RRI_反向路由注入特性

IPSec_RRI

Site1:

interface Loopback0

ip address 1.1.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 202.100.1.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 202.100.1.10

access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto isakmp policy 100

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco address 61.128.1.1

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto map ccie 10 ipsec-isakmp

set peer 61.128.1.1

set transform-set myset

match address 100

!

interface FastEthernet0/0

crypto map ccie

!

Internet :

interface FastEthernet0/0

ip address 202.100.1.10 255.255.255.0

!

interface FastEthernet0/1

ip address 61.128.1.10 255.255.255.0

!

Site2:

interface FastEthernet0/0

ip address 61.128.1.1 255.255.255.0

!

interface FastEthernet0/1

ip address 2.2.2.1 255.255.255.0

!

crypto isakmp policy 100

encr 3des

authentication pre-share

group 2

!

crypto isakmp key cisco address 202.100.1.1

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto map ccie 10 ipsec-isakmp

set peer 202.100.1.1

set transform-set myset

set reverse-route tag 100  (为RRI动态产生的路由打上Tag 100)

match address 100

reverse-route

!

ip route 202.100.1.0 255.255.255.0 61.128.1.10

access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

!

route-map ospf permit 10

match tag 100   (配置上Tag100 的路由,也就是RRI产生的)

!

router ospf 100

redistribute static subnets route-map ospf

network 2.2.2.0 0.0.0.255 area 0

!

Inside:

interface FastEthernet0/0

ip address 2.2.2.2 255.255.255.0

!

router ospf 100

network 2.2.2.0 0.0.0.255 area 0

!

测试:

Site2#show ip route

2.0.0.0/24 is subnetted, 1 subnets

C      
2.2.2.0 is directly connected, FastEthernet0/1

S   
202.100.1.0/24 [1/0] via 61.128.1.10

61.0.0.0/24 is subnetted, 1 subnets

C      
61.128.1.0 is directly connected, FastEthernet0/0

当Site1 发起L2L连接时,

Site1#ping 2.2.2.2 source lo0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

Packet sent with a source address of 1.1.1.1

.!!!!

Site2#show ip route 

1.0.0.0/24 is subnetted, 1 subnets

S       1.1.1.0 [1/0] via 202.100.1.1

2.0.0.0/24 is subnetted, 1 subnets

C       2.2.2.0 is directly connected, FastEthernet0/1

S    202.100.1.0/24 [1/0] via 61.128.1.10

61.0.0.0/24 is subnetted, 1 subnets

C       61.128.1.0 is directly connected, FastEthernet0/0

Site2#show ip route  1.1.1.0

Routing entry for 1.1.1.0/24

Known via "static", distance 1, metric 0

Tag 100

Redistributing via ospf 100

Advertised by ospf 100 subnets route-map ospf

Routing Descriptor Blocks:

* 202.100.1.1

Route metric is 0, traffic share count is 1

Route tag 100

Inside#show ip route 

1.0.0.0/24 is subnetted, 1 subnets

O E2    1.1.1.0 [110/20] via 2.2.2.1, 00:11:34, FastEthernet0/0

2.0.0.0/24 is subnetted, 1 subnets

C       2.2.2.0 is directly connected, FastEthernet0/0

时间: 2024-10-02 21:54:01

RRI_反向路由注入特性的相关文章

IPSec_RRI反向路由注入特性

小白学flask之路由,反向路由,路由参数

# -*- coding: utf-8 -*- from flask import Flask, request, url_for app = Flask(__name__) @app.route("/") def hello(): return "Hell2323o23 World!" @app.route('/user', methods=['POST']) #默认是get方式 def hello_user(): return 'hello user' @app

MVC5中路由新特性

1.什么是Attribute路由?怎么样启用Attribute路由? 微软在 ASP.NET MVC5 中引入了一种新型路由:Attribute路由,顾名思义,Attribute路由是通过Attribute来定义路由.当然,MVC5也支持以前定义路由的方式,你可以在一个项目中混合使用这两种方式来定义路由. 在以前的版本中我们通常在 RouteConfig.cs 文件中通过以下方式来定义路由: routes.MapRoute( name: "ProductPage", url: &quo

静态路由小特性配置

实验拓扑图: 经配置,各网段相互能ping通.此时在R3上分别ping 12.12.12.1和12.12.12.2 显然ping不通,有R3的路由表可得知,只有2个直连网段的路由表. 路由器在收到一个数据包时: <1>路由器是3层设备,能够解包看到3层封装的IP报头信息,自然可以得知 源IP地址.目的IP地址: <2>读到packe的DEST IP address,查询自己的路由表,决策出自己能否到达该目的地址,能则转发,反之丢弃: <3>如果有多条达到DEST的路由,

远程路由访问VPN

Remoteaccess VPN VPN server 端 第一阶段 1.       策略 2  Pre-share(不是单纯的key,而是group+key) 2  DH GROUP2 2.      AM(3个包)密码的安全性由HASH来保障 第1.5阶段 1.      xauth(1.安全2.用户认证3.AAA) 2.      mode-config(推送策略1.ip 2.DNS 3.tunnel split 4.dns split等等) 第2阶段QM (策略) Remote acc

LAN-to-LANVPN与远程访问VPN

LAN-to-LANVPN与远程访问VPN 概述 随着公司的发展,LAN-to-LAN VPN的特性满足不了移动办公用户的需求.远程访问VPN,可以满足在外工作员工访问公司内部信息的需求,更好的适应公司业务发展需求.本实验主要介绍LAN-to-LAN VPN与远程访问VPN的结合. 一.实验目的   熟悉LAN-to-LANVPN: 了解并掌握远程访问VPN原理及配置: 掌握LAN-TO-LANVPN与远程访问VPN的结合: 二.实验拓扑 说明: 本实验所有涉及路由器全部用c7200-adven

[转] OpenStack IPSec VPNaaS

OpenStack IPSec VPNaaS ( by quqi99 ) 作者:张华  发表于:2013-08-03版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 http://blog.csdn.net/quqi99 ) 今天想review一下社区IPSec VNPaaS Driver的代码,所以系统看了一下这背后的知识.笔记如下: 什么是VPN VPN可以通过在L2或L3层建立一条逻辑链路让广域网上多个内网能够相互访问(我的理解,VPN除了让广域网的内

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

cisco easy vpn服务器端的架设

先前条件: 1,一个可支持VPN协议的路由器(如果不支持,可能是版本原因,可以用刷系统方式刷新系统). 2,cisco easy vpn客户端,可以在各大网站中下载,但是需要注意其中是否捆绑了别的插件或者木马. 3,一个可用的外网IP. Router配置命令: R(config)# aaa new-model           //ezvpn必须启动AAA R(config)# aaa authentication login default none //避免无法普通登录,如果你架设的rad