在现代企业网络架构中,虚拟专用网络(VPN)技术是连接不同地理位置分支机构、保障数据传输安全的关键手段,通用路由封装(GRE, Generic Routing Encapsulation)是一种广泛使用的隧道协议,尤其适用于在IP网络上封装多种协议(如IPX、AppleTalk等),并为远程站点提供逻辑上的点对点连接,本文将详细讲解如何在Cisco路由器上配置GRE over IPsec(即GRE VPN)——这是最常见且实用的组合方式,兼顾了灵活性与安全性。
明确配置目标:假设你有两个站点A和B,分别位于不同的公网地址段,希望通过GRE隧道建立安全通信。
- 站点A:路由器接口GigabitEthernet0/0,公网IP为203.0.113.10
- 站点B:路由器接口GigabitEthernet0/0,公网IP为198.51.100.20
- 隧道目的:在两个站点之间创建一条GRE隧道,使用IPsec加密保护数据流。
第一步:配置GRE隧道接口
在两台路由器上分别执行以下命令:
interface Tunnel0
ip address 172.16.1.1 255.255.255.252 ! 本地隧道端点IP
tunnel source GigabitEthernet0/0 ! 指定物理接口作为源地址
tunnel destination 198.51.100.20 ! 目标站点公网IP注意:Tunnel接口必须分配私有IP地址(如172.16.x.x),这些地址不会暴露在公网,仅用于内部路由。
第二步:配置IPsec策略(IKEv1或IKEv2)
由于GRE本身不加密,需结合IPsec确保数据机密性与完整性,以IKEv1为例:
crypto isakmp policy 10
encryption aes 256
hash sha
authentication pre-share
group 2
crypto isakmp key mysecretkey address 198.51.100.20
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
mode transport ! 使用transport模式,因为GRE已封装IP头第三步:定义访问控制列表(ACL)并绑定IPsec策略
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto map MYMAP 10 ipsec-isakmp
set peer 198.51.100.20
set transform-set MYSET
match address 100第四步:应用crypto map到Tunnel接口
interface Tunnel0
crypto map MYMAP第五步:验证与排错
完成配置后,使用以下命令验证状态:
show crypto session:查看IPsec会话是否建立成功。show crypto isakmp sa:检查IKE SA是否活跃。ping 172.16.1.2:测试隧道连通性(另一端Tunnel接口IP)。debug crypto ipsec:若不通,启用调试模式排查问题。
注意事项:
- 确保两端路由器防火墙允许UDP 500(IKE)和ESP(协议号50)流量。
- 若使用NAT穿透(NAT-T),需在crypto map中添加
set security-association lifetime seconds 3600。 - 建议部署静态路由或动态路由协议(如OSPF)使隧道两端能互通内网子网。
GRE VPN配置虽步骤较多,但逻辑清晰、灵活可靠,它特别适合需要跨公网传输非IP协议(如帧中继仿真)或构建多跳隧道的场景,通过IPsec增强安全性后,GRE成为企业广域网(WAN)连接的经典方案之一,掌握此技能,不仅提升网络可靠性,也为后续学习MPLS、DMVPN等高级技术打下坚实基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
