GRE over IPSec 配置

一、环境搭建

Router A 内网地址10.1.1.1/24通过公网地址1.1.1.1/24进行封装然后走隧道10.1.2.1/24
Router B 内网地址10.1.3.1/24通过公网地址2.2.2.2/24进行封装然后走隧道10.1.2.2/24

如果在GNS3中实验可以起loopback口作为内网地址,Internet用路由模拟但不起路由只配IP,Router A和Router B都起默认路由指向Internet,这样就能实现公网通内网不通,然后再做GRE使得内网互通而且互相传递内网路由信息

二、GRE 配置

(1)Router A 配置

RouterA(config)# int tunnel 0                             //起一个隧道接口,0是隧道的序号,可以有多条隧道
RouterA(config-if)# ip add 10.1.2.1 255.255.255.0         //给隧道配IP,隧道两边要同一网段
RouterA(config-if)# tunnel source 1.1.1.1                 //指定隧道的源(公网IP),也可以写成接口
RouterA(config-if)# tunnel destination 2.2.2.2            //指定隧道的目的端(公网IP)
RouterA(config-if)# tunnel mode gre ip                    //配置隧道封装的模式,这里使用基于IP的gre模式封装
RouterA(config)# ip route 10.1.3.0 255.255.255.0 10.1.2.2 //写一条静态路由,目标网段是对远端的内网地址,下一跳是对端隧道接口的地址,这样当我们去访问远端内网时就可以走隧道,也可以起其他路由协议,如ospf,eigrp等,不过要把tunnel的网段宣告进去,不要把公网地址的线路宣告进去,可以把tunnel理解成是一条直连的线路

注意:1. 配置完后可以show ip int brief查看tunnel接口是否起来,如果网络是通的tunnel就会起来;2. 配置是双向的

(2)Router B 配置

RouterB(config)# int tunnel 0                             //起一个隧道接口,0是隧道的序号,可以有多条隧道
RouterB(config-if)# ip add 10.1.2.2 255.255.255.0         //给隧道配IP,隧道两边要同一网段
RouterB(config-if)# tunnel source 2.2.2.2                 //指定隧道的源(公网IP),也可以写成接口
RouterB(config-if)# tunnel destination 1.1.1.1            //指定隧道的目的端(公网IP)
RouterB(config-if)# tunnel mode gre ip                    //配置隧道封装的模式,这里使用基于IP的gre模式封装
RouterB(config)# ip route 10.1.1.0 255.255.255.0 10.1.2.1 //写一条静态路由,目标网段是对远端的内网地址,下一跳是对端隧道接口的地址,这样当我们去访问远端内网时就可以走隧道,也可以起其他路由协议,如ospf,eigrp等,不过要把tunnel的网段宣告进去,不要把公网地址的线路宣告进去,可以把tunnel理解成是一条直连的线路

(3)测试

本端内网访问对端内网看通不通
本端show ip route看有没有对端内网的路由

三、IPsec 配置

(1)Router A 配置

crypto isakmp enable
crypto isakmp policy 10
  group 2
authentication pre-share
encryption3des
hash sha
  lifetime86400
crypto isakmp key 0 abc address 2.2.2.2                 //对端公网IP

crypto ipsec transform-set ccie esp-aes esp-sha-hmac
  mode transport

access-list 100 permit gre host1.1.1.1 host 2.2.2.2    //注意这里写的是公网接口的IP,意思是凡是数据流到我这个接口出去的都作为GRE流量,都作为感兴趣流

crypto map cisco10 ipsec-isakmp
  set peer 2.2.2.2                                     //对端公网接口地址
  set transform-set ccie
  match address 100
int f0/0
   crypto mapcisco

(2)Router B 配置

crypto isakmp enable
crypto isakmp policy 10
  group 2
authentication pre-share
encryption3des
hash sha
  lifetime86400
crypto isakmp key 0 abc address 1.1.1.1                //对端公网IP

crypto ipsec transform-set ccie esp-aes esp-sha-hmac
  mode transport

access-list 100 permit gre host2.2.2.2host 1.1.1.1    //注意这里写的是公网接口的IP,意思是凡是数据流到我这个接口出去的都作为GRE流量,都作为感兴趣流

crypto map cisco10 ipsec-isakmp
  set peer 1.1.1.1                                    //对端公网接口地址
  set transform-set ccie
  match address 100
int f0/1
  crypto mapcisco

