【防火墙技术连载19】强叔侃墙 VPN篇 VPN技术简介

digest [复制链接]
长棩刚
长棩刚   发表于 2014-5-31 11:16:23 已赞(0) 赞(0)

回复 5 楼

请问您是实际在应用过程中使用到了这个场景还是只是想了解一下VPN原理方面的知识?

从当前使用最多的场景来看,都采用的是GRE over IPSec来建立隧道,IPSec over GRE目前还未碰到过。

如果您的确有用到这种场景,麻烦描述一下相关的组网以及需求。

  • x
  • 常规:

点评 回复

新知
新知  新锐 发表于 2014-5-31 18:00:00 已赞(0) 赞(0)

回复 10 楼

确实遇到过这样的组网,对方是cisco的设备,为星型拓扑组网结构,总部C7200,分支2800设备,配置为IPSec over GRE集团vpn业务。以我的了解来看,除CISCO支持以外,华为的墙是不支持IPSec over GRE 的。不过这种需求或应用现实使用场景中确实是不多见。我想其中一个很重要的原因就是我们的友商在技术上做的自我保护。我们在设备选型替换上束手无策。。。
  • x
  • 常规:

点评 回复

安宁庄前街东口
安宁庄前街东口   发表于 2014-5-31 18:06:09 已赞(0) 赞(0)

强叔终于拉开VPN的大幕了~~VPN篇还是关注防火墙上支持的各种VPN技术,广义的VPN技术没有涉及。

  • x
  • 常规:

点评 回复

长棩刚
长棩刚   发表于 2014-6-1 23:49:45 已赞(0) 赞(0)

回复 11 楼

看来果然实际中是存在这个应用,孤陋寡闻了:)

GRE从封装能力上来看是支持IPSec封装的,因为IPSec报文也是IP报文,这个是没问题的。

但从当前防火墙的实现来看还不支持,IPSec封装以后的报文直接就会查找公网路由发到了隧道对端,不会再被引流到GRE隧道。

有个问题我没想清楚,还麻烦再指点一下,用户为什么会把IPSec报文封装以后让GRE来传送,而不是GRE封装以后让IPSec来传送。

有神马特殊考虑吗?

  • x
  • 常规:

点评 回复

长棩刚
长棩刚   发表于 2014-6-1 23:55:49 已赞(0) 赞(0)

回复 13 楼

我是说除了设备替换以外的考虑。因为GRE和IPSec这两种技术应该是已经比较成熟了,如果防火墙要支持估计是修改转发流程。

我是在想用户有没有业务上的考虑。

  • x
  • 常规:

点评 回复

新知
新知  新锐 发表于 2014-6-2 01:23:33 已赞(0) 赞(0)

回复 14 楼

<说明>

以下截图为论坛网友发表,以供参考之用:

【防火墙技术连载19】强叔侃墙 VPN篇 VPN技术简介-1462321-1


  • x
  • 常规:

点评 回复

长棩刚
长棩刚   发表于 2014-6-2 12:58:50 已赞(0) 赞(0)

哦, 从这个分析来看,IPSec over GRE是存在使用限制的。

1.在这个场景中IPSec只能使用隧道模式,无法使用传输模式。

2.IPSec先分装报文,无法支持动态路由。

也就是说这个场景是存在的,如果单纯从私网互通的角度来看,两种方法都行。如果要考虑到私网动态路由交互,那就必须用GRE over IPSec了。

  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2014-9-16 11:45:59 已赞(0) 赞(0)

VPN介绍得非常通俗易懂,沙发

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-2-17 09:24:48 已赞(0) 赞(0)

回复 21 楼

华为防火墙目前不支持IPSec over GRE,路由器那边AR可能是支持的。

  • x
  • 常规:

点评 回复

vanessa
vanessa   发表于 2015-2-25 14:16:15 已赞(0) 赞(0)

那在防火墙的tunnel 端口配置IPSec policy/profile可以吗?有案例吗?谢谢!

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录