收藏
下载资源 加入VIP免费专享

H3C路由器两种ipsec-gre配置总结.docx

上传人:scccc 文档编号:13138814 上传时间:2021-12-16 格式:DOCX 页数:6 大小:37.30KB
返回 下载 相关 举报
H3C路由器两种ipsec-gre配置总结.docx_第1页
第1页 / 共6页
H3C路由器两种ipsec-gre配置总结.docx_第2页
第2页 / 共6页
H3C路由器两种ipsec-gre配置总结.docx_第3页
第3页 / 共6页
H3C路由器两种ipsec-gre配置总结.docx_第4页
第4页 / 共6页
H3C路由器两种ipsec-gre配置总结.docx_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《H3C路由器两种ipsec-gre配置总结.docx》由会员分享,可在线阅读,更多相关《H3C路由器两种ipsec-gre配置总结.docx(6页珍藏版)》请在三一文库上搜索。

1、H3c路由器gre over ipsec 和 ipsec over gre的差另!与配置方法概念区分IPSEC Over GRE®IPSEC在里,GREft外。先把需要加密的数据包封装成 IPSEC包,然后再扔到GRE8道里。彳法是把IPSEC的力口密图作用在Tunnel 口 上的,即在Tunnel 口上监控(访问控制列表监控本地ip网段-源ip和远端ip 网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封 装成GRE&进入隧道(这里显而易见的是,GREB道始终无论如何都是存在的, 即GRE®道的建立过程并没有被加密),同时,未在访问控制列

2、表里的数据流将 以不加密的状态直接走GRE8道,即存在有些数据可能被不安全地传递的状况。GRE OveEPSEC是指,先把数据分装成 GRE&,然后再分装成IPSEC包。 做法是在物理接口上监控,是否有需要加密的 GR就量(访问控制列表针对 GRE 两端的设备ip ),所有的这两个端点的GREt据流将被加密分装为IPSEC包再进 行传递,这样保证的是所有的数据包都会被加密, 包括隧道的建立和路由的建立 和传递。无论是哪种数据流,若一方进行了加密,而另一方没有配,则无法通讯,对 于GREW,路由邻居都无法建立。另一个概念是隧道模式和传输模式。 所谓的隧道模式还是传输模式,是针对 如ESP

3、i口何封装数据包的,前提是 ESP在最外面,如果都被Over到了 GRES, 自然谈不上什么隧道模式和传输模式(都为隧道模式)。只有当GRE Over IPSEC 的时候,才可以将模式改为传输模式。IPSEC不支持组播,即不能传递路由协议,而 GREt持。配置方法两者配置方法上差别不大,注意定义访问控制列表的流量、 配置过程中的对 端地址以及策略应用位置即可。总结一下就是:gre ove ipsec 在配置访问控制列表时应配置为物理端口地址,而IPSECOver GRE中则应配置为兴趣流量网段地址。在gre ove ipsec配置对端地址过程中全都配置为相应物理地址,而IPSECOver GR

4、E中则全都配置为对端tunnel 口虚拟地址。gre ove ipsec 在应用策略时在tunnel 口下调用,而IPSEC Over GRE中则 应在物理接口下调用。我们以一个简单的拓扑网络为例,向大家分别展示两种专用网络的配置方法, 大 家请注意观察上面总结的区别。拓扑如下:10 1.12101.1 1toQi : 1.11.1loO : 2222gre ove ipsec配置方法RT1:为端口分配ip地址interface GigabitEthernet0/0ip address 192.168.1.1 241配置ospf连通网络(可用静态路由)ospf 1area 0network 1

5、92.168.1.0 0.0.0.2552配置gre隧道interface Tunnel0 mode greip address 10.1.1.1 24source 192.168.1.1destination 192.168.2.13配置acl定义兴趣流量(在gre ove门psec应用中要设为两端物理接口地址)acl number 3000rule 0 permit gre source 192.168.1.1 0 destination 192.168.2.1 04配置ike对等体ike profile ike (ike-名字)keychain ike (keychain-名字)matc

6、h remote identity address 192.168.2.1 24 (对端地址为 RT3 物理接口地址)quitike keychain keychain-namepre-shared-key address 192.168.2.1 24 key cipher 123456 (设置预共享密钥,对端地址为RT3物理接口地址)5配置ipsec安全提议(加密算法为3DES,验证算法为sha1)ipsec transform-set tra (transform-名字)esp encryption-algorithm 3des-cbcesp authentication-algorith

