GRE Over IPSec与 IPSec Over GRE的区别

GRE Over IPSec与 IPSec Over GRE的区别
1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的
       IPSEC over GRE：acl匹配的就是业务流
2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址
      IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC：ipsec policy应用在本地物理接口上(所有的数据包都会被加密)
      IPSEC over GRE：ipsec policy应用在本地tunnel接口上(组播流量不会被加密)

4.、  对于GRE VPN,若公网地址不固定,则应在tunnel中的源和目的参数选用本地loopback接口地址，公网打通Loopback，
       如果GRE路由选用OSPF等动态路由协议发布千万不要发布loopback接口地址，会引起表内自环路由动荡

5、 对于IPSEC VPN，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式，或DHCP分配等），则两端IKE对          等体需配置为野蛮模式，且公网地址不固定端需使用id-type name （默认是id-type ip）、remote name(ike local name默认是网关设备名称)和          remote addess方式，IPSEC流量触发为有固定公网地址端单向触发；

6、 对于IPSEC VPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，必须使用ESP封装方式,不能用AH封装也不能AH+ESP,且ipsec的安全提议必须工作在隧道模式（默认），而不能为传输模式；也由私网内部(藏在NAT后方)触发,在两端配置nat-traversal
如果本网关也是nat设备需要deny掉Ipsec的流防止nat修改ipsec流导致ipsec失败

7、 对于总部多分支机构的情况下做IPSEC VPN，总部端可以通过IPSEC的安全模板来实现，然后在IPSEC的安全策略中调用安         全模板，安全模板中可以不定义匹配的安全ACL，此时IPSEC的数据流触发为分支机构端单向触发。配置：
      ipsec policy 1 1 isakmp template 前一个1为策略名字，后一个1为结点号（顺序号）安全模板的意思就是自动配置IPSEC ACL流配置，

8、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况，在配置完成IPSEC VPN后，一定要触发一下保护的流量（ping命      令），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa




IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。

而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。
 IPSEC Over GRE：
       a. 访问控制列表，针对两个网段的数据流，如：
              ip access-list extended ***12
                     permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
        b. 加密图放在Tunnel口
GRE Over IPSEC：
        a. 访问列表，针对两个路由器之间的GRE流，如：
              ip access-list extended ***12
                     permit gre host 172.16.11.2 host 172.16.22.2
         b. 加密图作用在物理口。

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。
另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。
IPSEC不支持组播，即不能传递路由协议，而GRE支持。

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html