人气：
获赠金笔：0支
赠出金笔：0支
荣誉徽章：

正文字体大小：大中小

IPSEC over GRE 和 GRE over IPSEC的区别

(2015-07-16 17:21:06)

标签：

网络

vpn

分类：其他

刚才总结了下IPSEC over GRE 和 GRE over IPSEC 和大家分享下

1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的
   IPSEC over GRE：acl匹配的就是业务流
2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址
   IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC：ipsec policy应用在本地物理接口上
   IPSEC over GRE：ipsec policy应用在本地tunnel接口上

4.、  对于GRE VPN,若公网地址不固定,则应在tunnel中的源和目的参数选用本地loopback接口地址，公网打通Loopback，
   如果GRE路由选用OSPF等动态路由协议发布千万不要发布loopback接口地址，会引起表内自环路由动荡

5、对于IPSEC VPN，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式，或DHCP分配等），则两端IKE对       等体需配置为野蛮模式，且公网地址不固定端需使用id-type name （默认是id-type ip）、remote name(ike local name默认是网关设备名称)和       remote addess方式，IPSEC流量触发为有固定公网地址端单向触发；

6、对于IPSEC VPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，必须使用ESP封装方式,不能用AH封装也不能AH+ESP,且ipsec的安全提议必须工作在隧道模式（默认），而不能为传输模式；也由私网内部(藏在NAT后方)触发,在两端配置nat-traversal
如果本网关也是nat设备需要deny掉Ipsec的流防止nat修改ipsec流导致ipsec失败

7、对于总部多分支机构的情况下做IPSEC VPN，总部端可以通过IPSEC的安全模板来实现，然后在IPSEC的安全策略中调用安       全模板，安全模板中可以不定义匹配的安全ACL，此时IPSEC的数据流触发为分支机构端单向触发。配置：
   ipsec policy 1 1 isakmp template 前一个1为策略名字，后一个1为结点号（顺序号）安全模板的意思就是自动配置IPSEC ACL流配置，

8、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况，在配置完成IPSEC VPN后，一定要触发一下保护的流量（ping命    令），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa

本人水平有限错误的地方请及时纠正，共同学习，http://forum.h3c.com/static/image/smiley/coolmonkey/083.gifover GRE 和 GRE over IPSEC的区别" />

==============================================

本文出自 “_刘丰源的博客” 转载请注明出处！

阅读┊ 收藏 ┊ 喜欢 ▼ ┊打印┊举报/Report

后一篇：CISCO NAT 经典配置合集（5个）

新浪BLOG意见反馈留言板　欢迎批评指正