好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器GRE Over IPSec功能的配置

 

关键词:MSR;IPSec;IKE;GRE;传输模式

 

一、组网需求

RTARTB先建立IPSec会话,在会话接口上建立GRE隧道,将E0/1所连网段的流量引入到GRE隧道上

设备清单:MSR系列路由器2

二、组网图:

三、配置步骤:

RTA配置

#

//定义IKE提议,使用IKE必配

ike proposal 1

#

//定义IKE对等体,IKE必配

ike peer rtb

 //使用预设口令身份验证

 pre-shared-key 123

 //对等体的IP地址

 remote-address 1.2.0.2

#

//定义IPSec提议

ipsec proposal rtb

 //定义封装模式为传输模式

 encapsulation-mode transport

#

//定义IPSec策略,协商方式为isakmp,即使用IKE协商

ipsec policy rtb 1 isakmp

 //定义需要加密传送的ACL

 security acl 3000

 //选择使用的IKE对等体

 ike-peer rtb

 //选择安全策略

 proposal rtb

#

//安全ACL

acl number 3000

 rule 0 permit ip source 1.2.0.1 0 destination 1.2.0.2 0

#

interface Ethernet0/0

 port link-mode route

 description connects to RTB

 ip address 1.2.0.1 255.255.255.252

 //将安全策略绑定在端口下

 ipsec policy rtb

#

interface Ethernet0/1

 port link-mode route

 description connects to 1.0.0.0/24 subnet

 ip address 1.0.0.1 255.255.255.0

#

//定义GRE隧道

interface Tunnel0

 ip address 1.2.1.1 255.255.255.252

 //指定隧道的源

 source 1.2.0.1

 //指定隧道的目的

 destination 1.2.0.2

#

 //定义静态路由,可以使用动态路由代替

 ip route-static 2.0.0.0 255.255.255.0 Tunnel0

#

RTB配置

#

//定义IKE提议,使用IKE必配

ike proposal 1

#

//定义IKE对等体,IKE必配

ike peer rta

 //使用预设口令身份验证

 pre-shared-key 123

 //对等体的IP地址

 remote-address 1.2.0.1

#

//定义IPSec提议

ipsec proposal rta

 //指定封装模式为传输模式

 encapsulation-mode transport

#

//定义IPSec策略,协商方式为isakmp,即使用IKE协商

ipsec policy rta 1 isakmp

 //指定需要加密传送的ACL

 security acl 3000

 //选择使用的IKE对等体

 ike-peer rta

 //选择安全策略

 proposal rta

#

//定义ACL

acl number 3000

 rule 0 permit ip source 1.2.0.2 0 destination 1.2.0.1 0

#

interface Ethernet0/0

 port link-mode route

 description connects to RTA

 ip address 1.2.0.2 255.255.255.252

 //将安全策略绑定在端口下

 ipsec policy rta

#

interface Ethernet0/1

 port link-mode route

 description connects to 2.0.0.0/24 subnet

 ip address 2.0.0.1 255.255.255.0

#

//定义GRE隧道

interface Tunnel0

 ip address 1.2.1.2 255.255.255.252

 //指定隧道源

 source 1.2.0.2

 //指定隧道目的

 destination 1.2.0.1

#

 //定义静态路由,可以使用动态路由代替

 ip route-static 1.0.0.0 255.255.255.0 Tunnel0

#

四、配置关键点

1) 在基本的IPSec配置正确的基础上修改ACLACL要不再匹配原来的子网,而是匹配IPSec接口;

2) IPSec Proposal中指定封装模式为传输模式;

3) 注意GRE隧道的源和目的,要和IPSec接口吻合;

4) 将子网流量引入GRE隧道。*

X Close
X Close