手把手抓包分析：华为设备上GRE over IPsec的报文封装全过程（隧道模式 vs 传输模式）

手把手抓包分析：华为设备上GRE over IPsec的报文封装全过程（隧道模式 vs 传输模式）

当企业需要跨公网传输组播或广播流量时，单纯使用IPsec会遇到协议限制，而仅用GRE又缺乏安全保障。GRE over IPsec技术将两者的优势结合，成为企业级网络架构中的常见解决方案。本文将通过Wireshark抓包实例，带您逐层拆解华为路由器上GRE over IPsec的完整封装过程，对比隧道模式与传输模式的关键差异。

1. 协议基础与实验环境搭建

在开始抓包分析前，需要明确几个核心概念。GRE（Generic Routing Encapsulation）是一种简单的隧道协议，能够将各种网络层协议（如IP、IPX等）封装在IP报文中传输。而IPsec（IP Security）则提供加密、认证等安全服务，但原生不支持组播和广播流量的保护。

实验环境关键配置：

• 设备：华为AR2220路由器三台（总部R1、ISP_R2、分部R3）
• 网络拓扑：
  • 公网链路：R1-G0/0/0 (202.101.12.1) ↔ ISP_R2-G0/0/0 (202.101.12.2)
  • 公网链路：ISP_R2-G0/0/1 (202.101.23.2) ↔ R3-G0/0/0 (202.101.23.3)
  • 私网：R1-G0/0/1 (192.168.10.254) 和 R3-G0/0/1 (192.168.20.254)
• GRE隧道：Tunnel0/0/1接口，网段13.13.13.0/24
• IPsec策略：IKEv1 with pre-shared key，3DES加密，MD5认证

提示：实际抓包时建议在ISP_R2的接口开启端口镜像，将流量复制到安装Wireshark的分析主机。

2. 报文封装全流程解析

2.1 GRE初始封装阶段

当总部192.168.10.1主机向分部192.168.20.1发送ICMP请求时，完整的封装过程如下：

1. 原始IP报文（私网流量）：

   Src: 192.168.10.1 Dst: 192.168.20.1 Protocol: ICMP (1) Data: Echo Request

2. GRE封装后（新增20字节头）：

   Outer IP Header: Src: 202.101.12.1 (R1公网地址) Dst: 202.101.23.3 (R3公网地址) Protocol: GRE (47) GRE Header: Flags: 0x2000 (Checksum present) Protocol Type: 0x0800 (IPv4) Inner IP Header: (原始报文完整保留)

在Wireshark中可通过ip.proto == 47过滤器快速定位GRE报文。关键字段解析：

• C (Checksum)：1位，表示是否包含校验和
• K (Key)：1位，表示是否包含密钥字段
• Protocol Type：0x0800表示封装的是IPv4报文

2.2 IPsec二次封装差异

根据配置的封装模式不同，IPsec处理方式存在显著差异：

隧道模式（Tunnel Mode）封装：

New IP Header: Src: 202.101.12.1 Dst: 202.101.23.3 Protocol: ESP (50) ESP Header: SPI: 0x12345678 (安全参数索引) Sequence: 1 Encrypted Data: (完整GRE报文) ESP Trailer: Padding: 可变长度 Pad Length: 填充字节数 Next Header: 4 (IPv4) ESP Auth: (完整性校验值)

传输模式（Transport Mode）封装：

Original IP Header: Src: 202.101.12.1 Dst: 202.101.23.3 Protocol: ESP (50) (原协议字段被修改) ESP Header: SPI: 0x12345678 Sequence: 1 Encrypted Data: (GRE头+原始IP报文) ESP Trailer: (同隧道模式)

关键差异对比：

3. Wireshark实战分析技巧

3.1 抓包过滤器配置

针对不同分析场景推荐使用以下捕获过滤器：

# 仅捕获IPsec相关流量 host 202.101.12.1 and host 202.101.23.3 and (proto 50 or proto 51 or udp port 500) # 捕获完整握手过程 udp port 500 or udp port 4500 or proto 50 or proto 47

3.2 解码关键步骤

1. IKEv1协商过程：

   • Phase 1：Main Mode交换（6条消息）

     Frame 1-2: SA交换（提议和变换集） Frame 3-4: DH交换和Nonce Frame 5-6: ID交换和认证

   • Phase 2：Quick Mode交换（3条消息）

     Frame 7-9: 协商IPsec SA参数

2. ESP报文解析技巧：

   • 右键报文 → Decode As → 选择ESP
   • 编辑ipsec.secrets文件添加预共享密钥：

     202.101.12.1 202.101.23.3 : PSK "520"

3. GRE Keepalive检测：

   gre.flags == 0x2000 # 标识Keepalive报文 gre.key == 0x1234 # 匹配配置的密钥值

4. 典型问题排查方法

4.1 隧道建立失败常见原因

通过抓包可快速定位以下问题：

1. IKE阶段失败：

   • 查看前两个报文是否包含匹配的加密/认证提案
   • 检查第三个报文是否有NO_PROPOSAL_CHOSEN通知

2. IPsec阶段失败：

   • 确认ACL是否匹配（ipsec.security_associations显示为空）
   • 检查ipsec.proposal中的PFS组是否一致

3. GRE隧道问题：

   • 使用display interface Tunnel 0/0/1查看状态
   • 抓包验证Keepalive报文是否双向可达

4.2 性能优化建议

根据抓包分析结果可实施以下优化：

1. MTU调整：

   interface Tunnel0/0/1 mtu 1400 # 避免IPsec分片

2. 选择加密算法：

   ipsec proposal 1 esp encryption-algorithm aes-256 # 替换3DES

3. 启用DPD检测：

   ike peer 1 dpd interval 10 retry-interval 5

通过本文的抓包分析方法，网络工程师可以深入理解GRE over IPsec的封装细节，快速定位复杂网络环境中的隧道问题。实际部署时建议先进行实验室抓包验证，确保各阶段报文符合预期后再上线生产环境。