时间: 2024-11-03 04:45:59

GRE over IPSec 配置的相关文章

Cisco路由器配置GRE over IPsec

拓扑图 实验目的: 通过CRE over IPsec的方式实现R1网段:172.16.10.0/24和R2网段:172.17.10.0/24通信加密. 由于IPsec VPN不支持组播,而GRE支持多种协议,所以一般情况下会选择GRE over IPsec. 配置思路: 通过ACL设置感兴趣流 配置IKE第一阶段 配置IKE第二阶段 新建MAP,并应用于接口 设置路由,下一跳为tunnel 0 配置: R1: 配置接口IP信息 interface Loopback0  ip address 17

VPN技术:GRE Over IPSEC

普通的IPSEC VPN主要适用于不同厂家VPN之间的对接,兼容性非常好,IOS路由器和ASA可以和大部分的非思科厂家的VPN设备进行IPSEC VPN对接.然而,这种普通的IPSEC VPN并不适用于复杂的网络环境,主要存在如下问题: 由于没有虚拟隧道接口,不支持通过运行动态路由协议来实现路由互通: 由于没有虚拟隧道接口,不能对通信点之间的明文流量进行控制和监测(如ACL.QOS.NAT.Netflow等): 操作较多,每增加一个站点或网段,都要增加许多感兴趣流,排错复杂. 为了解决普通IPS

GNS3 配置Dynamic p2p GRE over IPsec

1.实验拓扑 2.基础网络配置 R1配置: ip dhcp excluded-address 13.1.1.1 13.1.1.2 ip dhcp pool net13 network 13.1.1.0 255.255.255.0 default-router 13.1.1.1 interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 interface FastEthernet1/0 ip address 13.1.1.1 255.2

GNS3 配置Static p2p GRE over IPsec

1.实验拓扑 2.基础网络配置 R1配置: interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 interface FastEthernet1/0 ip address 13.1.1.1 255.255.255.0 R2配置: interface FastEthernet0/0 ip address 12.1.1.2 255.255.255.0 interface FastEthernet1/0 ip address 172.1

【DCN】Gre over ipsec vpn

流量被加密的过程: 首先数据包进入路由器,路由器查询路由表,进入Tu0,数据被GRE封包,再次查询路由表,到物理接口,触发加密图,数据加密,再送出路由器. GRE OVER  IPSEC VPN 的出现解决了IPSEC VPN不能加密组播及广播报文的问题使得IPSEC VPN不能在动态路由协议中得到应用,而使用GRE OVER IPSEC VPN的好处就是GRE能够很好的封闭组播及广播流量,再被IPSEC VPN加密传输使得这一方案得到广泛应用. GRE OVER IPSEC VPN 的ACL表

Dynamic P2P GRE over IPsec

R1(config)#int f0/0 R1(config-if)#ip add 12.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int f0/1 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

GRE OVER IPSEC过程解析

一,产生背景 IPsec是如今十分主流的分支机构互联VPN协议,其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全,但是面对当前多元化的访问需求,Ipsec VPN并不能满足客户对私网网段之间复杂的互访要求:在实际环境中,分隔两地的机构要求通过VPN隧道建立私网之间的路由邻居关系,而Ipsec VPN本身并不具备传递路由的能力,所以GRE over IPSEC技术应运而生. 二,基本原理 我们知道,传统的IPsec VPN针对数据包的安全性要求,通常采用采用两种协议进行数据包封装:AH

用Mikrotik Router搭建GRE over IPSec 备用链路

公司在国内.日本.美国.德国.新加坡等多地均有业务,中间业务网络用的公司专有GPN(Global Private Network中文名是全球私有化网络)链路,目前测试搭建一条备用链路,用于网络冗余和故障切换. 初步选用方案GRE over IPSec,跑ospf路由协议. 一.为何要选GRE over IPSec: 各个site网络比较多,需要使用路由协议进行互联: IPSEC不支持组播,即不能传递路由协议,在承载路由协议上不如GRE隧道方便: GRE隧道不能提供加密保障: 使用GRE在两个网关

经典GRE over IPSec实验

经典GRE over IPSec实验 如图所示,该拓扑是GRE over IPSec站点到站点的VPN拓扑 实验需求; 在站点Site1(202.100.1.1)和Site2(61.128.1.1)之间建立GRE隧道tunnel0,网段172.16.1.0/24 GRE隧道上运行OSPF协议 使得Site1和Site2相互学到身后的网络路由1.1.1.1/24和3.3.3.3/24 配置IPSec VPN,对两个站点之间GRE流量加密 基本配置省略 Site1(config)#ip  route