greoveripsec原理和配置.docx
- 文档编号:28302086
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:6
- 大小:15.23KB
greoveripsec原理和配置.docx
《greoveripsec原理和配置.docx》由会员分享,可在线阅读,更多相关《greoveripsec原理和配置.docx(6页珍藏版)》请在冰豆网上搜索。
greoveripsec原理和配置
greoveripsec
这里首先补充一下知识吧:
1.Ipsec中有2种封装模式:
一种是隧道模式,一种是传输模式;当我们使用GREOVERipsec时,如果使用隧道模式的话,会多封装20个字节的ESP头部,其与GRE添加的头部ip完全相同,故而,在GREoveripsec时,建议使用传输模式。
(主要是通讯点和传输点之间的关系)
2.配置greoveripsec的时候,可以选择两种的方法,这里都会介绍和给出配置,建议使用第二种方法。
3.第二种配置GREoverIPsec的方式:
profile
Profile可以看做是GREtunnel中的一种保护机制,在使用profile时,无需配置感兴趣流,无需setpeer,如下操作即可:
第一种方法:
R1:
!
hostnameR1
!
cryptoisakmppolicy10
hashmd5
authenticationpre-share
group2
cryptoisakmpkeyzhang
!
!
cryptoipsectransform-setmytransesp-3desesp-md5-hmac
modetransport
!
cryptomapmymap10ipsec-isakmp
set
settransform-setmytrans
matchaddressVPN
!
!
!
!
interfaceTunnel0
ip
tunnelsourceFastEthernet0/0
tunnel
tunnelkey123
!
interfaceLoopback10
ip
!
interfaceFastEthernet0/0
ip
duplexauto
speedauto
cryptomapmymap
!
routerospf1
router-id
log-adjacency-changes
network
network
!
ipaccess-listextendedVPN
permitgre
!
End
R2配置:
hostnameR2
!
interfaceLoopback0
ip
!
interfaceFastEthernet0/0
ip
duplexauto
speedauto
!
interfaceFastEthernet1/0
ip
duplexauto
speedauto
!
End
R3配置:
hostnameR3
!
cryptoisakmppolicy10
hashmd5
authenticationpre-share
group2
cryptoisakmpkeyzhang
!
!
cryptoipsectransform-setmytransesp-3desesp-md5-hmac
modetransport
!
cryptomapmymap10ipsec-isakmp
set
settransform-setmytrans
matchaddressVPN
!
interfaceTunnel0
ip
tunnelsourceFastEthernet0/0
tunnel
tunnelkey123
!
interfaceLoopback10
ip
!
interfaceFastEthernet0/0
ip
duplexauto
speedauto
cryptomapmymap
!
routerospf1
router-id
log-adjacency-changes
network
network
!
noiphttpserver
noiphttpsecure-server
ip
!
ipaccess-listextendedVPN
permitgre
!
End
第二种方法:
在1实验中的基础上,删徐mymap,access-listVPN,在接口上删徐map的应用。
然后:
1.创建profile
cryptoipsecprofilevpnPro
settransform-setmytrans
2.在tunnel接口上应用
interfaceTunnel0
tunnelprotectionipsecprofilevpnPro
R1和R2都做相同的配置
实验须然简单,但是还是要知道原理的。
原理解析:
R1上pingR3:
1.查路由表转发
2.发现到达下一跳走tunnel0口,要GRE封装。
3.Tunnel0口的tunneldestination是由于没有这条的路由条目,所以匹配默认路由,下一跳,从F0/0出去。
4.在F0/0下有一个map,map内面绑定的ipaccess-listVPN。
条件从到达,判断是否满足。
->满足
5.满足,所以要ipsec封装再出去。
6.全过程,tunnel->f0/0->ipsec封装->出去
如果是用profile,那么路由又是怎么走的昵?
profile没有map,没有ipaccess-listVPN。
R1上pingR3:
1.查路由,走tunnel0,要GRE封装。
2.Tunnel0上有profile,所以凡是走tunnel0的数据都要保护。
tunneldestination是,走默认路由,IPSEC封装。
3.从F0/0出去
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- greoveripsec 原理 配置