由于GRE隧道不提供安全性保障，使用ipsec加密gre隧道是现网中比较常用的v*n部署，它的加密方式分为两种，可以使用IPsec来加密隧道进行传输，叫做IPsec over GRE，也可以加密数据流后从隧道传输，称为GRE over IPsec。下面将配置一个简单的IPsec over GRE实验；

实验拓扑：

要求：

    公司1和公司2之间通过GRE隧道传输192.168.10.0/24和172.16.20.0/24的数据流；

    使用ipsec协议加密GRE隧道；

1）ip，路由配置、端口加入区域配置如图，为了实验的方便，在两台防火墙之间放行所有流量；

    

    

    

    

2）测试两端公网的连通性

    

    

3）两端配置GRE隧道实现内网间通信；

FW1配置：

    interface Tunnel1      //创建隧道口1
    gre checksum           //开启GRE校验
    gre key 123456           //隧道key为123456
    tunnel-protocol gre     //封装GRE协议
    ip address 192.168.200.1 255.255.255.0
    quit
    #
    firewall zone untrust
    set priority 5
    add interface Tunnel1     //将隧道口加入untrust区域
    quit

FW2配置除了ip外与FW1的一致，上诉参数配置完后会被隐藏掉

    

    

4）测试GRE隧道的连通性；

    

    

   配置静态路由去往对端内网的流量从tunnel1口出去；

    

    

    测试两个内网间的通信；

    

    

5）配置ipsec加密隧道

    由于GRE是基于公网ip建立的，数据的传输也在公网上，所以加密GRE隧道实际上是加密两端公网流量间的GRE流量；

    fw1

    #
    acl number 3000
    rule 5 permit gre source 1.1.1.1 0 destination 2.2.2.2 0    //加密隧道两端通过的GRE流量
    #
    ike proposal 10     //创建ike提议
    #
    ike peer fw2              //创建ike邻居，名字为fw2
    pre-shared-key huawei123       // 配置共享**为huawei123
    ike-proposal 10                        //配置ike提议
    remote-address 2.2.2.2            //配置远端地址
    #
    ipsec proposal pro_1                //配置ipsec提议 
    #
    ipsec policy pol_1 1 isakmp   //配置ipsec动态策略
    security acl 3000
    ike-peer fw2
    proposal pro_1
    local-address 1.1.1.1             
    #
    interface GigabitEthernet0/0/1
    ip address 1.1.1.1 255.255.255.0

    ipsec policy pol_1                      //将ipsec策略绑定在对外的公网接口上；

fw2的配置与fw1类似，这里就不做多说明了，但要注意流量的去向和**的一致性。

6）测试隧道，抓个包看看

    用PC1 ping PC2，在wireshare抓包

    

    

抓包后，只能看到加密的隧道流量，不会显示为ICMP流量；

    

    在fw2上我们可以清楚的看到加密的GRE流量进入防火墙；