WikiBlog-IPSec over GRE

WikiBlog-IPSec over GREhttp://www.godupgod.com/post/116.htmlRainbowSoft Studio Z-Blog 1.8 Spirit Build 80722zh-CNThu, 06 Nov 2008 17:40:42 +0800Re:IPSec over GRExmw80888@163.com (xmw80888)http://www.godupgod.com/post/116.html#cmt190Thu, 12 Nov 2009 13:54:25 +0800http://www.godupgod.com/post/116.html#cmt190
凭直觉感到这样做只是被IPsec封装了，今天自己做实验验证了一下，抓包显示的确是这样。博主做这个实验时难道实现了IPsec Over GRE的效果？

鄙人粗浅理解应该这样做比较靠谱：用tunnel口的地址来起IPsec，同时把私网的流量通过静态路由引到tunnel口上，也就是将博主的配置中对等体地址改成tunnel口地址，当然预共享密钥验证也要作相应修改。这样私网流量先被路由到tunnel口，之后路由器发现相应的加密图，交由IPsec封装，打上两个tunnel口地址的IP头，最后由本端tunnel口地址去往对端tunnel口地址的普通IP包由GRE隧道来处理。这个思路我已经在一款国产设备上验证过，抓包显示实现了IPsec Over GRE的效果。但是郁闷的是用思科设备这样做时 IPsec封装的源IP是物理接口地址，只有目的IP是tunnel地址，因此无法协商成功。博主能给予指点吗？

godupgod 于 2009-11-16 16:37:40 回复
什么叫做“用两端的物理口来起IPsec隧道，然后在GRE tunnel里面绑定加密图”
哪个接口绑定的crypto-map，应该就是用那个接口起的IPSec隧道，
这里IPSec对端应该就是tunnel两端的地址

]]>Re:IPSec over GRE328585872@qq.com (CT)http://www.godupgod.com/post/116.html#cmt182Wed, 21 Oct 2009 23:03:28 +0800http://www.godupgod.com/post/116.html#cmt182

godupgod 于 2009-10-24 20:00:45 回复

哥们眼神NB的！应该是GRE包

]]>