7、m shal6配置ike协商方式的ipsec安全策略ipsec policy vpn (policy-名字)10 isakmptransform-set tra (transform-名字)security acl 3000remote-address 192.168.2.1 (对端地址为 RT3 物理接口地址)ike-pro (ike-名字)7端口下应用策略interface GigabitEthernet0/0ipsec apply policy vpn (policy-名字)RT2:为端口分配ip地址interface GigabitEthernet0/0ip address 192.1

8、68.1.2 24quitinterface GigabitEthernet0/1ip address 192.168.2.2 24配置ospf连通网络ospf 1area 0network 192.168.1.0 0.0.0.255network 192.168.2.0 0.0.0.255RT3:为端口分配ip地址interface GigabitEthernet0/0ip address 192.168.2.1 24配置ospf连通网络ospf 1area 0network 192.168.2.0 0.0.0.255配置gre隧道interface Tunnel1 mode greip a

9、ddress 10.1.1.2 24source 192.168.2.1destination 192.168.1.1配置acl定义兴趣流量(在 gre ove门psec应用中要设为两端物理接口地址)acl number 3000rule 0 permit gre source 192.168.2.1 0 destination 192.168.1.1 0配置ike对等体ike prokeychain keychain-namematch remote identity address 192.168.1.1 24quitike keychain keychain-namepre-shared

10、-key address 192.168.1.1 24 key cipher 123456 配置ipsec安全提议ipsec transform-set transform-nameesp encryption-algorithm 3des-cbc esp authentication-algorithm sha1配置ike协商方式的ipsec安全策略ipsec policy policy-name 10 isakmptransform-set transform-namesecurity acl 3000remote-address 192.168.1.1ike-pro端口下应用策略inte

11、rface GigabitEthernet0/0 ipsec apply policy policy-name测试方法在RT1中以lo0地址去ping RT3的lo0地址。IPSEC Over GRE配置方法RT1:为端口分配ip地址interface GigabitEthernet0/0ip address 192.168.1.1 241配置ospf连通网络(可用静态路由)ospf 1area 0network 192.168.1.0 0.0.0.2552配置gre隧道interface Tunnel0 mode greip address 10.1.1.1 24source 192.168

12、.1.1destination 192.168.2.13配置acl定义兴趣流量(在IPSEC Over GRE应用中要设两端加密数据网段地 址)acl number 3000rule 0 permit gre source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.2554配置ike对等体ike profile ike (ike-名字)keychain ike (keychain-名字)match remote identity address 10.1.1.2 (对端地址为 RT3 tunnel 接口 地址)quitike keychain ke

13、ychain-namepre-shared-key address 10.1.1.2 24 key cipher 123456 (设置预共享密钥,对端地址为RT3tunnel接口地址)5配置ipsec安全提议(加密算法为3DES,验证算法为sha1)ipsec transform-set tra (transform-名字)esp encryption-algorithm 3des-cbcesp authentication-algorithm sha16配置ike协商方式的ipsec安全策略ipsec policy vpn (policy-名字)10 isakmptransform-set

14、tra (transform-名字)security acl 3000remote-address 10.1.1.2 (对端地址为 RT3 tunnel 接口地址)ike-pro (ike-名字)7端口下应用策略interface tunnel 0 mode greipsec apply policy vpn (policy-名字)RT2:为端口分配ip地址interface GigabitEthernet0/0ip address 192.168.1.2 24 quitinterface GigabitEthernet0/1ip address 192.168.2.2 24配置ospf连通网

15、络ospf 1area 0network 192.168.1.0 0.0.0.255network 192.168.2.0 0.0.0.255RT3:为端口分配ip地址interface GigabitEthernet0/0ip address 192.168.2.1 24配置ospf连通网络ospf 1area 0network 192.168.2.0 0.0.0.255配置gre隧道interface Tunnel0 mode greip address 10.1.1.2 24source 192.168.2.1destination 192.168.1.1配置acl定义兴趣流量(在IPS

16、EC Over GRE应用中要设两端加密数据网段地址)acl number 3000rule 0 permit gre source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255配置ike对等体ike prokeychain keychain-namematch remote identity address 10.1.1.1quitike keychain keychain-namepre-shared-key address 10.1.1.1 24 key cipher 123456配置ipsec安全提议ipsec transform-se

17、t transform-nameesp encryption-algorithm 3des-cbcesp authentication-algorithm sha1配置ike协商方式的ipsec安全策略ipsec policy policy-name 10 isakmptransform-set transform-namesecurity acl 3000remote-address 10.1.1.1ike-pro端口 tunnel下应用策略interface tunnel 0 mode greipsec apply policy policy-name测试方法在RT1中以lo0地址去ping RT3的lo0地址。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1