IPSec是現(xiàn)網(wǎng)中常用的VPN技術(shù)，也經(jīng)常和GRE隧道用來互相嵌套；很多人對其中的一些原理并不是很清楚，本文結(jié)合具體現(xiàn)網(wǎng)經(jīng)驗(yàn)（H3C），總結(jié)出兩者之間的差異，望有所收獲。

首先是清晰的配置區(qū)別，如下：

通俗來說，GRE over IPSec是將GRE流量作為私網(wǎng)流量進(jìn)行加密，GRE隧道的建立以及隧道中傳輸?shù)牧髁慷紩患用埽欢鳬PSec over GRE是在GRE隧道建立的基礎(chǔ)之上，進(jìn)行私網(wǎng)數(shù)據(jù)的加密，與普通的IPSec相比，區(qū)別僅僅是私網(wǎng)流量從哪轉(zhuǎn)發(fā)就從哪進(jìn)行加密。純IPSec流量從公網(wǎng)接口轉(zhuǎn)發(fā)，將策略應(yīng)用在公網(wǎng)接口；IPSec over GRE只是因?yàn)樗骄W(wǎng)流量從隧道轉(zhuǎn)發(fā)，將策略應(yīng)用在了Tunnel接口下。

以下是一些常見的注意事項(xiàng)：

1、對于GREVPN，若公網(wǎng)地址不固定，則應(yīng)在Tunnel中的源和目的參數(shù)選用本地Loopback接口地址，公網(wǎng)打通Loopback，如果GRE路由選用OSPF等動態(tài)路由協(xié)議發(fā)布，一定不能發(fā)布Loopback接口地址，否則會引起路由表表內(nèi)自環(huán)，路由動蕩，接口頻繁Up/Down。

2、對于IPSecVPN，若一端公網(wǎng)地址固定，一端公網(wǎng)地址不固定（如通過PPPoE撥號方式，或DHCP分配等），則需要采用野蠻模式，且公網(wǎng)地址不固定端需使用id-type name (默認(rèn)是id-type ip)、remote name(ike local name默認(rèn)是網(wǎng)關(guān)設(shè)備名稱)和remote addess方式，IPSec流量觸發(fā)為公網(wǎng)地址不固定一端主動觸發(fā)。

對于v7設(shè)備，id-type name == identity fqdn；id-type ip == identity address；ike local name== ike identity fqdn。

2、對于IPSecVPN的NAT穿越功能，必須IKE對等體配置為野蠻模式，必須使用ESP封裝方式（默認(rèn)），不能用AH封裝也不能AH+ESP，且IPSec的安全提議必須工作在隧道模式（默認(rèn)），而不能為傳輸模式；隧道也由私網(wǎng)內(nèi)部（藏在NAT后方）觸發(fā)，在兩端配置nat-traversal（v5需配置，v7默認(rèn)）。

如果本網(wǎng)關(guān)也是NAT設(shè)備，則需要Deny掉IPSec的流防止NAT修改IPSec流導(dǎo)致IPSec失敗（純IPSec必須注意此項(xiàng)）。

4、對于總部多分支機(jī)構(gòu)的情況下做IPSecVPN，總部端必須通過IPSec的安全模板來實(shí)現(xiàn)，然后在IPSec的安全策略中調(diào)用安全模板，安全模板中可以不定義匹配的安全ACL，此時IPSec的數(shù)據(jù)流觸發(fā)為分支機(jī)構(gòu)端單向觸發(fā)。配置如：

ipsec policy 1 1 isakmp template 前一個1為策略名字，后一個1為結(jié)點(diǎn)號（順序號）安全模板的意思就是自動配置IPSec ACL流配置。

5、可以通過dispaly ike sa和display ipsec sa來查看sa建立情況，在配置完成IPSec VPN后，一定要觸發(fā)一下保護(hù)的流量（ping-a 源地址 目標(biāo)地址），若清除sa，順序應(yīng)為先reset ipsec sa，然后再reset ike sa。

• 上一篇：H3C防雷POE供電模塊必須可靠接地的公告
• 下一篇：WAP602n使用卡線槽方式安裝Diag燈不正常