华为 GRE over IPsec(IPsec加密GRE隧道)

每日一句:
To love oneself is the beginning of alifelong romance.
爱自己是终身浪漫的开始。

                            ——————奥斯卡*王尔德

实验拓扑:

华为 GRE over IPsec(IPsec加密GRE隧道)_第1张图片

要求:

公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流

实验分析:

使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:
1、可以使用IPsec来加密隧道进行传输,称为IPsec over GRE
2、加密数据流后从隧道传输,称为GRE over IPsec
下面将配置一个简单的IPsec over GRE实验

第一步配置路由器ip地址:

R1:
GigabitEthernet0/0/0              192.168.10.1/24  

R2:
GigabitEthernet0/0/0              192.168.10.2/24          
GigabitEthernet0/0/1              1.1.1.2/24         
 
R3:
GigabitEthernet0/0/0              1.1.1.3/24                 
GigabitEthernet0/0/1              2.2.2.3/24       
    
R4:
GigabitEthernet0/0/0              2.2.2.4/24                  
GigabitEthernet0/0/1              192.168.20.4/24  

R5:
GigabitEthernet0/0/0              192.168.20.5/24  

第二步,在R2和R4配置默认路由
R2:

ip route-static 0.0.0.0 0.0.0.0 1.1.1.3

R4:

ip route-static 0.0.0.0 0.0.0.0 2.2.2.3

我们来测试下公网的连通性哈
在这里插入图片描述

两端配置GRE 隧道实现内网连通性:

R2:

interface Tunnel0/0/1                              //进入tunne 0隧道
 destination 2.2.2.4                                /隧道的源地址既 实际发送报文的接口IP地址
  **//注意 有可能打成  description ,大家细心千万要注意**
 ip address 192.168.1.1 255.255.255.0         //隧道ip
 tunnel-protocol gre                               //  封装的协议   
 source 1.1.1.2                                      //设置gre本端 ,本端公网地址
keepalive period 5 retry-times 3   //5S发送一次,重试次数3s
gre key 5201314                                  //gre keepalive功能
 gre checksum                                     //GRE隧道识别关键字

R4:

interface Tunnel0/0/0                        //进入tunne 0隧道
 destination 1.1.1.2                           //设置gre对端 ,必须是对端公网地址
 ip address 192.168.1.2 255.255.255.0         //隧道ip
 tunnel-protocol gre                         //  封装的协议   
 source 2.2.2.4                                //设置gre本端 ,本端公网地址
 keepalive period 5 retry-times 3   //5S发送一次,重试次数3s
gre key 5201314                           //gre keepalive功能
 gre checksum                              //GRE隧道识别关键字
[zc-r4]display interface Tunnel 0/0/0         //查看tun 0接口信息

在这里插入图片描述

检查隧道ip的连通性:

ping 2.2.2.4 

在这里插入图片描述

配置路由:

静态或ospf,rip等,该实验使用ospf路由的方式引流到gre隧道中(两端都要配置 (静态路由有点绕哈哈哈 ,就ospf把)
R2:

[zc-r2-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.10.0 0.0.0.255 

R4:

[zc-r4-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 4.4.4.4 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.20.0 0.0.0.255

R1:

ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 192.168.10.0 0.0.0.255

R5:

ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 192.168.20.0 0.0.0.255

在这里插入图片描述

这时候发现它走的隧道

gre over ipsec隧道实验

R2:
[r2]acl 3000
[r2-acl-adv-3000]ru 5 per ip so 1.1.1.2 0.0.0.255 de 2.2.2.4 0.0.0.255   //注意:  保护的是GRE的隧道 

[r2]ipsec proposal R2       //配置 ipsec 安全提议  
ike prop 1       //配置ike安全提议

[r2-ike-proposal-1]ike peer R2 v2      //配置ike 对等体
[r2-ike-peer-ike_r1]ike-proposal 1   //调用ike 安全提议
[r2-ike-peer-ike_r1]pre-shared-key si 123   //共享秘钥
[r2-ike-peer-ike_r1]remote-address 2.2.2.4   //配置对等体IP地址

[r2]ipsec  policy R2 1 isakmp    //创建一个安全策略
[r2-ipsec-policy-isakmp-po_r2-1]security acl 3000    //引用访问控制列表
[r2-ipsec-policy-isakmp-po_r2-1]ike-peer R2   //调用ike对等体
[r2-ipsec-policy-isakmp-po_r2-1]proposal R2   //调用IPsec安全提议

R4:
[r4]acl 3001
[r4-acl-adv-3001]ru 5 per ip so 2.2.2.4 0.0.0.255 de 1.1.1.2 0.0.0.255   //注意:  保护的是GRE的隧道 

[r4]ipsec proposal R4       //配置 ipsec 安全提议  
ike prop 1       //配置ike安全提议

[r4-ike-proposal-1]ike peer R4 v2      //配置ike 对等体
[r4-ike-peer-ike_r1]ike-proposal 1   //调用ike 安全提议
[r4-ike-peer-ike_r1]pre-shared-key si 123   //共享秘钥
[r4-ike-peer-ike_r1]remote-address 1.1.1.2   //配置对等体IP地址

[r4]ipsec  policy R4 1 isakmp    //创建一个安全策略
[r4-ipsec-policy-isakmp-po_r4-1]security acl 3000    //引用访问控制列表
[r4-ipsec-policy-isakmp-po_r4-1]ike-peer R4   //调用ike对等体
[r4-ipsec-policy-isakmp-po_r4-1]proposal R4  //调用IPsec安全提议


大家要注意 这里安全策略调用了ipsec安全提议和ike 注意名字别调用错了

今天5月20号祝大家节日快乐!

你可能感兴趣的:(华为HCPN,GRE,IPsec加密)