GRE over IPsec 部署:总部静态固定 IP 与分部 PPPoE 动态 IP 的 Hub-and-Spoke 配置
在现代企业网络中,广域网(WAN)连接的安全性和可靠性至关重要。GRE over IPsec 是一种常用的方案,它将 GRE 隧道与 IPsec 加密相结合,实现数据安全传输。本文将详细介绍如何在总部使用静态固定 IP 和分部使用 PPPoE 动态 IP 的环境下,部署 Hub-and-Spoke 模式的 GRE over IPsec 配置。
一、概述
- GRE (Generic Routing Encapsulation) :一种隧道协议,用于在两个网络节点之间传输不同的网络层协议。
- IPsec (Internet Protocol Security) :一种用于保护 IP 数据包的安全协议,通过加密和认证保证数据传输的机密性和完整性。
- Hub-and-Spoke 模式:中心(Hub)与多个分支(Spoke)之间的连接模式,中心节点充当通信枢纽。
二、配置环境
- 总部 (Hub) :使用静态固定 IP 地址。
- 分部 (Spoke) :通过 PPPoE 获得动态 IP 地址。
三、配置步骤
1. 总部(Hub)配置
在总部路由器上进行以下配置:
IPsec 配置:
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
lifetime 86400
crypto isakmp key <pre-shared-key> address 0.0.0.0
crypto ipsec transform-set TS esp-aes esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
set peer 0.0.0.0
set transform-set TS
match address 100
interface GigabitEthernet0/0
ip address <Hub Static IP>
crypto map VPN-MAP
GRE 配置:
interface Tunnel0
ip address 10.1.1.1 255.255.255.0
tunnel source <Hub Static IP>
tunnel destination dynamic
访问控制列表 (ACL) :
access-list 100 permit gre any host <Hub Static IP>
2. 分部(Spoke)配置
在分部路由器上进行以下配置:
IPsec 配置:
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
lifetime 86400
crypto isakmp key <pre-shared-key> address <Hub Static IP>
crypto ipsec transform-set TS esp-aes esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
set peer <Hub Static IP>
set transform-set TS
match address 100
interface GigabitEthernet0/0
ip address negotiated
pppoe-client dial-pool-number 1
crypto map VPN-MAP
GRE 配置:
interface Tunnel0
ip address 10.1.1.2 255.255.255.0
tunnel source <Spoke Dynamic IP>
tunnel destination <Hub Static IP>
访问控制列表 (ACL) :
access-list 100 permit gre host <Spoke Dynamic IP> host <Hub Static IP>
四、关键配置说明
- ISAKMP(Internet Security Association and Key Management Protocol) :定义了加密、哈希和认证的使用方法,用于建立安全关联(SA)。
- IPsec Transform Set:指定用于保护 GRE 流量的加密和哈希算法。
- Crypto Map:将 IPsec 设置应用到接口,并定义匹配的流量。
- Tunnel Interface:配置 GRE 隧道接口,指定源和目的地址。
- 访问控制列表 (ACL) :用于匹配需要保护的 GRE 流量。
