ipsec配置步骤包括(GREoverIPSEC实战配置精讲)

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(1)

前导知识

GRE over IPSEC 用于在GRE隧道上对数据进行IPSEC封装,特点是解决了GRE隧道的安全问题,使传输数据具有“加密”特性,从而提高了隧道的安全性。在设置GRE over IPSEC前,需要了解两个注意事项。

  1. 加密的数据包是对端公网出口的ip地址,因为内网数据转发到外网时,NAT功能将其“翻译”为公网的IP,所以加密的数据流其实是本地网关WAN口到远程网关WAN口。
  2. 加密的数据是通过GRE隧道口封装,从网关WAN口发送出去,所以加密规则应设置在网关WAN口上。

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(2)

网络拓扑图

如上图:模拟杭州分公司和宁波分公司通过GRE over IPSEC实现互联,红色线路模拟Internet,黑色虚线模拟两个分公司局域网。“hangzhou”、“ningbo”分别是两个分公司的出口网关,连接红色线路是WAN口、连接黑色线路是LAN口。

注:WAN指广域网、LAN指局域网

实验环境:Packet Tracer 6.1

实验准备

1、设置两端主机的ip地址

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(3)

杭州分公司的电脑

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(4)

宁波分公司电脑

2、设置三台路由器的IP地址

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(5)

杭州分公司的网关路由器

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(6)

宁波分公司的网关路由器

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(7)

模拟公网的路由器

3、配置路由,实现杭州分公司和宁波分公司的网关能够相互访问,这里我通过静态路由实现

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(8)

杭州分公司路由表

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(9)

宁波分公司路由表

4、配置NAT,实现两个分公司的主机能够访问互联网,这里使用的是PAT技术实现(PAT配置过程略,可以参考我的前导课程)。

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(10)

杭州分公司访问到宁波分公司的网关WAN口

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(11)

宁波分公司访问到杭州分公司的网关WAN口

配置GRE隧道,实现宁波分公司和杭州分公司互访

要实现两个分公司的连接,先定义GRE隧道,再配置静态路由

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(12)

GRE隧道的建立

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(13)

杭州分公司的静态路由,注意通过隧道到达宁波分公司

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(14)

宁波分公司的静态路由,注意通过隧道到达杭州分公司

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(15)

验证效果:杭州分公司访问宁波分公司,看到数据包走隧道接口

到这一步的验证很关键,先保证数据包通过隧道实现两个分公司之间的互访!

配置GRE over IPSEC(六步)

第一步:定义加密数据流(这里的数据流是网关的WAN口IP地址)

access-list 110 permit ip host 60.0.0.1 host 60.0.0.5

第二步:定义加密规则

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

第三步:定义共享密钥、定义对端地址(共享密钥两端要一样,这里是123,对端地址是远程网关的WAN口地址)

crypto isakmp key 123 address 60.0.0.5

第四步:定义加密规则(规则名称“vpn”,可以自己定义)

crypto ipsec transform-set vpn esp-des esp-md5-hmac

第五步:定义加密规则图:vpnmap(规则图“vpnmap”,可以自己定义)

crypto map vpnmap 10 ipsec-isakmp

set peer 60.0.0.5(设置对端WAN口地址)

set pfs group2

set transform-set vpn (设置前面定义的加密规则“vpn”)

match address 110(设置数据流110号访问控制列表)

第六步:在物理接口上绑定加密规则图

interface Serial0/0/0

ip address 60.0.0.1 255.255.255.252

ip nat outside

crypto map vpnmap(将规则图“vpnmap”绑定在该接口上)

效果验证

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(16)

先ping一下,pc0 ping pc1,正常!

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(17)

通过show crypto isakmp sa查看加密隧道

ipsec配置步骤包括(GREoverIPSEC实战配置精讲)(18)

通过show crypto isakmp sa查看加密隧道

通过show crypto isakmp sa查看加密隧道,如果查询到隧道状态为Active,表示加密成功!

结束语

GRE over IPSEC是GRE隧道协议和IPSEC加密协议的综合运用,实现隧道封装后对数据进行加密,两个协议取长补短,共同实现两个局域网之间数据流的安全性。

GRE over IPSEC本身配置过程和理论过程都比较复杂,理论部分知识点限于篇幅,不再详细展开,配置过程要理清楚步骤,大致分为以下几个过程,请同学们牢记。

  1. 配置局域网连通
  2. 配置公网连通
  3. 配置NAT实现局域网访问公网
  4. 配置GRE实现局域网访问局域网
  5. 配置IPSEC对GRE进行加密

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页