组网需求

        由于IPSec在对等体间连接性有固有的局限性，包括1、IPSec只能加密/解密IP数据流；2、IPSec无法处理多播或广播IP数据流；但是GRE隧道对于多协议、组播等无法传输在承载路由协议可以更方便；而GRE隧道不能提供加密保障，因此需要和IPSec进行结合；GRE OVER IPSEC的优点在于使用GRE在两个网关之间搭建一个隧道，运行路由协议及传输正常数据，使IPSEC对整个GRE隧道进行加密。

典型组网：

配置步骤：

FW1配置：

            命令行方式配置

            配置接口Ge 0/0/1和Ge 0/0/2的IP地址

SAG-5500-50D(config)#interface Ge 0/0/1

SAG-5500-50D(config-if-Ge0/0/1)#ip add  20.0.0.1 24

SAG-5500-50D(config)#interface Ge 0/0/2

SAG-5500-50D(config-if-Ge0/0/2)#ip add  192.168.0.1 24

            开启IPSEC使能开关及配置IKE协商策略