H3C IPSEC OVER GRE配置

发布时间:2019-09-13 09:28:10编辑:auto阅读(1833)

    网络拓扑如下

     

    ipsec

     

     

     1、公司A端路由器配置

    #
    //定义需要保护的安全数据流
    acl number 3000
     rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
    #
    //定义IKE对等体
    ike peer to_rtb
     //使用预设口令身份验证
     pre-shared-key 123
     //对等体的IP地址,注意是GRE Tunnel的地址
     remote-address 10.0.0.2
    #
    //定义IPSec提议
    ipsec proposal to_rtb       (注:使用默认值:隧道模式、MD5认证、DES加密)
    #
    //定义IPSec策略,协商方式为isakmp,即使用IKE协商
    ipsec policy to_rtb 1 isakmp
     //定义需要加密传送的ACL
     security acl 3000
     //选择使用的IKE对等体
     ike-peer to_rtb
     //选择安全策略
     proposal to_rtb
    #
    interface Ethernet0/0
     port link-mode route
     description WAN
     ip address 12.12.12.1 255.255.255.0
    #
    interface Ethernet0/1
     port link-mode route
     description LAN
     ip address 192.168.1.1 255.255.255.0
    #
    //定义GRE隧道
    interface Tunnel0
    //隧道口地址,用于IKE协商和GRE封装
     ip address 10.0.0.1 255.255.255.252
     //指定隧道的源
     source 12.12.12.1
     //指定隧道的目的
     destination 23.23.23.3
     //IPSec策略绑定到GRE隧道上
     ipsec policy to_rtb
    #
     //定义默认路由
     ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
     //定义静态路由,可以使用动态路由代替
     ip route-static 192.168.2.0 255.255.255.0 Tunnel0
     
     
    2、公司B端路由器配置
     
     
    #
    //定义需要保护的安全数据流
    acl number 3000
     rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
    #
    //定义IKE对等体
    ike peer to_rta
     //使用预设口令身份验证
     pre-shared-key 123
     //对等体的IP地址,注意是GRE Tunnel的地址
     remote-address 10.0.0.2
    #
    //定义IPSec提议
    ipsec proposal to_rta       (注:使用默认值:隧道模式、MD5认证、DES加密)
    #
    //定义IPSec策略,协商方式为isakmp,即使用IKE协商
    ipsec policy to_rta 1 isakmp
     //定义需要加密传送的ACL
     security acl 3000
     //选择使用的IKE对等体
     ike-peer to_rta
     //选择安全策略
     proposal to_rta
    #
    interface Ethernet0/0
     port link-mode route
     description WAN
     ip address 23.23.23.3 255.255.255.0
    #
    interface Ethernet0/1
     port link-mode route
     description LAN
     ip address 192.168.2.1 255.255.255.0
    #
    //定义GRE隧道
    interface Tunnel0
    //隧道口地址,用于IKE协商和GRE封装
     ip address 10.0.0.2 255.255.255.252
     //指定隧道的源
     source 23.23.23.3
     //指定隧道的目的
     destination 12.12.12.1
     //IPSec策略绑定到GRE隧道上
     ipsec policy to_rta
    #
     //定义默认路由
     ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
     //定义静态路由,可以使用动态路由代替
     ip route-static 192.168.1.0 255.255.255.0 Tunnel0
     
     
     
    配置完成后先在两边的任意一台路由器上ping一下对端,假设在公司A上PING对端,使用命令
    ping -a 192.168.1.1 192.168.2.1 ,然后通过display ike sa和display ipsec sa查看ike和ipsec的sa建立情况;另,可以通过debug ipsec和gre的数据报文查看一下数据封装的顺序,IPSEC OVER GRE方式是先IPSEC封装,然后再进行GRE封装的。
     
     
     配置关键点
    1) IKE Peer的Remote address是对方的GRE隧道口IP地址,不是物理接口地址;
    2) IPSec策略绑定到GRE隧道上;
    3)定义静态路由或策略路由将需要加密的流量引入到GRE隧道上。

关键字

上一篇: git命令行(3)之远程版本库

下一篇: 无法进入init 3 字符界面