GRE Over IPsec实战：华三设备下的安全隧道搭建与协议对比

1. GRE Over IPsec技术解析与华三设备实战

第一次接触GRE Over IPsec时，我盯着拓扑图发呆了半小时——这玩意儿不就是"套娃"吗？外层是IPsec的安全盔甲，内层是GRE的传输通道。后来在多个企业组网项目中实操过华三设备的配置，才发现这种组合拳确实能解决很多实际问题。

GRE就像快递公司的包装箱，把不同协议的数据包统一封装成IP格式运输。我在某次金融项目里就遇到过这种情况：总部需要传输IPv6和OSPF路由信息到分支机构，但中间经过的运营商网络只支持IPv4。这时候GRE隧道就派上用场了，它能把各种"异形包裹"标准化。

而IPsec则是武装押运车，给数据穿上防弹衣。去年给一家制造业客户做方案时，他们的财务系统需要跨省传输数据，明文传输肯定不行。这时候在GRE外层加上IPsec加密，既保证了多协议支持，又确保了数据安全。

华三设备的配置逻辑很清晰，但有几个关键点容易踩坑：

• Tunnel接口的源目地址要配置公网IP（通常是环回口地址）
• IPsec的感兴趣流ACL必须匹配GRE封装后的源目IP
• 静态路由的下一跳要指向Tunnel接口

提示：配置时建议先ping测试GRE隧道连通性，再配置IPsec策略，分阶段验证更稳妥。

2. 华三设备配置全流程详解

2.1 基础环境搭建

先说说我在项目中最常用的组网方案。假设总部用RT1，分支用RT3，中间经过RT2组成的公网。三台华三设备的基础IP配置如下：

# RT1配置 [RT1]interface GigabitEthernet0/1 [RT1-GigabitEthernet0/1]ip address 100.1.1.1 30 [RT1]interface LoopBack0 [RT1-LoopBack0]ip address 1.1.1.1 32 # RT2配置（中转设备） [RT2]interface GigabitEthernet0/0 [RT2-GigabitEthernet0/0]ip address 100.1.1.2 30 [RT2]interface GigabitEthernet0/1 [RT2-GigabitEthernet0/1]ip address 200.1.1.1 30 # RT3配置 [RT3]interface GigabitEthernet0/0 [RT3-GigabitEthernet0/0]ip address 200.1.1.2 30 [RT3]interface LoopBack0 [RT3-LoopBack0]ip address 3.3.3.3 32

公网跑OSPF是最省事的方案，但要注意三点：

1. 只需要宣告直连接口和环回口
2. 环回口建议用32位掩码
3. 别把私网路由泄露到公网

# RT1的OSPF配置示例 [RT1]ospf 1 router-id 1.1.1.1 [RT1-ospf-1]area 0 [RT1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [RT1-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.3

2.2 GRE隧道建立技巧

配置Tunnel接口时，有次我手滑把source地址写成物理接口IP，结果隧道死活起不来。后来才明白必须用环回口地址：

# 正确的GRE配置方式 [RT1]interface Tunnel0 mode gre [RT1-Tunnel0]ip address 10.10.10.1 24 [RT1-Tunnel0]source 1.1.1.1 [RT1-Tunnel0]destination 3.3.3.3 [RT1-Tunnel0]keepalive 10 3 # 这个防僵死机制很实用

隧道建好后，建议立即测试连通性：

<RT1>ping -a 1.1.1.1 3.3.3.3 <RT1>ping -a 10.10.10.1 10.10.10.2

如果第二个ping不通，可能是路由问题。这时候需要：

1. 检查两端Tunnel接口状态
2. 确认OSPF邻居关系
3. 查看路由表是否有10.10.10.0/24路由

3. IPsec安全策略深度配置

3.1 IKE与IPsec策略精讲

配置IPsec时，ACL的匹配逻辑最容易出错。有次客户反映隧道时通时断，排查发现是ACL规则写反了源目地址：

# 正确ACL配置（匹配GRE封装后的流量） [RT1]acl advanced 3000 [RT1-acl-ipv4-adv-3000]rule permit ip source 1.1.1.1 0 destination 3.3.3.3 0

IKE提议的配置要注意版本兼容性。华三设备默认用IKEv1，如果对端是其他厂商设备可能需要调整加密算法：

# 安全但兼容性好的配置方案 [RT1]ike proposal 1 [RT1-ike-proposal-1]encryption-algorithm aes-cbc-128 [RT1-ike-proposal-1]authentication-algorithm sha1 [RT1-ike-proposal-1]dh group2

预共享密钥的配置有个小技巧——可以在keychain里设置多组密钥，实现密钥滚动更新：

[RT1]ike keychain RT3 [RT1-ike-keychain-RT3]pre-shared-key address 200.1.1.2 key cipher 123456 [RT1-ike-keychain-RT3]pre-shared-key address 200.1.1.2 key cipher 654321 secondary

3.2 策略应用与调试技巧

在出接口应用IPsec策略时，遇到过接口频繁震荡的情况。后来发现是MTU问题，解决方法：

# 调整接口MTU值 [RT1]interface GigabitEthernet0/1 [RT1-GigabitEthernet0/1]mtu 1400 [RT1-GigabitEthernet0/1]ipsec apply policy RT3

调试IPsec连接状态常用命令：

# 查看IKE SA状态 display ike sa verbose # 查看IPsec SA状态 display ipsec sa verbose # 重置协商状态（故障排查时常用） reset ike sa reset ipsec sa

4. ESP与AH协议实战对比

4.1 ESP协议全解析

ESP是实际项目中最常用的协议，因为它提供完整的加密+认证服务。配置示例：

[RT1]ipsec transform-set RT3 [RT1-ipsec-transform-set-RT3]esp authentication-algorithm sha256 [RT1-ipsec-transform-set-RT3]esp encryption-algorithm aes-256

抓包分析时，ESP封装的数据包特征很明显：

• 外层IP头（公网地址）
• ESP头（SPI序列号）
• 加密的载荷（完全不可读）
• ESP尾（填充和填充长度）
• ESP认证数据（ICV校验值）

4.2 AH协议特点揭秘

AH协议现在用得比较少，主要因为它只认证不加密。配置方式：

[RT1]ipsec transform-set RT3 [RT1-ipsec-transform-set-RT3]protocol ah [RT1-ipsec-transform-set-RT3]ah authentication-algorithm sha1

AH抓包能看到更多信息：

• IP头后的AH头包含SPI和序列号
• 认证数据覆盖整个IP包（除可变字段如TTL）
• 原始IP数据可见（没有加密）

4.3 协议选型建议

根据实测经验，给出几点建议：

1. 传输敏感数据必选ESP（如财务、医疗数据）
2. 仅需防篡改可选AH（如视频监控流）
3. 性能要求高时用ESP空加密（加密算法选null）
4. 兼容老旧设备可能需要3DES（新环境建议AES）

安全算法推荐组合：