华为gre over ipsec配置

随着企业的网络规模与业务量的不断扩大，数据中心之间的连通性愈发重要。在此背景下，GRE over IPSec被广泛应用于多地数据中心互连、分支机构与数据中心互联等场景。本文将着重介绍华为设备上GRE over IPSec的配置方法以及注意事项。

一、GRE over IPSec简介

GRE（Generic Routing Encapsulation）隧道技术是一种网络传输协议，通常用于不同物理网络之间的通信，其将其他协议分装在IP数据包中传送。IPSec（Internet Protocol Security）是为了保护IP协议，并为其提供认证和加密的一种网络安全协议。

GRE over IPSec是将GRE隧道技术与IPSec安全加密技术相结合的一种方案。GRE over IPSec的主要优点是可以扩展广域网的主干网络，同时保证隧道内数据的安全性。

二、GRE over IPSec配置

1. 设备准备

最佳实践是提前确认所有设备上的GRE隧道端口都是启用的。在进行GRE over IPSec配置前，需要满足以下条件：

- 连接两个拓扑的网段不能相同

- 每个端口都需要唯一的IP地址

- 需要对GRE隧道端点之间的IP地址进行配置

2. GRE over IPSec基本配置

配置GRE隧道：

[Huawei] interface Tunnel 0

[Huawei-Tunnel0] tunnel-protocol gre

将Tunnel 0与物理接口GigabitEthernet 0/0/1绑定：

[Huawei-Tunnel0] tunnel-destination 10.20.12.22

[Huawei-Tunnel0] tunnel source 10.20.12.22

配置IPSec隧道：

[Huawei] ipsec proposal proposal2

[Huawei-ipsec-proposal-proposal2] transform esp_aes_128_cbc_sha1

[Huawei] ipsec policy policy2 isakmp

[Huawei-ipsec-policy-policy2] security acl acl-number 3333

[Huawei-ipsec-policy-policy2] proposal proposal2

[Huawei-ipsec-policy-policy2] peer 10.21.12.22

[Huawei-ipsec-policy-policy2] remote-id type ip-subnet 10.21.12.0 255.255.255.0

[Huawei-ipsec-policy-policy2] pre-shared-key cipher %^%#C1q4GU>r>i=xQtv`+8'9hx2QtSio=&6}v2_C?H~8

将GRE隧道和IPSec安全加密技术一起部署：

[Huawei] ipsec policy policy2 1

[Huawei-ipsec-policy-policy2-1] tunnel-interface Tunnel 0

三、注意事项

1. VPN instance对GRE over IPSec的开关状态没有影响，因为GRE over IPSec不是VPN instance。

2. 为了保证GRE over IPSec隧道的正常运行，在两个端点的设备上需要配置相同的IPSec隧道参数。

3. 如果GRE over IPSec隧道起不来，则需要检查并排除所有可能的原因，例如：GRE端点的网络层连通性、设备间的IP地址配置、设备之间的路由、两端IPSec VPN隧道的状态等问题。