GRE OVER IPSEC
姓名:沒有腳的鳥
QQ:470547158
座右銘:成功是給自己最好的鼓勵!
1.實驗拓撲
2.實驗題目:GRE OVER IPSEC (通用路由封裝與IP安全結合)
3.實驗特點:ipsec只能傳輸單播數據,而對ospf等的一些路由協議的組播與廣播的數據則無能爲力,雖然有加密功能,無用武之地,而GRE可以把組播或廣播的數據流封裝成單播數據,但對數據沒有加密,因此也是愛莫能助,這個實驗是爲了只他們的優點互補,達到一種即能傳送組播(廣播)數據流,還能保證安全性,一舉兩得!
4.實驗所用知識:A:R1、R3上需要做路由保證數據能出去(邊界路由器上做缺省路由即可)
B:×××通信需要兩個階段!ISAKMP/IKE與IPASEC
C: 配置ospf路由協議
5.實驗要求:利用GRE OVER ×××技術讓環回接口能ping通(1.1.1.1PING通3.3.3.3)
6.實驗操作重要步驟:
各個路由上須配置按圖上的IP 地址,(如R1上F0/0接口IP爲12.12.12.1/24)
一 在R1上的配置
1. 一階段
Crypto isakmp policy 10 建立一個策略
Authentication pre-share 利用預共享密鑰進行驗證密鑰
Crypto isakmp key 0 zhanghaichao address 23.23.23.3 設置一個密鑰
2. 二階段
Crypto ipsec transform-set cisco ah-md5-hmac #建立一個傳輸集
Crypto ipsec profile 0811a #建立一個profile
Set transform-set cisco #在profile模式下調用傳輸集
3. interface tunnel 0
Ip address 13.13.13.1 255.255.255.0 #設置TUNNEL接口的IP地址
Tunnel source 12.12.12.1 #指定出口的物理鏈路是12.12.12.1
Tunnel destination 23.23.23.3 #指定目的的物理鏈路是23.23.23.3
Tunnel mode ipsec ipv4 #指定是利用一個IPV4數據包的IPSEC封裝過程
Tunnel protection ipsec profile 0811a #調用傳輸集
4.配置IP地址 環回接口 1.1.1.1/24 F0/0 12.12.12.1/24
6.配置缺省路由: ip route 0.0.0.0 0.0.0.0 12.12.12.2
7. 配置OSPF路由協議
Router ospf 110
Network 1.1.1.0 0.0.0.255 a 0 (宣告環回接口)
Network 13.13.13.0 0.0.0.255 a 0 (宣告TUNNEL 接口)
這些就是R1路由器上的所有配置
二 在R2上的配置
配置兩個IP地址,F0/0 12.12.12.2/24 F0/1 23.23.23.2/24
三 在R3上的配置
1.第一階段
Crypto isakmp key 0 zhanghaichao address 12.12.12.1 設置一個密鑰
其它都不變
2,第二階段
Crypto ipsec transform-set cisco ah-md5-hmac #建立一個傳輸集
Crypto ipsec profile 0811a #建立一個profile
Set transform-set cisco #在profile模式下調用傳輸集
3.配置IP地址 環回接口 3.3.3.3/24 F0/0 23.23.23.3/24
4.配置缺省路由: ip route 0.0.0.0 0.0.0.0 23.23.23.2
5. 配置OSPF路由協議
Router ospf 110
Network 3.3.3.0 0.0.0.255 a 0 (宣告環回接口)
Network 13.13.13.0 0.0.0.255 a 0 (宣告TUNNEL 接口)
四 實驗測試(沒有show crypto isakmp/ipsec sa,所以用截圖所抓到的包來分析)
由1.1.1.1 PING 3.3.3.3並有迴應,並且包結構出現了GRE封裝! 實驗完成