每日一句:
To love oneself is the beginning of alifelong romance.
爱自己是终身浪漫的开始。
——————奥斯卡*王尔德
公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流
使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:
1、可以使用IPsec来加密隧道进行传输,称为IPsec over GRE
2、加密数据流后从隧道传输,称为GRE over IPsec
下面将配置一个简单的IPsec over GRE实验
R1:
GigabitEthernet0/0/0 192.168.10.1/24
R2:
GigabitEthernet0/0/0 192.168.10.2/24
GigabitEthernet0/0/1 1.1.1.2/24
R3:
GigabitEthernet0/0/0 1.1.1.3/24
GigabitEthernet0/0/1 2.2.2.3/24
R4:
GigabitEthernet0/0/0 2.2.2.4/24
GigabitEthernet0/0/1 192.168.20.4/24
R5:
GigabitEthernet0/0/0 192.168.20.5/24
第二步,在R2和R4配置默认路由:
R2:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.3
R4:
ip route-static 0.0.0.0 0.0.0.0 2.2.2.3
我们来测试下公网的连通性哈
R2:
interface Tunnel0/0/1 //进入tunne 0隧道
destination 2.2.2.4 /隧道的源地址既 实际发送报文的接口IP地址
**//注意 有可能打成 description ,大家细心千万要注意**
ip address 192.168.1.1 255.255.255.0 //隧道ip
tunnel-protocol gre // 封装的协议
source 1.1.1.2 //设置gre本端 ,本端公网地址
keepalive period 5 retry-times 3 //5S发送一次,重试次数3s
gre key 5201314 //gre keepalive功能
gre checksum //GRE隧道识别关键字
R4:
interface Tunnel0/0/0 //进入tunne 0隧道
destination 1.1.1.2 //设置gre对端 ,必须是对端公网地址
ip address 192.168.1.2 255.255.255.0 //隧道ip
tunnel-protocol gre // 封装的协议
source 2.2.2.4 //设置gre本端 ,本端公网地址
keepalive period 5 retry-times 3 //5S发送一次,重试次数3s
gre key 5201314 //gre keepalive功能
gre checksum //GRE隧道识别关键字
[zc-r4]display interface Tunnel 0/0/0 //查看tun 0接口信息
ping 2.2.2.4
静态或ospf,rip等,该实验使用ospf路由的方式引流到gre隧道中(两端都要配置 (静态路由有点绕哈哈哈 ,就ospf把)
R2:
[zc-r2-ospf-1]display this
[V200R003C00]
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.10.0 0.0.0.255
R4:
[zc-r4-ospf-1]display this
[V200R003C00]
#
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.20.0 0.0.0.255
R1:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
R5:
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 192.168.20.0 0.0.0.255
这时候发现它走的隧道
R2:
[r2]acl 3000
[r2-acl-adv-3000]ru 5 per ip so 1.1.1.2 0.0.0.255 de 2.2.2.4 0.0.0.255 //注意: 保护的是GRE的隧道
[r2]ipsec proposal R2 //配置 ipsec 安全提议
ike prop 1 //配置ike安全提议
[r2-ike-proposal-1]ike peer R2 v2 //配置ike 对等体
[r2-ike-peer-ike_r1]ike-proposal 1 //调用ike 安全提议
[r2-ike-peer-ike_r1]pre-shared-key si 123 //共享秘钥
[r2-ike-peer-ike_r1]remote-address 2.2.2.4 //配置对等体IP地址
[r2]ipsec policy R2 1 isakmp //创建一个安全策略
[r2-ipsec-policy-isakmp-po_r2-1]security acl 3000 //引用访问控制列表
[r2-ipsec-policy-isakmp-po_r2-1]ike-peer R2 //调用ike对等体
[r2-ipsec-policy-isakmp-po_r2-1]proposal R2 //调用IPsec安全提议
R4:
[r4]acl 3001
[r4-acl-adv-3001]ru 5 per ip so 2.2.2.4 0.0.0.255 de 1.1.1.2 0.0.0.255 //注意: 保护的是GRE的隧道
[r4]ipsec proposal R4 //配置 ipsec 安全提议
ike prop 1 //配置ike安全提议
[r4-ike-proposal-1]ike peer R4 v2 //配置ike 对等体
[r4-ike-peer-ike_r1]ike-proposal 1 //调用ike 安全提议
[r4-ike-peer-ike_r1]pre-shared-key si 123 //共享秘钥
[r4-ike-peer-ike_r1]remote-address 1.1.1.2 //配置对等体IP地址
[r4]ipsec policy R4 1 isakmp //创建一个安全策略
[r4-ipsec-policy-isakmp-po_r4-1]security acl 3000 //引用访问控制列表
[r4-ipsec-policy-isakmp-po_r4-1]ike-peer R4 //调用ike对等体
[r4-ipsec-policy-isakmp-po_r4-1]proposal R4 //调用IPsec安全提议
大家要注意 这里安全策略调用了ipsec安全提议和ike 注意名字别调用错了
今天5月20号祝大家节日快乐!