经典GRE over IPSec实验

经典GRE over IPSec实验

如图所示,该拓扑是GRE over IPSec站点到站点的VPN拓扑

实验需求;

在站点Site1(202.100.1.1)和Site2(61.128.1.1)之间建立GRE隧道tunnel0,网段172.16.1.0/24

GRE隧道上运行OSPF协议

使得Site1和Site2相互学到身后的网络路由1.1.1.1/24和3.3.3.3/24

配置IPSec VPN,对两个站点之间GRE流量加密

基本配置省略

Site1(config)#ip  route 0.0.0.0 0.0.0.0 202.100.1.10

Site2(config)#ip route 0.0.0.0 0.0.0.0 61.128.1.10

Site1上的GRE隧道配置

Site1(config-if)#ip add 172.16.1.1 255.255.255.0

Site1(config-if)#tunnel source 202.100.1.1

Site1(config-if)#tunnel destination 61.128.1.1

Site2上的GRE隧道配置

Site2(config)#int tunnel 0

Site2(config-if)#ip add 172.16.1.2 255.255.255.0

Site2(config-if)#tunnel source 61.128.1.1

Site2(config-if)#tunnel destination 202.100.1.1

Site1上的OSPF配置

Site1(config)#router os 1

Site1(config-router)#net 172.16.1.0 255.255.255.0 a

Site1(config-router)#net 1.1.1.0 255.255.255.0 a 0

Site2上的OSPF配置

Site2(config)#router os 1

Site2(config-router)#net 172.16.1.0 255.255.255.0 a 0

*Sep  8 15:31:38.759: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Tunnel0 from LOADING to FULL, Loading Done  //tunnel0的邻居已经建立

Site2(config-router)#net 3.3.3.3 255.255.255.0 a 0

配置IPSec VPN保护站点之间的流量

Site1上的IPSec配置

Site1(config)#crypto isakmp policy 10

Site1(config-isakmp)#authentication pre-share

Site1(config)#crypto isakmp key 0 cisco address 61.128.1.1

Site1(config)#ip access-list extended vpn

Site1(config-ext-nacl)#permit gre host 202.100.1.1 host 61.128.1.1

Site1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

Site1(cfg-crypto-trans)#mode transport

Site1(config)#crypto map cisco 10 ipsec-isakmp

Site1(config-crypto-map)#match add vpn

Site1(config-crypto-map)#set transform-set cisco

Site1(config-crypto-map)#set peer 61.128.1.1

Site1(config-crypto-map)#int f0/0

Site1(config-if)#crypto map cisco

第一条报错消息,从61.128.1.1到202.100.1.1的流量未被封装上ISAKMP头部

第二条由于Site1采用了加密策略,Site2未采用,导致tunnel0邻居关系down

Site2上的IPSec配置

Site2(config)#crypto isakmp policy 10

Site2(config-isakmp)#authentication pre-share

Site2(config)#crypto isakmp key 0 cisco address 202.100.1.1

Site2(config)#ip access-list extended vpn

Site2(config-ext-nacl)#per gre host 61.128.1.1 host 202.100.1.1

Site2(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

Site2(cfg-crypto-trans)#mode transport

Site2(config)#crypto map cisco 10 ipsec-isakmp

Site2(config-crypto-map)#match add vpn

Site2(config-crypto-map)#set transform-set cisco

Site2(config-crypto-map)#set peer 202.100.1.1

Site2(config)#int f0/0

Site2(config-if)#crypto map cisco

*Sep  8 15:43:20.803: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Tunnel0 from LOADING to FULL, Loading Done  //站点之间配置完成,邻居up

测试连通性

快速查看加解密状态

查看IPSec SA

时间: 2024-10-26 08:35:53

经典GRE over IPSec实验的相关文章

GRE over IPSec VPN实验

GRE over IPSec VPN实验

Cisco路由器配置GRE over IPsec

拓扑图 实验目的: 通过CRE over IPsec的方式实现R1网段:172.16.10.0/24和R2网段:172.17.10.0/24通信加密. 由于IPsec VPN不支持组播,而GRE支持多种协议,所以一般情况下会选择GRE over IPsec. 配置思路: 通过ACL设置感兴趣流 配置IKE第一阶段 配置IKE第二阶段 新建MAP,并应用于接口 设置路由,下一跳为tunnel 0 配置: R1: 配置接口IP信息 interface Loopback0  ip address 17

Dynamic P2P GRE over IPsec

R1(config)#int f0/0 R1(config-if)#ip add 12.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int f0/1 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

GRE OVER IPSEC过程解析

一,产生背景 IPsec是如今十分主流的分支机构互联VPN协议,其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全,但是面对当前多元化的访问需求,Ipsec VPN并不能满足客户对私网网段之间复杂的互访要求:在实际环境中,分隔两地的机构要求通过VPN隧道建立私网之间的路由邻居关系,而Ipsec VPN本身并不具备传递路由的能力,所以GRE over IPSEC技术应运而生. 二,基本原理 我们知道,传统的IPsec VPN针对数据包的安全性要求,通常采用采用两种协议进行数据包封装:AH

CCIE学习笔记 ----GRE over IPsec

GRE over IPsec 这种东西主要可以传nat和各种加密包头的东西 R1: ! interface Ethernet0/0 ip address 192.168.12.1 255.255.255.0 ip ospf 1 area 0 --------------------------------------------------------------------------------- R2: crypto isakmp policy 10 authentication pre-

VPN技术:GRE Over IPSEC

普通的IPSEC VPN主要适用于不同厂家VPN之间的对接,兼容性非常好,IOS路由器和ASA可以和大部分的非思科厂家的VPN设备进行IPSEC VPN对接.然而,这种普通的IPSEC VPN并不适用于复杂的网络环境,主要存在如下问题: 由于没有虚拟隧道接口,不支持通过运行动态路由协议来实现路由互通: 由于没有虚拟隧道接口,不能对通信点之间的明文流量进行控制和监测(如ACL.QOS.NAT.Netflow等): 操作较多,每增加一个站点或网段,都要增加许多感兴趣流,排错复杂. 为了解决普通IPS

GNS3 配置Dynamic p2p GRE over IPsec

1.实验拓扑 2.基础网络配置 R1配置: ip dhcp excluded-address 13.1.1.1 13.1.1.2 ip dhcp pool net13 network 13.1.1.0 255.255.255.0 default-router 13.1.1.1 interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 interface FastEthernet1/0 ip address 13.1.1.1 255.2

GNS3 配置Static p2p GRE over IPsec

1.实验拓扑 2.基础网络配置 R1配置: interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 interface FastEthernet1/0 ip address 13.1.1.1 255.255.255.0 R2配置: interface FastEthernet0/0 ip address 12.1.1.2 255.255.255.0 interface FastEthernet1/0 ip address 172.1

【DCN】Gre over ipsec vpn

流量被加密的过程: 首先数据包进入路由器,路由器查询路由表,进入Tu0,数据被GRE封包,再次查询路由表,到物理接口,触发加密图,数据加密,再送出路由器. GRE OVER  IPSEC VPN 的出现解决了IPSEC VPN不能加密组播及广播报文的问题使得IPSEC VPN不能在动态路由协议中得到应用,而使用GRE OVER IPSEC VPN的好处就是GRE能够很好的封闭组播及广播流量,再被IPSEC VPN加密传输使得这一方案得到广泛应用. GRE OVER IPSEC VPN 的ACL表