本文继上文继续讨论gre over ipsec,上次我们是在两站点之间先建立IPSec连接(transport方式),然后再IPSec连接上再建立gre隧道,进行加密通信;本次我们换种方式来配置与上文相同的效果。这里我们用到了cisco路由器ipsec配置的一个技术:profile。
==============================R0配置==============================
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 1234 address 192.168.8.1
!
!
crypto ipsec transform-set 1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile 1 //本文的精髓,配置Profile来代替map
set transform-set 1
set pfs group2
!
interface Tunnel1
ip address 192.168.10.1 255.255.255.0
tunnel source 192.168.1.1
tunnel destination 192.168.8.1
tunnel protection ipsec profile 1
!
interface Serial1/0
ip address 192.168.1.1 255.255.255.0
serial restart-delay 0
R0的路由:
Router#show ip route
C 192.168.10.0/24 is directly connected, Tunnel1
C 192.168.1.0/24 is directly connected, Serial1/0
S* 0.0.0.0/0 is directly connected, Serial1/0
===========================================================================
============================R2配置===============================
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 1234 address 192.168.1.1
!
!
crypto ipsec transform-set 1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile 1
set transform-set 1
set pfs group2
!
interface Tunnel1
ip address 192.168.10.2 255.255.255.0
tunnel source 192.168.8.1
tunnel destination 192.168.1.1
tunnel protection ipsec profile 1
!
interface Serial1/0
ip address 192.168.8.1 255.255.255.0
serial restart-delay 0
R2的路由:
Router#show ip route
C 192.168.8.0/24 is directly connected, Serial1/0
C 192.168.10.0/24 is directly connected, Tunnel1
S* 0.0.0.0/0 is directly connected, Serial1/0
=================================================================
看到这里,我们在R0和R2的配置中没有看到map,在接口上也没有看到map的加载,这与我们传统的ipsec的连接不一致,而且R0和R2的配置中均没有看到感兴趣流的配置,这与我们配置的传统的ipsec配置不一致。
现在来看配置,首先我们在完成一系列的ipsec配置后(第一阶段参数,预共享密钥,第二段加密测试等),按流程应该配置map并将map运用到接口上;本处就以profile来代替。“Profile”中只有两个参数“pfs”和“transport”,但并没有感兴趣流和加密接口。我们再看gre隧道的配置跟以往的配置的区别“tunnel protection ipsec profile 1”,顾名思义就是在gre隧道上配置ipsec保护,保护的具体策略就是profile1.
就因为在gre接口上我们配置了ipsec保护,我们就可以确定建立ipsec的两个站点:tunnel source和tunnel destination(就相当于在source和destination上配置了map);加密的感兴趣流就是tunnel source和tunnel destination之间的gre通信,而且仅仅是gre通信。
通过一个简单的profile,我们就完成了整个的gre overipsec,该方法目前是非常流行的一种配置,被广泛使用!
在完成配置之后,我们在R0上进行ping 192.168.10.2的操作,查看是否能够pint通,及两者之间的通信是否已经被加密。
Router#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/36/96 ms
可以ping成功,我们再来看两者之间的加密:
通信已被加密,我们的gre over ipsec建立成功!
本文出自 “网络学习点滴记录” 博客,转载请与作者联系!