GRE over IPsec 之总部静态固定 IP 与分部 PPPoE 动态 IP 部署 Hub_and_Spoke

简介: 在现代企业网络中,广域网(WAN)连接的安全性和可靠性至关重要。GRE over IPsec 是一种常用的方案,它将 GRE 隧道与 IPsec 加密相结合,实现数据安全传输。本文将详细介绍如何在总部使用静态固定 IP 和分部使用 PPPoE 动态 IP 的环境下,部署 Hub-and-Spoke 模式的 GRE over IPsec 配置。

GRE over IPsec 部署:总部静态固定 IP 与分部 PPPoE 动态 IP 的 Hub-and-Spoke 配置

在现代企业网络中,广域网(WAN)连接的安全性和可靠性至关重要。GRE over IPsec 是一种常用的方案,它将 GRE 隧道与 IPsec 加密相结合,实现数据安全传输。本文将详细介绍如何在总部使用静态固定 IP 和分部使用 PPPoE 动态 IP 的环境下,部署 Hub-and-Spoke 模式的 GRE over IPsec 配置。

一、概述

  • GRE (Generic Routing Encapsulation) :一种隧道协议,用于在两个网络节点之间传输不同的网络层协议。
  • IPsec (Internet Protocol Security) :一种用于保护 IP 数据包的安全协议,通过加密和认证保证数据传输的机密性和完整性。
  • Hub-and-Spoke 模式:中心(Hub)与多个分支(Spoke)之间的连接模式,中心节点充当通信枢纽。

二、配置环境

  • 总部 (Hub) :使用静态固定 IP 地址。
  • 分部 (Spoke) :通过 PPPoE 获得动态 IP 地址。

三、配置步骤

1. 总部(Hub)配置

在总部路由器上进行以下配置:

IPsec 配置

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
 lifetime 86400

crypto isakmp key <pre-shared-key> address 0.0.0.0

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map VPN-MAP 10 ipsec-isakmp
 set peer 0.0.0.0
 set transform-set TS
 match address 100

interface GigabitEthernet0/0
 ip address <Hub Static IP>
 crypto map VPN-MAP
​

GRE 配置

interface Tunnel0
 ip address 10.1.1.1 255.255.255.0
 tunnel source <Hub Static IP>
 tunnel destination dynamic
​

访问控制列表 (ACL)

access-list 100 permit gre any host <Hub Static IP>
​
2. 分部(Spoke)配置

在分部路由器上进行以下配置:

IPsec 配置

crypto isakmp policy 10
 encr aes
 hash sha
 authentication pre-share
 group 2
 lifetime 86400

crypto isakmp key <pre-shared-key> address <Hub Static IP>

crypto ipsec transform-set TS esp-aes esp-sha-hmac

crypto map VPN-MAP 10 ipsec-isakmp
 set peer <Hub Static IP>
 set transform-set TS
 match address 100

interface GigabitEthernet0/0
 ip address negotiated
 pppoe-client dial-pool-number 1
 crypto map VPN-MAP
​

GRE 配置

interface Tunnel0
 ip address 10.1.1.2 255.255.255.0
 tunnel source <Spoke Dynamic IP>
 tunnel destination <Hub Static IP>
​

访问控制列表 (ACL)

