IPsec sobre GRE

Configuração IPSEC sobre GRE

Características técnicas: use o túnel para executar o protocolo de roteamento dinâmico  

Experiência 1:
        

R2 (config) #interface tunnel 23
endereço IP (config-if) #ip 23.1.1.2 255.255.255.0 <=== do endereço de túnel
R2 (config-if) #tunnel source 12.1.1.2
R2 (config-if) #tunnel destino 13.1.1.3
R2 (config-if) #tunnel key 12345 <=== "tunnel key" é usada apenas para identificar o túnel, as duas extremidades devem ser simétricas, não para criptografia, não é possível inserir este comando aqui
R2 (config- if) # router eigrp 90 <=== Sem anunciar a interface
R2 (roteador de configuração) # sem resumo automático 
R2 (roteador de configuração) #network 2.2.2.0 0.0.0.255 <==== Anuncie a porta de loopback Rede
R2 (roteador de configuração) #network 100.2.2.0 0.0.0.255 <==== Anunciar rede interna
R2 (roteador de configuração) #network 23.1.1.0 0.0.0.255 <==== Anunciar o endereço do túnel
----- ----------------------------------------------
R3 (configuração) #internel tunnel 23 
R3 (config-if) #ip address 23.1.1.3 255.255.255.0
R3 (config-if) #tunnel source 13.1.1.3
R3 (config-if) #tunnel destino 12.1.1.2
R3 (config-if) chave do túnel 12345
R3 (config-if) #router eigrp 90
R3 (roteador de configuração) # sem resumo automático 
R3 (roteador de configuração) #network 3.3.3.0 0.0.0.255
R3 (config-router) #network 100.3.3.0 0.0.0.255
R3 ( roteador de configuração) #network 23.1.1.0 0.0.0.255

Política de IKE Fase I:
R2 (config) #crypto política do isakmp 1
R2 (config-isakmp) # autenticação pré-compartilhamento 
R2 (config-isakmp) #hash md5 
R2 (config-isakmp) #encryption 3des
R2 (config-isakmp) # grupo 2
R2 (config) #crypto isakmp key 0 endereço do lobo 3.3.3.3 <=== 一定 要用 环 回 口 地址                                        
----------------------- ------------------------------
R3 (config) #crypto política do isakmp 1
R3 (config-isakmp) # pré-compartilhamento de autenticação 
R3 (config-isakmp) #hash md5
R3 (config-isakmp) # criptografia 3des 
R3 (config-isakmp) #group 2
R3 (config) #crypto isakmp key 0 endereço do lobo 2.2.2.2

Política IPSec Fase II:
R2 (config) #crypto ipsec transform-set cisco esp-des esp-sha-hmac
R2 (config) # access-list 101 allow ip 100.2.2.0 0.0.0.255 100.3.3.0 0.0.0.255
R2 (config ) #crypto mapeia o endereço local huawei Loopback0 <=== mude "peer" para "Loopback0" para estabelecer um canal IPSEC (por padrão, a porta física é negociada para estabelecer um canal IPSEC)
R2 (config) #crypto mapeie o huawei 10 ipsec-isakmp 
R2 ( config-crypto-map) #set peer 3.3.3.3 <=== Endereço de interface de rede pública disponível e endereço de porta de loopback disponível (irrelevante para a configuração do primeiro estágio)
Cada um dos quatro casos a seguir é encapsulado, verifique primeiro a tabela de roteamento e, em seguida, determinar quais pacotes:
a peer to porta física, Mapa aplicado a uma interface de rede pública:
 estrutura de pacotes: ... | destino túnel túnel fonte | GRE | fonte: 100.2.2.2 destino: 100.3.3.3 | icmp ...
   devido à aplicada O Mapa da interface de rede pública não corresponde ao fluxo de interesse e, portanto, é enviado diretamente sem criptografia.Quando o
Par é definido como uma porta física, quando o Mapa é aplicado à interface do túnel:
 estrutura do pacote: ... | origem do par destino do par | ESP | fonte: 100.2. 2.2 destino: 100.3.3.3 | icmp ...
   Como o Mapa aplicado à interface do túnel corresponde ao fluxo de interesse, ele é enviado de acordo com o endereço de destino do PEER. (Ele sai sem passar pelo túnel) O
Ponto é definido para a porta de loopback e quando o Mapa é aplicado à interface de rede pública:
 estrutura de pacotes: . | origem do túnel destino do túnel | GRE | fonte: 100.2.2.2 destino: 100.3.3.3 | icmp ...
   Como o Mapa aplicado à interface da rede pública não corresponde ao fluxo de interesse, ele é enviado sem criptografia. O
par está configurado para tocar Porta de retorno, quando o Mapa é aplicado à interface do túnel:
 estrutura do pacote: ... | destino do túnel da origem do túnel | GRE | destino do par da origem do par | ESP | fonte: 100.2.2.2 destino: 100.3.3.3 | icmp ...
   porque é aplicado ao túnel De acordo com o endereço de destino do PEER, ele continua verificando a tabela de roteamento para descobrir que o próximo salto é Tunnel ... (após o tunelamento, ele é enviado a partir da interface física)
R2 (config-crypto-map) ) #set conjunto de transformação cisco 
R2 (config-crypto-map) #set pfs
R2 (config-crypto-map) #match address 101
-------------------- -------------------------------------------------- -------
R3 (config) #crypto ipsec transform-set cisco esp-des-sha-hmac 
R3 (config) # access-list 101 allow ip 100.3.3.0 0.0.0.255 100.2.2.0 0.0.0.255
R3 (config) #crypto map huawei endereço local Loopback0
R3 (config) #crypto map huawei 10 ipsec-isakmp 
R3 (config-crypto-map) #set-point 2.2.2.2   
R3 (config-crypto-map) #set conjunto de transformação cisco
R3 (config-crypto- map) #set pfs 
R3 (config-crypto-map) #match address 101

