上个实验介绍了GRE over IPsec，就是GRE在IPsec之上，在报文封装的时候先封装GRE，再封装IPsec，从报文结构上看起来就是一个IPsec封装的报文，看不到GRE封装的痕迹，是用IPsec保护GRE隧道。

今天在上个实验基础上做一下IPsec over GRE实验，也就是GRE在IPsec之上，在报文封装的时候先封装IPsec，再封装GRE。因为GRE是不加密的，所以今天从报文结构上看，应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的，不能说用GRE隧道保护IPsec隧道了，应该是用GRE隧道转发IPsec报文了。

组网需求

RT2和RT4分别连接IPv4私有网络SUBNET 1和SUBNET 5。这两个私有网络使用相同的私网地址192.168.1.0/24。通过在RT2和RT4之间建立IPsec隧道，实现两个相同私有网络的加密互访，并对通过GRE隧道转发IPsec加密报文。

组网拓扑

配置步骤

开头提到，IPsec over GRE，在报文封装的时候先封装IPsec，再封装GRE，是用GRE隧道转发IPsec报文。

1、相比于上个实验，我们要修改访问控制列表需匹配数据的原始范围，把IPsec的保护数据流更改为两端互访的数据流量；

2、为了对网络间传输的数据先进行IPsec封装，再进行GRE封装，需要配置IPsec隧道的对端IP地址为GRE隧道的接口地址；

3、再把流量丢进GRE隧道就可以了，也就是将IPsec应用到GRE隧道接口上。

怎么样，听起来是不是也很简单？直接看看配置吧！

RT2

#
 sysname RT2
#
interface GigabitEthernet0/0
ip address 192.168.1.2 255.255.255.0
 proxy-arp enable
#
interface GigabitEthernet0/1
ip address 23.1.1.2 255.255.255.0
#
interface Tunnel0 mode gre
 ip address 1.1.1.2 255.255.255.0
 source 23.1.1.2
 destination 34.1.1.4
 gre key 123321
 gre checksum
 ipsec apply policy ipsecogre
#
 ip route-static 34.1.1.0 24 23.1.1.3
 ip route-static 192.168.1.4 32 Tunnel0
 ip route-static 192.168.1.5 32 Tunnel0
#
acl advanced 3400
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ipsec transform-set TRAN
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy ipsecogre 10 isakmp
 transform-set TRAN
 security acl 3400
 remote-address 1.1.1.4
#
ike keychain key
 pre-shared-key address 1.1.1.4 255.255.255.0 key simple ipsecogre

RT-ISP

#
interface GigabitEthernet0/0
ip address 34.1.1.3 255.255.255.0
#
interface GigabitEthernet0/1
ip address 23.1.1.3 255.255.255.0

RT4

#
 sysname RT4
#
interface GigabitEthernet0/0
ip address 192.168.1.4 255.255.255.0
 proxy-arp enable
#
interface GigabitEthernet0/1
ip address 34.1.1.4 255.255.255.0
#
interface Tunnel0 mode gre
 ip address 1.1.1.4 255.255.255.0
 source 34.1.1.4
 destination 23.1.1.2
 gre key 123321
 gre checksum
 ipsec apply policy ipsecogre
#
 ip route-static 23.1.1.0 24 34.1.1.3
 ip route-static 192.168.1.1 32 Tunnel0
 ip route-static 192.168.1.2 32 Tunnel0
#
acl advanced 3400
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ipsec transform-set TRAN
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy ipsecogre 10 isakmp
 transform-set TRAN
 security acl 3400
 remote-address 1.1.1.2
#
ike keychain key
 pre-shared-key address 1.1.1.2 255.255.255.0 key simple ipsecogre

配置说明

1、删除物理接口上的IPsec策略；

2、修改ACL匹配流量为两端的私网地址；

3、修改IKE预共享密钥的对端地址和密钥；

4、创建新的IPsec策略，对端地址为对端GRE隧道地址；

4、在GRE隧道接口上应用IPsec策略。

验证配置

查看RT4设备Tunnel口状态。

可以看到有几个相对关键的指标项：

1、MTU为1468字节，跟GRE over IPsec相同；

2、隧道keepalive功能未开启，开启命令如下：

3、隧道TTL值为255；

4、GRE over IPv4隧道中安全功能key已设置，密钥为123321；

5、GRE over IPv4隧道中安全功能checksum已设置。

使用display ike sa命令，可以看到第一阶段的SA正常建立。

使用display ipsec sa命令可以看到IPsec SA的建立情况。

可以看到，IPsec封装在内层，MTU是1412字节；GRE封装在外层，MTU是1468字节。那这次最后会是多少呢？

验证隧道MTU

可以发现，实际能通过的最大报文大小也是1384字节，跟GRE over IPsec相同。抓个包分析一下。

这个地方我们捋一下，报文的封装结构应该是[以太网包头][外层IPv4包头] [GRE封装] [ESP报文头] [内层IPv4包头] [ICMP报文] [ESP-T校验字段]。

反过来看，内层数据报文IPsec封装后长度为1464字节，比1384字节的数据长80字节，[ESP报文头] [内层IPv4包头] [ICMP报文] [ESP-T校验字段] 段长度为1444字节，比业务报文还要长60字节；单独使用IPsec封装时，ESP封装的数据长度为1476字节，比业务报文的1400字节长76字节。这次少了16字节，问题出在哪了呢？看来后面要和上次的问题一起验证一下了。

验证两端同子网

现在已经知道两端相同子网互通也是没有问题了。但是单独的IPsec实验不能查看traceroute路径，GRE over IPsec就可以，那这次我们看一下IPsec over GRE可不可以？

很棒，traceroute路径显示和上次一样，原来使用IPsec over GRE也可以解决，那是不是可以理解为用了GRE隧道就能解决这个问题？

总结

1、IPsec over GRE就是用GRE隧道保护IPsec隧道，从报文结构看起来和GRE报文比较像，但是因为内层封装的是IPsec报文，所以外层显示还是ESP报文。可以看到GRE隧道里面还套了一层IPsec隧道，最终的MTU也是1384字节，和GRE over IPsec相同；

2、不管是先封装GRE隧道，还是先封装IPsec隧道，都可以看到内层报文的traceroute路径，提高了实用性；

3、因为先封装IPsec隧道，所以在调整保护流量时，还是要和单独使用IPsec隧道一样，调整ACL的兴趣流，配置比GRE over IPsec要麻烦。其实，这个麻烦是相对而言的，只是配置ACL要指定两端的网段，并且还是反掩码，而路由则是目的网段和下一跳；

4、补充了上次的遗留问题，IPsec over GRE实际能通过的最大报文大小为1384字节，ESP封装字段的长度为1444字节，比业务报文长60字节；单独使用IPsec封装时，ESP封装的数据长度为1476字节，比业务报文的1400字节长76字节。上次多余的4个字节哪里去了？这次少了16字节，问题又出在哪里呢？