access-list 100 permit gre host <Spoke Dynamic IP> host <Hub Static IP>
​

四、关键配置说明

  1. ISAKMP(Internet Security Association and Key Management Protocol) :定义了加密、哈希和认证的使用方法,用于建立安全关联(SA)。
  2. IPsec Transform Set:指定用于保护 GRE 流量的加密和哈希算法。
  3. Crypto Map:将 IPsec 设置应用到接口,并定义匹配的流量。
  4. Tunnel Interface:配置 GRE 隧道接口,指定源和目的地址。
  5. 访问控制列表 (ACL) :用于匹配需要保护的 GRE 流量。
目录
相关文章
|
数据采集
独享住宅IP、长效代理ip是什么?有什么用?
**摘要:** 独享住宅IP是个人用户真实的居住IP,与WIFI用户相同,适合长期稳定需求,如游戏、调查、爬虫。长效代理IP存活时间长,适合不频繁换IP的场景。住宅IP分散、封禁风险低,适合爬虫因不易被识别。尽管成本较高,但其模拟真实用户、避免连号封禁的优势使其在爬虫业务中更优。
|
8月前
|
人工智能 物联网 编译器
《近阈值计算:硬件加速芯片的低功耗密码》
近阈值计算(NTC)技术通过将晶体管工作电压降至接近阈值电压,有效降低功耗并提升芯片性能,成为硬件加速芯片领域的研究热点。NTC优化了电路设计、器件选型和系统级协同设计,采用流水线技术和冗余设计提高稳定性和可靠性。尽管面临性能、稳定性和设计复杂性的挑战,NTC为低功耗高性能芯片提供了新方向,推动人工智能、物联网等领域的发展。
248 15
|
11月前
|
运维 安全
|
缓存 Linux 开发工具
CentOS 7- 配置阿里镜像源
阿里镜像官方地址http://mirrors.aliyun.com/ 1、点击官方提供的相应系统的帮助 :2、查看不同版本的系统操作: 下载源1、安装wget yum install -y wget2、下载CentOS 7的repo文件wget -O /etc/yum.
255222 0
|
2月前
|
移动开发 安全 虚拟化
VMware ESXi 8.0U3g 发布 - 领先的裸机 Hypervisor
VMware ESXi 8.0U3g 发布 - 领先的裸机 Hypervisor
467 0
|
5月前
|
Python
使用Python实现multipart/form-data文件接收的http服务器
至此,使用Python实现一个可以接收 'multipart/form-data' 文件的HTTP服务器的步骤就讲解完毕了。希望通过我的讲解,你可以更好地理解其中的逻辑,另外,你也可以尝试在实际项目中运用这方面的知识。
268 69
|
5月前
|
JSON API 数据安全/隐私保护
使用curl命令在服务器上执行HTTP请求
总的来说,curl是一个非常强大的工具,它可以让你在命令行中发送各种类型的HTTP请求。通过学习和实践,你可以掌握这个工具,使你的工作更加高效。
427 30
|
4月前
|
存储 安全 数据安全/隐私保护
HFS-快速创建HTTP服务器
鉴于HFS的操作简便和方便快捷,它在满足快速,临时的文件分享和传输需求上,能够发挥出巨大的作用。只要明确了以上的安全警告,并做好了必需的安全设置,HFS将是一款实用的HTTP服务器工具。
350 9
|
5月前
|
机器学习/深度学习 算法 数据安全/隐私保护
基于FPGA的SNN脉冲神经网络之LIF神经元verilog实现,包含testbench
本项目展示了 LIF(Leaky Integrate-and-Fire)神经元算法的实现与应用,含无水印运行效果预览。基于 Vivado2019.2 开发,完整代码配有中文注释及操作视频。LIF 模型模拟生物神经元特性,通过积分输入信号并判断膜电位是否达阈值产生脉冲,相较于 Hodgkin-Huxley 模型更简化,适合大规模神经网络模拟。核心程序片段示例,助您快速上手。
|
8月前
|
C语言 C++
############# 简单的扫雷小游戏 #############
本文介绍了用C语言创建简单版扫雷游戏的过程。首先,通过创建三个文件(test.c、game.c、game.h)来组织代码结构。在`game.h`中定义了宏和函数声明,简化代码引用。接着,设计了一个菜单供用户选择开始或退出游戏,并使用do-while循环和switch语句实现游戏流程控制。 游戏中创建了两个9x9的棋盘,一个用于存放真实的雷位置,另一个作为玩家可见的棋盘。通过初始化函数将棋盘设置好,并利用随机数生成器布置10个雷。玩家输入坐标后,程序会检查坐标合法性及是否已排查过,然后判断该位置是否有雷。如果玩家成功排除所有非雷位置,则胜利;若踩到雷,则游戏结束。