GRE报文结构：

interface tunnel 0/0/1

ip add 40.1.1.1 24

tunnel-protocol gre

keepalive 默认5秒 发送一次 ，如果3次未收到对端的消息，则 认为对端端口down

gre-key 123 设置gre接口验证，两端的验证必须相同

source 10.1.12.1

destination 10.1.23.2?

ip route-sattic 10.1.23.0  24  tunnel 0/0/1

查看命令：display interface tunnel 0/0/1  

IPSec不是一个单独的协议，它通过AH和ESP这两个安全协议来实现IP数据报 的安全传送

IKE协议提供密钥协商，建立和维护安全联盟SA等服务。

     IPsec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulation Security Payload）和IKE（Internet Key Exchange）协议套件组成。

     1、AH协议，主要提供的有数据源验证、数据完整性校验和防报文重放功能。然而，它并不加密所保护的数据报。

     2、ESP协议，提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。

     3、IKE协议，用于自动协商和ESP所使用的密码算法。

   安全联盟定义了IPSec对等体间将使用的数据 封装模式、认证和加密算法、密钥等参数。

   安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA。

IPSec VPN配置步骤：

1、配置网络可达-

2、配置ACL 识别兴趣流

3、创建安全提议

4、创建安全策略

5、应用安全策略

  建立SA有以下两种方式：

1、手工方式

2.、IKE动态协商方式

（1）手工方式配置 IPSec  VPN

ip route-static 10.1.2.0  24  20.1.1.2 

acl  3001

rule 5 permit ip source 10.1.1.0  0.0.0.255  destination 10.1.2.0  0.0.0.255

quit

ipsec proposal huawei   创建安全建议，名字为huawei

esp  authentication-algorithm sha2-256 

quit

ipsec policy IPSEC  10  manual 创建安全策略，名字为 IPSEC，方式为手工

security  acl 3001

tunnel local 61.0.0.2

tunnel  remote 202.96.134.2

sa spi outbound esp 123456

sa spi inbound  esp 654321

sa string-key outbound esp cipher AAAA

sa  string-key inbound esp cipher BBBB

int s4/0/0

ipsec  policy IPSEC

查看命令：display ipsec proposal

          display ipsec  policy

          diplay ipsec sa

          diplay ipsec statistic esp下载本文