MSR系列路由器GRE Over IPSec功能的配置
关键词:MSR;IPSec;IKE;GRE;传输模式
一、组网需求:
RTA和RTB先建立IPSec会话,在会话接口上建立GRE隧道,将E0/1所连网段的流量引入到GRE隧道上
设备清单:MSR系列路由器2台
二、组网图:
三、配置步骤:
RTA配置 |
# //定义IKE提议,使用IKE必配 ike proposal 1 # //定义IKE对等体,IKE必配 ike peer rtb //使用预设口令身份验证 pre-shared-key 123 //对等体的IP地址 remote-address # //定义IPSec提议 ipsec proposal rtb //定义封装模式为传输模式 encapsulation-mode transport # //定义IPSec策略,协商方式为isakmp,即使用IKE协商 ipsec policy rtb 1
isakmp //定义需要加密传送的ACL security acl
3000 //选择使用的IKE对等体 ike-peer rtb //选择安全策略 proposal rtb # //安全ACL acl number 3000 rule 0 permit ip
source # interface
Ethernet0/0 port link-mode route description connects to RTB ip address //将安全策略绑定在端口下 ipsec policy rtb # interface
Ethernet0/1 port link-mode route description connects to ip address # //定义GRE隧道 interface
Tunnel0 ip address //指定隧道的源 source //指定隧道的目的 destination # //定义静态路由,可以使用动态路由代替 ip
route-static # |
RTB配置 |
# //定义IKE提议,使用IKE必配 ike proposal 1 # //定义IKE对等体,IKE必配 ike peer rta //使用预设口令身份验证 pre-shared-key 123 //对等体的IP地址 remote-address # //定义IPSec提议 ipsec proposal rta //指定封装模式为传输模式 encapsulation-mode transport # //定义IPSec策略,协商方式为isakmp,即使用IKE协商 ipsec policy rta 1
isakmp //指定需要加密传送的ACL security acl
3000 //选择使用的IKE对等体 ike-peer rta //选择安全策略 proposal rta # //定义ACL acl number 3000 rule 0 permit ip
source # interface
Ethernet0/0 port link-mode route description connects to RTA ip address //将安全策略绑定在端口下 ipsec policy rta # interface Ethernet0/1 port link-mode route description connects to ip address # //定义GRE隧道 interface
Tunnel0 ip address //指定隧道源 source //指定隧道目的 destination # //定义静态路由,可以使用动态路由代替 ip
route-static # |
四、配置关键点:
1) 在基本的IPSec配置正确的基础上修改ACL,ACL要不再匹配原来的子网,而是匹配IPSec接口;
2) IPSec Proposal中指定封装模式为传输模式;
3) 注意GRE隧道的源和目的,要和IPSec接口吻合;