ipsec配置步骤包括（GREoverIPSEC实战配置精讲）

前导知识

GRE over IPSEC 用于在GRE隧道上对数据进行IPSEC封装，特点是解决了GRE隧道的安全问题，使传输数据具有“加密”特性，从而提高了隧道的安全性。在设置GRE over IPSEC前，需要了解两个注意事项。

1. 加密的数据包是对端公网出口的ip地址，因为内网数据转发到外网时，NAT功能将其“翻译”为公网的IP，所以加密的数据流其实是本地网关WAN口到远程网关WAN口。
2. 加密的数据是通过GRE隧道口封装，从网关WAN口发送出去，所以加密规则应设置在网关WAN口上。

网络拓扑图

如上图：模拟杭州分公司和宁波分公司通过GRE over IPSEC实现互联，红色线路模拟Internet，黑色虚线模拟两个分公司局域网。“hangzhou”、“ningbo”分别是两个分公司的出口网关，连接红色线路是WAN口、连接黑色线路是LAN口。

注：WAN指广域网、LAN指局域网

实验环境：Packet Tracer 6.1

实验准备

1、设置两端主机的ip地址

杭州分公司的电脑

宁波分公司电脑

2、设置三台路由器的IP地址

杭州分公司的网关路由器

宁波分公司的网关路由器

模拟公网的路由器

3、配置路由，实现杭州分公司和宁波分公司的网关能够相互访问，这里我通过静态路由实现

杭州分公司路由表

宁波分公司路由表

4、配置NAT，实现两个分公司的主机能够访问互联网，这里使用的是PAT技术实现（PAT配置过程略，可以参考我的前导课程）。

杭州分公司访问到宁波分公司的网关WAN口

宁波分公司访问到杭州分公司的网关WAN口

配置GRE隧道，实现宁波分公司和杭州分公司互访

要实现两个分公司的连接，先定义GRE隧道，再配置静态路由

GRE隧道的建立

杭州分公司的静态路由，注意通过隧道到达宁波分公司

宁波分公司的静态路由，注意通过隧道到达杭州分公司

验证效果：杭州分公司访问宁波分公司，看到数据包走隧道接口

到这一步的验证很关键，先保证数据包通过隧道实现两个分公司之间的互访！

配置GRE over IPSEC（六步）

第一步：定义加密数据流（这里的数据流是网关的WAN口IP地址）

access-list 110 permit ip host 60.0.0.1 host 60.0.0.5

第二步：定义加密规则

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

第三步：定义共享密钥、定义对端地址（共享密钥两端要一样，这里是123，对端地址是远程网关的WAN口地址）

crypto isakmp key 123 address 60.0.0.5

第四步：定义加密规则（规则名称“vpn”，可以自己定义）

crypto ipsec transform-set vpn esp-des esp-md5-hmac

第五步：定义加密规则图：vpnmap（规则图“vpnmap”，可以自己定义）

crypto map vpnmap 10 ipsec-isakmp

set peer 60.0.0.5（设置对端WAN口地址）

set pfs group2

set transform-set vpn （设置前面定义的加密规则“vpn”）

match address 110（设置数据流110号访问控制列表）

第六步：在物理接口上绑定加密规则图

interface Serial0/0/0

ip address 60.0.0.1 255.255.255.252

ip nat outside

crypto map vpnmap（将规则图“vpnmap”绑定在该接口上）

效果验证

先ping一下，pc0 ping pc1，正常！

通过show crypto isakmp sa查看加密隧道

通过show crypto isakmp sa查看加密隧道

通过show crypto isakmp sa查看加密隧道，如果查询到隧道状态为Active，表示加密成功！

结束语

GRE over IPSEC是GRE隧道协议和IPSEC加密协议的综合运用，实现隧道封装后对数据进行加密，两个协议取长补短，共同实现两个局域网之间数据流的安全性。

GRE over IPSEC本身配置过程和理论过程都比较复杂，理论部分知识点限于篇幅，不再详细展开，配置过程要理清楚步骤，大致分为以下几个过程，请同学们牢记。

1. 配置局域网连通
2. 配置公网连通
3. 配置NAT实现局域网访问公网
4. 配置GRE实现局域网访问局域网
5. 配置IPSEC对GRE进行加密

,