實驗過程:
GRE OVER IPSEC ***:可以用在公司於公司之間的安全連接,在***的隧道內可以支持傳遞動態路由協議的更新報文等。
第一步:配置各路由器使它們各自直連能通和能用SDM登錄
要注意的問題是,配置http server
R1(config)#ip route 0.0.0.0 0.0.0.0 e0/0
R3(config)#ip route 0.0.0.0 0.0.0.0 e2/0
R3(config)#ip http server
R3(config)#ip http au loc
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config)# username admin privilege 15 secret admin
//R1上的配置與之相符
第二步:用SDM軟件登上路由器進行配置
這裏的下一步有個備用GRE,我們不選擇直接下一步
下圖默認下一步:
下圖默認下一步:
下圖爲配置通道間的路由協議,與R1連接R2和R2連接R3的接口地址沒有關係
下圖是將配置發送到路由器上:
//上面我們沒有配置靜態路由,通過測試後提示到路由檢查失敗,這個算是正常
//通道失敗的原因是對端沒有配置
下圖爲R3上配置結果,我們配置了路由,R1上也配置通道,所以下圖爲開啓
R3配置與上面的相符
第三步:測試
這裏其中的控制列表,請注意,這個列表中的gre可以爲ip
access-list 100 remark SDM_ACL Category=4
access-list 100 permit gre host 23.0.0.3 host 12.0.0.1
用SDM做的爲隧道,
封裝如下。
而傳輸模式如下:
它們封裝時的包是不相同的。
第四步:我們手動修改模式
R1(config)# crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#mode transport
第五步:測試一次
R1#sh crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 168
2001 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 167 0
R1#sh cry en conn active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 180
Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 177 0
//用SDM配置GRE over IPSEC *** 後面的包加密數量在增加,這是因爲ospf的包也被加密了。
THE END