Configuración GRE sobre IPSEC
La diferencia entre la configuración de IPSec-Over-GRE y GRE-Over-IPSec es:
GRE-Over-IPSec IPSec-Over-GRE
Definición de ACL Flujo de datos GRE Flujo de datos de intranet
La dirección remota especificada en el par IKE La dirección pública de la otra parte La otra parte Dirección de túnel GRE
Puerto de aplicación Salida de red pública Túnel GRE
技术 特点:
IPSec (ESP) túnel solo tráfico de unidifusión IP
Cifrado GRE paquetes de difusión o multidifusión no ip e ip en paquetes de unidifusión ip El
uso de un túnel GRE dentro de un túnel ipsec usa solo tres SA (como máximo)
GRE --- Encapsulación de enrutamiento genérico
GRE es un protocolo de tres capas sin conexión y sin seguridad Protocolos admitidos: IP / IPX / Apple Talk
Tunnel Mode Estructura del paquete: | IP | ESP | IP | GRE | IP | TCP | Datos | ESP |
| <=== Carga útil cifrada ===> |
Modo de transporte 包 结构: | IP | ESP | GRE | IP | TCP | Datos | ESP |
| <=== Carga útil cifrada ===> |
Experimento 1:
La estructura de paquetes del modo de túnel en este experimento:
.. | Origen de pares Destino de pares | ESP | Dirección de fuente GRE Dirección de destino GRE | GRE | IP de destino IP de origen | datos | ESP | ..
Esta estructura de paquetes del modo de transporte del experimento:
Dado que "Destino de origen de igual" (punto de encriptación) es igual a "Dirección de origen de GRE Dirección de destino de GRE" (punto de comunicación), la estructura del paquete se cambia a: ... | Dirección de origen de GRE Dirección de destino de GRE | ESP | GRE | IP de origen IP de destino | datos | ESP | ...
Antiguo comando:
起 Túnel:
R2 (config) # interfaz tunnel 23
R2 (config-if) #ip address 23.1.1.2 255.255.255.0 <=== 起 tunnel 地址
R2 (config-if) #tunnel source 12.1.1.2
R2 (config-if ) #tunnel destination 13.1.1.3
------------------------------------------- -
R3 (config) # interfaz del túnel 23
R3 (config-if) #ip dirección 23.1.1.3 255.255.255.0
R3 (config-if) #tunnel source 13.1.1.3
R3 (config-if) #tunnel destination 12.1.1.2
Anuncio:
R2 (config-if) # router eigrp 90 <=== Sin anunciar la interfaz para conectarse a Internet
R2 (config-router) #no auto-summary
R2 (config-router) #network 100.2.2.0 0.0.0.255 <== == Anuncie la red interna
R2 (config-router) #network 23.1.1.0 0.0.0.255 <==== Anuncie la dirección del túnel
----------------------- ------------------------
R3 (config-if) #router eigrp 90
R3 (config-router) #no auto-summary
R3 (config-router ) #network 100.3.3.0 0.0.0.255
R3 (config-router) #network 23.1.1.0 0.0.0.255
IKE Phase I Policy:
R2 (config) #crypto isakmp policy 1
R2 (config-isakmp) #authentication pre-share
R2 (config-isakmp) #hash md5
R2 (config-isakmp) #encryption 3des
R2 (config-isakmp) # grupo 2
R2 (config) #crypto isakmp key 0 dirección del lobo 13.1.1.3 <=== 使用 物理 口 地址
-------------------------- ---------------------------
R3 (config) #crypto isakmp policy 1
R3 (config-isakmp) #authentication pre-share
R3 (config -isakmp) #hash md5
R3 (config-isakmp) #encryption 3des
R3 (config-isakmp) #group 2
R3 (config) #crypto isakmp key 0 dirección del lobo 12.1.1.2
IPSec Phase II Policy:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha-hmac
mode:
R2 (cfg-crypto-trans) #mode tunnel <=== use el modo "tunnel"
o: R2 ( cfg-crypto-trans) #mode transport <=== Use el modo "transport". (Solo en el caso especial donde "Peer source Peer destination" es igual a "GRE source address GRE target address", se puede usar y solo se puede usar en
Enrutadores de la serie) R2 (config) #ip access-list extended gre
R2 (config-ext-nacl) #permit gre any any <=== Las condiciones se pueden capturar más finamente (any: se puede reemplazar por GRE's SOURCE / DESTINO)
R2 (config) #crypto map huawei 10 ipsec-isakmp
R2 (config-crypto-map) #set peer 13.1.1.3 <=== Use la dirección del puerto físico
R2 (config-crypto-map) #set transform-set cisco
R2 (config-crypto-map) #set pfs
R2 (config-crypto-map) #match address gre
-----------------------------------------------
R3 (config ) #crypto ipsec transform-set cisco esp-des esp-sha-hmac
R3 (cfg-crypto-trans) #mode tunnel
R3 (config) #ip access-list extended gre
R3 (config-ext-nacl) #permit gre any cualquiera <=== 对 条件 可以 抓 的 更 细
R3 (config) #crypto map huawei 10 ipsec-isakmp
R3 (config-crypto-map) #set peer 12.1.1.2
R3 (config-crypto-map) #set transform- set cisco
R3 (config-crypto-map) #set pfs
R3 (config-crypto-map) #match address gre
Aplique Configuración de VPN
R2 (config) # interfaz ethernet 0/0
R2 (config-if) #crypto map huawei
--------------------------- ---------
R3 (config) # interfaz ethernet 0/0
R3 (config-if) #crypto map huawei
Nuevo comando: No necesita transmisiones interesadas, no MAP, no necesita establecer pares
... <=== Igual que antes
IPSec Fase II Política:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha -hmac
R2 (config) #crypto ipsec profile GREPRO <=== Solo los enrutadores de más de 26 series admiten
R2 (ipsec-profile) #set transform-set cisco
Aplicar configuración de VPN
R2 (config) # interfaz del túnel 23
R2 (config-if) # protección de túnel ipsec perfil GREPRO
R2 # show crypto ipsec sa <=== Puede ver la negociación en modo "transporte"