GRE sobre IPsec Cyrus

Others 2020-04-14 09:15:13 views: null

Configuración GRE sobre IPSEC

La diferencia entre la configuración de IPSec-Over-GRE y GRE-Over-IPSec es:
                                  GRE-Over-IPSec IPSec-Over-GRE
Definición de ACL Flujo de datos GRE Flujo de datos de intranet
La dirección remota especificada en el par IKE La dirección pública de la otra parte La otra parte Dirección de túnel GRE
Puerto de aplicación Salida de red pública Túnel GRE

技术 特点:
IPSec (ESP) túnel solo tráfico de unidifusión IP
Cifrado GRE paquetes de difusión o multidifusión no ip e ip en paquetes de unidifusión ip El
uso de un túnel GRE dentro de un túnel ipsec usa solo tres SA (como máximo)

GRE --- Encapsulación de enrutamiento genérico
      GRE es un protocolo de tres capas sin conexión y sin seguridad Protocolos admitidos: IP / IPX / Apple Talk 
      
Tunnel Mode Estructura del paquete: | IP | ESP | IP | GRE | IP | TCP | Datos | ESP |
                                   | <=== Carga útil cifrada ===> |

Modo de transporte 包 结构: | IP | ESP | GRE | IP | TCP | Datos | ESP |
                                        | <=== Carga útil cifrada ===> |

Experimento 1:
La estructura de paquetes del modo de túnel en este experimento:
.. | Origen de pares Destino de pares | ESP | Dirección de fuente GRE Dirección de destino GRE | GRE | IP de destino IP de origen | datos | ESP | ..
Esta estructura de paquetes del modo de transporte del experimento:     
    Dado que "Destino de origen de igual" (punto de encriptación) es igual a "Dirección de origen de GRE Dirección de destino de GRE" (punto de comunicación), la estructura del paquete se cambia a: ... | Dirección de origen de GRE Dirección de destino de GRE | ESP | GRE | IP de origen IP de destino | datos | ESP | ...   

          
Antiguo comando:

起 Túnel:
R2 (config) # interfaz tunnel 23
R2 (config-if) #ip address 23.1.1.2 255.255.255.0 <=== 起 tunnel 地址
R2 (config-if) #tunnel source 12.1.1.2
R2 (config-if ) #tunnel destination 13.1.1.3
------------------------------------------- -
R3 (config) # interfaz del túnel 23 
R3 (config-if) #ip dirección 23.1.1.3 255.255.255.0
R3 (config-if) #tunnel source 13.1.1.3
R3 (config-if) #tunnel destination 12.1.1.2

Anuncio:
R2 (config-if) # router eigrp 90 <=== Sin anunciar la interfaz para conectarse a Internet
R2 (config-router) #no auto-summary 
R2 (config-router) #network 100.2.2.0 0.0.0.255 <== == Anuncie la red interna
R2 (config-router) #network 23.1.1.0 0.0.0.255 <==== Anuncie la dirección del túnel
----------------------- ------------------------
R3 (config-if) #router eigrp 90
R3 (config-router) #no auto-summary 
R3 (config-router ) #network 100.3.3.0 0.0.0.255
R3 (config-router) #network 23.1.1.0 0.0.0.255

IKE Phase I Policy:
R2 (config) #crypto isakmp policy 1
R2 (config-isakmp) #authentication pre-share 
R2 (config-isakmp) #hash md5 
R2 (config-isakmp) #encryption 3des
R2 (config-isakmp) # grupo 2
R2 (config) #crypto isakmp key 0 dirección del lobo 13.1.1.3 <=== 使用 物理 口 地址                                        
-------------------------- ---------------------------
R3 (config) #crypto isakmp policy 1
R3 (config-isakmp) #authentication pre-share 
R3 (config -isakmp) #hash md5
R3 (config-isakmp) #encryption 3des 
R3 (config-isakmp) #group 2
R3 (config) #crypto isakmp key 0 dirección del lobo 12.1.1.2

IPSec Phase II Policy:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha-hmac 
mode:
R2 (cfg-crypto-trans) #mode tunnel <=== use el modo "tunnel"
o: R2 ( cfg-crypto-trans) #mode transport <=== Use el modo "transport". (Solo en el caso especial donde "Peer source Peer destination" es igual a "GRE source address GRE target address", se puede usar y solo se puede usar en
Enrutadores de la serie)          R2 (config) #ip access-list extended gre
R2 (config-ext-nacl) #permit gre any any <=== Las condiciones se pueden capturar más finamente (any: se puede reemplazar por GRE's SOURCE / DESTINO)
R2 (config) #crypto map huawei 10 ipsec-isakmp 
R2 (config-crypto-map) #set peer 13.1.1.3 <=== Use la dirección del puerto físico         
R2 (config-crypto-map) #set transform-set cisco
R2 (config-crypto-map) #set pfs 
R2 (config-crypto-map) #match address gre
-----------------------------------------------
R3 (config ) #crypto ipsec transform-set cisco esp-des esp-sha-hmac 
R3 (cfg-crypto-trans) #mode tunnel
R3 (config) #ip access-list extended gre
R3 (config-ext-nacl) #permit gre any cualquiera <=== 对 条件 可以 抓 的 更 细
R3 (config) #crypto map huawei 10 ipsec-isakmp 
R3 (config-crypto-map) #set peer 12.1.1.2   
R3 (config-crypto-map) #set transform- set cisco
R3 (config-crypto-map) #set pfs 
R3 (config-crypto-map) #match address gre

Aplique Configuración de VPN
R2 (config) # interfaz ethernet 0/0
R2 (config-if) #crypto map huawei 
--------------------------- ---------
R3 (config) # interfaz ethernet 0/0
R3 (config-if) #crypto map huawei


Nuevo comando: No necesita transmisiones interesadas, no MAP, no necesita establecer pares 
... <=== Igual que antes
IPSec Fase II Política:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha -hmac 
R2 (config) #crypto ipsec profile GREPRO <=== Solo los enrutadores de más de 26 series admiten
R2 (ipsec-profile) #set transform-set cisco

Aplicar configuración de VPN
R2 (config) # interfaz del túnel 23
R2 (config-if) # protección de túnel ipsec perfil GREPRO

R2 # show crypto ipsec sa <=== Puede ver la negociación en modo "transporte"

Daiko Hayashiya
Publicados 221 artículos originales · ganado elogios 2 · Vistas 4464
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/qq_43207781/article/details/105468684
Recomendado
Clasificación
Diario
Más
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)

Code World

© 2018 codetd.com