开发学院网络安全安全技术 IPSEC OVER GRE和GRE OVER IPSEC的配置区别及IPSE... 阅读

IPSEC OVER GRE和GRE OVER IPSEC的配置区别及IPSEC的注意事项

　2012-05-16 17:06:40　来源：WEB开发网　　　

核心提示： 1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的IPSEC over GRE：acl匹配的就是业务流2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址IPSEC over GRE：ike对等体中remote-a

1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的

IPSEC over GRE：acl匹配的就是业务流

2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址

IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址

3、 GRE over IPSEC：ipsec policy应用在本地物理接口上

IPSEC over GRE：ipsec policy应用在本地tunnel接口上

4、对于IPSEC VPN，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式），则两端IKE对等体需配置为野蛮模式，且公网地址不固定端需使用remote name和remote addess方式，IPSEC流量触发为有固定公网地址端单向触发；

5、对于IPSEC VPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，且ipsec的安全提议必须工作在隧道模式（默认），而不能为传输模式；

6、对于总部多分支机构的情况下做IPSEC VPN，总部端可以通过IPSEC的安全模板来实现，然后在IPSEC的安全策略中调用安全模板，安全模板中可以不定义匹配的安全ACL，此时IPSEC的数据流触发为分支机构端单向触发。

7、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况，在配置完成IPSEC VPN后，一定要触发一下保护的流量（ping命令），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa