经典GRE Over IPSec配置 (
发布时间:2019-07-12 10:02:51编辑:auto阅读(1346)
本文继上文继续讨论gre over ipsec,上次我们是在两站点之间先建立IPSec连接(transport方式),然后再IPSec连接上再建立gre隧道,进行加密通信;本次我们换种方式来配置与上文相同的效果。这里我们用到了cisco路由器ipsec配置的一个技术:profile。
==============================R0配置==============================
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 1234 address 192.168.8.1
!
!
crypto ipsec transform-set 1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile 1 //本文的精髓,配置Profile来代替map
set transform-set 1
set pfs group2
!
interface Tunnel1
ip address 192.168.10.1 255.255.255.0
tunnel source 192.168.1.1
tunnel destination 192.168.8.1
tunnel protection ipsec profile 1
!
interface Serial1/0
ip address 192.168.1.1 255.255.255.0
serial restart-delay 0
R0的路由:
Router#show ip route
C 192.168.10.0/24 is directly connected, Tunnel1
C 192.168.1.0/24 is directly connected, Serial1/0
S* 0.0.0.0/0 is directly connected, Serial1/0
===========================================================================
============================R2配置===============================
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 1234 address 192.168.1.1
!
!
crypto ipsec transform-set 1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile 1
set transform-set 1
set pfs group2
!
interface Tunnel1
ip address 192.168.10.2 255.255.255.0
tunnel source 192.168.8.1
tunnel destination 192.168.1.1
tunnel protection ipsec profile 1
!
interface Serial1/0
ip address 192.168.8.1 255.255.255.0
serial restart-delay 0
R2的路由:
Router#show ip route
C 192.168.8.0/24 is directly connected, Serial1/0
C 192.168.10.0/24 is directly connected, Tunnel1
S* 0.0.0.0/0 is directly connected, Serial1/0
=================================================================
看到这里,我们在R0和R2的配置中没有看到map,在接口上也没有看到map的加载,这与我们传统的ipsec的连接不一致,而且R0和R2的配置中均没有看到感兴趣流的配置,这与我们配置的传统的ipsec配置不一致。
现在来看配置,首先我们在完成一系列的ipsec配置后(第一阶段参数,预共享密钥,第二段加密测试等),按流程应该配置map并将map运用到接口上;本处就以profile来代替。“Profile”中只有两个参数“pfs”和“transport”,但并没有感兴趣流和加密接口。我们再看gre隧道的配置跟以往的配置的区别“tunnel protection ipsec profile 1”,顾名思义就是在gre隧道上配置ipsec保护,保护的具体策略就是profile1.
就因为在gre接口上我们配置了ipsec保护,我们就可以确定建立ipsec的两个站点:tunnel source和tunnel destination(就相当于在source和destination上配置了map);加密的感兴趣流就是tunnel source和tunnel destination之间的gre通信,而且仅仅是gre通信。
通过一个简单的profile,我们就完成了整个的gre overipsec,该方法目前是非常流行的一种配置,被广泛使用!
在完成配置之后,我们在R0上进行ping 192.168.10.2的操作,查看是否能够pint通,及两者之间的通信是否已经被加密。
Router#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/36/96 ms
可以ping成功,我们再来看两者之间的加密:
通信已被加密,我们的gre over ipsec建立成功!
上一篇: 基于GNS3的独臂路由配置
下一篇: GNS3模拟ATM的简单配置
- openvpn linux客户端使用
47481
- H3C基本命令大全
45782
- openvpn windows客户端使用
36781
- H3C IRF原理及 配置
34305
- Python exit()函数
28952
- openvpn mac客户端使用
25587
- python全系列官方中文文档
24432
- 1.常用turtle功能函数
19603
- python 获取网卡实时流量
19092
- python 获取Linux和Windows硬件信息
17624
- python3-scipy-ndimage平滑
5455°
- python3-scikit-image平滑去噪
6038°
- python3-PIL非线性噪声平滑
5554°
- python3-Scipy-ndimage进行盒核与高斯核平滑比较
5629°
- python3-PIL高斯模糊滤波器平滑
6555°
- python3-PIL基于盒模糊核均值化平滑
5367°
- python3-PIL线性噪声平滑
5367°
- python3-scikit-image直方图匹配
5873°
- python3-scikit-image对比拉伸和直方图均衡化
5847°
- python3-PIL二值化
7160°
- 姓名:Run
- 职业:谜
- 邮箱:383697894@qq.com
- 定位:上海 · 松江
