配置基于VTI的IPsecVPN.docx

配置基于VTI的IPsecVPN.docx

《配置基于VTI的IPsecVPN.docx》由会员分享，可在线阅读，更多相关《配置基于VTI的IPsecVPN.docx（10页珍藏版）》请在冰豆网上搜索。

配置基于VTI的IPsecVPN

配置基于VTI的IPsecVPN

VTI技术：

IPsecVTI技术允许我们配置一个虚拟隧道接口，我们可以运用各种特效到这个接口上。

控制明文的特性应该被配置到VTI接口上，控制密文的特性应该被运用到物理接口上，当我们使用IPsecVTI技术，我们可以对明文和加密后流量分开运用NAT，ACL和QoS等特性。

如果我们运用传统的cryptomap技术，没有一种简单的方法来运用这些加密特性和IPsec隧道，一共有两个类型的VTI接口，静态VTI（SVTI）和动态VTI（DVTI）

SVTI技术介绍：

SVTI配置被运用于站点到站点的连接（L2LVPN），在两个站点间的隧道式“always-on”的，SVTI相对于传统cryptomap配置的优势在于可以在隧道口上运用动态路由选择协议，并且不需要那额外的4字节GRE头部（GREOverIPsec）,因此降低了发送加密数据的带宽；

多重CiscoIOS特性能够被直接配置在隧道接口上和物理接口上，这种直接的配置提供用户对加密前和加密后的流量更加强大的控制；

实验拓扑：

实验步骤：

R2：

定义cryptopolicy：

定义预共享密钥：

定义转换集：

定义IPsecProfile：

配置Tunnel0：

配置OSPF：

将Tunnel口宣告进OSPF:

测试：

R4：

R4#showrun

Buildingconfiguration...

Currentconfiguration:

2042bytes

!

!

Lastconfigurationchangeat21:

35:

17UTCSatApr132013

!

version15.2

servicetimestampsdebugdatetimemsec

servicetimestampslogdatetimemsec

!

hostnameR4

!

boot-start-marker

boot-end-marker

!

!

!

noaaanew-model

noipicmprate-limitunreachable

!

!

!

!

!

!

noipdomainlookup

ipcef

ipv6multicastrpfuse-bgp

noipv6cef

!

!

multilinkbundle-nameauthenticated

!

!

!

!

!

!

!

!

!

!

!

!

iptcpsynwait-time5

!

!

cryptoisakmppolicy10

encr3des

hashmd5

authenticationpre-share

group2

cryptoisakmpkeyciscoaddress23.1.1.2    

!

!

cryptoipsectransform-setciscoesp-3desesp-md5-hmac

modetunnel

!

!

cryptoipsecprofilepro

settransform-setcisco

!

!

!

!

!

!

interfaceLoopback0

ipaddress4.4.4.4255.255.255.0

!

interfaceTunnel0

ipaddress24.1.1.4255.255.255.0

tunnelsource34.1.1.4

tunnelmodeipsecipv4

tunneldestination23.1.1.2

tunnelprotectionipsecprofilepro

!

interfaceFastEthernet0/0

noipaddress

shutdown

duplexfull

!

interfaceSerial1/0

ipaddress34.1.1.4255.255.255.0

serialrestart-delay0

!

interfaceSerial1/1

ipaddress45.1.1.4255.255.255.0

serialrestart-delay0

!

interfaceSerial1/2

noipaddress

shutdown

serialrestart-delay0

!

interfaceSerial1/3

noipaddress

shutdown

serialrestart-delay0

!

interfaceSerial1/4

noipaddress

shutdown

serialrestart-delay0

!

interfaceSerial1/5

noipaddress

shutdown

serialrestart-delay0

!

interfaceSerial1/6

noipaddress

shutdown

serialrestart-delay0

!

interfaceSerial1/7

noipaddress

shutdown

serialrestart-delay0

!

routerospf1

router-id3.3.3.3

network4.4.4.40.0.0.0area0

network24.1.1.40.0.0.0area0

network45.1.1.40.0.0.0area0

!

ipforward-protocolnd

!

!

noiphttpserver

noiphttpsecure-server

iproute23.1.1.2255.255.255.255Serial1/0

!

!

!

!

control-plane

!

!

linecon0

exec-timeout00

privilegelevel15

loggingsynchronous

stopbits1

lineaux0

exec-timeout00

privilegelevel15

loggingsynchronous

stopbits1

linevty04

login

!

!

end