Aplicar VPN Configuration
R2 (config) #interface ethernet 0/0
R2 (config-if) #crypto map huawei 
R2 (config-if) #interface tunnel 23        
R2 (config-if) #crypto map huawei
------- --------------------------------------
R3 (config) #internel tunnel 23
R3 (config- if) #crypto map huawei

R3 # mostra conexões de mecanismo criptográfico ativo 
  ID Interface Algoritmo de estado do endereço IP da interface Criptografar
   1 do túnel23 23.1.1.3 definido HMAC_MD5 + 3DES_56_C 0 0
2001 Tunnel23 3.3.3.3 definido DES + SHA 0 8
2002 Tunnel23 3.3.3.3 definido DES + SHA 8 0
- -------------------------------------------------- ---------
R2 # show isakmp criptográfico no
estado do dst src status do slot de id-
1.1.1.1.1 2.2.2.2 QM_IDLE 1 0 ATIVO
----------------- -------------------
R2 # mostra pares de criptografia isakmp 
Par: 1.1.1.1 Porta: 500 Local: 2.2.2.2
 ID da fase 1: 1.1.1.1
------------------------------- -
R2 # show ipsec criptográfico na
interface: Ethernet0 / 0
    Crypto map tag: cisco, addr local 2.2.2.2

   vrf protegido: (nenhum)
   ident local (endereço / máscara / prot / porta): (10.1.2.0/255.255.255.055.0/0/0)
   ident remoto (endereço / máscara / prot / porta): (10.1.1.0/255.255. 255.0 / 0/0)
   current_peer 1.1.1.1 porta 500
     PERMIT, flags = {origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, # pkts verifica: 4
    #pkts compactados: 0, #pkts descompactados: 0
    #pkts não compactados: 0, #pkts compre. falha: 0
    #pkts não descompactados: 0, #pkts descompactados falhou: 0
    #send erros 1, #recv erros 0

     local de criptografia local .: 2.2.2.2, local de criptografia remoto .: 1.1.1.1
     path mtu 1500, ip mtu 1500
     spi de saída atual: 0x12D1DDFE (315743742)

     esp de entrada esp sas:
      spi: 0xC2686DB7 (3261623735)
        transform: esp-des esp-sha-hmac,
        em configurações de uso = {Tunnel,}
        ID da conexão: 2001, flow_id: 1, mapa de criptografia: cisco
        sa timing: tempo restante da chave (k / s): (4386784/3492)
        Tamanho do IV: 8 bytes
        suporte à detecção de repetição: Y
        Status: ATIVO

     ah sas de entrada:

     pcp sas de entrada:

     saída esp sas:
      spi: 0x12D1DDFE (315743742)
        transform: esp-des esp-sha-hmac,
        em configurações de uso = {Tunnel,}
        id de conexão: 2002, flow_id: 2, mapa de criptografia: cisco
        sa timing: tempo restante da chave (k / s): (4386784/3490)
        Tamanho IV: 8 bytes
        suporte à detecção de repetição: Y
        Status: ATIVO

     ah sas de saída:

     sas pcp de saída:

interface:
    tag de mapa de criptografia Tunnel21 : cisco, local addr 2.2.2.2

   vrf protegido: (nenhum)
   ident local (endereço / máscara / prot / porta): (10.1.2.0/255.255.255.055.0/0/0)
   ident remoto (endereço / máscara / prot / porta): (10.1.1.0/255.255. 255.0 / 0/0)
   current_peer 1.1.1.1 porta 500
     PERMIT, flags = {origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, # pkts verifica: 4
    #pkts compactados: 0, #pkts descompactados: 0
    #pkts não compactados: 0, #pkts compre. falha: 0
    #pkts não descompactados: 0, #pkts descompactados falhou: 0
    #send erros 1, #recv erros 0

     local de criptografia local .: 2.2.2.2, local de criptografia remoto .: 1.1.1.1
     path mtu 1500, ip mtu 1500
     spi de saída atual: 0x12D1DDFE (315743742)

     esp de entrada esp sas:
      spi: 0xC2686DB7 (3261623735)
        transform: esp-des esp-sha-hmac,
        em configurações de uso = {Tunnel,}
        ID da conexão: 2001, flow_id: 1, mapa de criptografia: cisco
        sa timing: tempo restante da chave (k / s): (4386784/3488)
        Tamanho do IV: 8 bytes
        suporte à detecção de repetição: Y
        Status: ATIVO

     ah sas de entrada:

     pcp sas de entrada:

     saída esp sas:
      spi: 0x12D1DDFE (315743742)
        transform: esp-des esp-sha-hmac,
        em configurações de uso = {Tunnel,}
        id de conexão: 2002, flow_id: 2, mapa de criptografia: cisco
        sa timing: tempo restante da chave (k / s): (4386784/3487)
        Tamanho do IV: 8 bytes
        suporte à detecção de repetição: Y
        Status: ATIVO

     ah sas de
          
     saída: sas pcp de saída: