GRE OVER IPsec ×××

GRE OVER IPsec ×××

配置如下：

以ROUTER A为例：

第一步：基本路由器配置

en                                        

conf t                                      进全局配置模式    

hostname RA                                 重命名：RA

line con 0

logg sync                                   日志同步输出功能

no exec-timeout                             控制台永不超时

no ip domain-lookup                         禁用域名解析

第二步：先有通路，确保能够到达对端网络      此处双方配置好后，先对ping，ping通再下一步！当然要配置好双方的物理接口

ip route 0.0.0.0 0.0.0.0 192.168.1.2        到达对端网络，先有通路

第三步：配置GRE 隧道

interface tunnel 0                          配置GRE ×××的隧道接口

ip add 192.168.3.1 255.255.255.0            该地址是与子网的路由配置在一起的

tunnel source 192.168.1.1                   实际的物理接口地址用来封装GRE，即本地的E0/0接口

tunnel destination 192.168.2.1              目的地的物理接口地址，对端的物理接口地址

no shut                                     激活该接口

interface lookup 0                          启动环回口（作用：模拟子网）

ip add 192.168.4.1 255.255.255.0            配置IP地址

no shutdown                                 激活该接口（可以忽略，自动激活）

interface ethernet 0/0                      对外接口地址（物理地址，公网地址，此处用私网模拟）

ip add 192.168.1.1 255.255.255.0            配置地址，该地址不在OSPF进程中宣告，否则就不需要IPsec 来保护GRE了

no shutdown                                 激活该接口

router ospf 1                               启动进程

network 192.168.4.1 0.0.0.0 area 1          宣告网段地址

network 192.168.3.1 0.0.0.0 area 0

exit

ip access-list extended gre                 定义GRE的ACL，以保护GRE ×××   GRE不提供保密功能

1 permit udp host 192.168.2.1 host 192.168.1.1 eq 500  保护UDP端口的IKE，让IPSEC能够穿越该接口（注意是目的到源）

2 permit ahp host 192.168.2.1 host 192.168.1.1         保护AH验证报头  AH使用51

3 permit esp host 192.168.2.1 host 192.168.1.1         保护ESP验证报头 ESP使用50

4 permit gre host 192.168.2.1 host 192.168.1.1         保护GRE***

5 deny ip any any                                      其它流量一概丢弃

exit                                                   退出

interface ethernet 0/0                                 进接口

ip access-group gre in                                 应用ACL到接口

exit                                                   退出

第四步：用IPsec 保护GRE

crypto isakmp enable                                    启动IKE

第五步：IPsec 阶段一配置：

crypto isakmp policy 1                                  启动IKE策略，优先级越高，越先应用

hash sha                                                应用安全的HASH算法 SHA 168位加密

encryption aes 128                                      AES128位对称密钥加密

authencation pre-share                                  用预共享密钥

lifetime 86400                                          SA存活时间，默认86400秒，可不配置

exit                                                    退出

第六步：IPsec 阶段二配置：

ip access-list extended ipsec                           定义ACL

1 permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 定义什么样的流量被保护，这里是环回接口的流量被保护（即用环回接口来模拟二地的子网）

2 permit gre host 192.168.1.1 host 192.168.2.1          用IPsec×××来保护GRE，

3 deny ip any any                                       丢弃其它任何流量

exit                                                    退出

crypto ipsec transform-set ah-sha-hmac esp-aes esp-sha-hamc设置转换集，采用AH验证报头，ESP加密，安全HASH算法SHA做为验证数据

mode transport                                           因为GRE是点到点，因此采用传输模式

crypto map ipsec 1 ipsec-isakmp                          启动IKE与IPSEC协商

set peer 192.168.2.1                                     送到对端物理接口的地址，该地址是新的IP分组

set transform-set ipsec                                  应用转换集

match address ipseC                                      保护ACL中的流量被保护

exit                                                     退出

第七步：应用到接口

interface ethernet 0/0                                    进物理接口

crypto map ipsec                                          将加密映射图应用到该接口

exit                                                      退出

ip access-list extended gre                               进GRE ACL

no 4                                                      先前定义的4列表由于现在被IPSEC保护，因此去除

exit                                                       退出

至此，已经完成一边所有的配置