每日一句:
We are all in the gutter, but some of us arelooking at the stars.
我们都生活在阴沟里,但仍有人仰望星空。
——————奥斯卡*王尔德
公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流
使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:
1、可以使用IPsec来加密隧道进行传输,称为IPsec over GRE
2、加密数据流后从隧道传输,称为GRE over IPsec
下面将配置一个简单的IPsec over GRE实验
R1:
GigabitEthernet0/0/0 192.168.10.1/24
R2:
GigabitEthernet0/0/0 192.168.10.2/24
GigabitEthernet0/0/1 1.1.1.2/24
R3:
GigabitEthernet0/0/0 1.1.1.3/24
GigabitEthernet0/0/1 2.2.2.3/24
R4:
GigabitEthernet0/0/0 2.2.2.4/24
GigabitEthernet0/0/1 192.168.20.4/24
R5:
GigabitEthernet0/0/0 192.168.20.5/24
第二步,在R2和R4配置默认路由:
R2:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.3
R4:
ip route-static 0.0.0.0 0.0.0.0 2.2.2.3
R2:
interface Tunnel0/0/1 //进入tunne 0隧道
destination 2.2.2.4 /隧道的源地址既 实际发送报文的接口IP地址
**//注意 有可能打成 description ,大家细心千万要注意**
ip address 192.168.1.1 255.255.255.0 //隧道ip
tunnel-protocol gre // 封装的协议
source 1.1.1.2 //设置gre本端 ,本端公网地址
R4:
interface Tunnel0/0/0 //进入tunne 0隧道
destination 1.1.1.2 //设置gre对端 ,必须是对端公网地址
ip address 192.168.1.2 255.255.255.0 //隧道ip
tunnel-protocol gre // 封装的协议
source 2.2.2.4 //设置gre本端 ,本端公网地址
[zc-r4]display interface Tunnel 0/0/0 //查看tun 0接口信息
ping 2.2.2.4
静态或ospf,rip等,该实验使用ospf路由的方式引流到gre隧道中(两端都要配置 (静态路由有点绕哈哈哈 ,就ospf把)
R2:
[zc-r2-ospf-1]display this
[V200R003C00]
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.10.0 0.0.0.255
R4:
[zc-r4-ospf-1]display this
[V200R003C00]
#
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.20.0 0.0.0.255
R1:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
R5:
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.20.0 0.0.0.255
这时候发现它走的隧道
GRE隧道的安全性,可以对GRE隧道两端进行端到端校验或者设置GRE隧道的识别关键字,通过这种安全机制防止错误识别、接收其它地方来的报文。
使能GRE隧道的校验和功能
[AR2-Tunnel0/0/1]gre checksum
配置GRE隧道的识别关键字
如果在隧道两端的Tunnel接口配置识别关键字,则必须指定相同的识别关键字;或隧道两端都不配置此命令。如果使用plain选项,识别关键字将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将识别关键字加密保存。
[AR2-Tunnel0/0/1]gre key 5201314
1.4.2 GRE的Keepalive检测功能
使用Keepalive功能可以周期地发送Keepalive探测报文给对端,及时检测隧道连通性。若对端可达,则本端会收到对端的回应报文;否则,收不到对端的回应报文,关闭隧道连接。
Keepalive功能是单向的,只要在隧道一端配置Keepalive,该端就具备Keepalive功能,而不要求隧道对端也具备该功能。为了使隧道两端都能检测对端是否可达,建议在隧道两端都使Keepalive功能
[AR2-Tunnel0/0/1]keepalive period 5 retry-times 3
#配置5s发送一次,重试次数3次,通过在接口下disp keepalive packets count命令可查看发送了多少个keepalive报文