实验拓扑

IPsec over GRE VPN 实验 - 图1

图 1-1

注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在 192.168.1.0/24 网段,则其 IP 地址为 192.168.1.3/24,以此类推


实验需求

  1. 按照图示配置 IP 地址,R1 和 R3 配置 Loopback0 口模拟业务网段
  2. R1 和 R3 上配置默认路由连通公网
  3. R1 和 R3 上配置 IPsec over GRE VPN 来连通两端内网
  4. R1 和 R3 配置 OSPF 来传递内网路由

实验解法

  1. 配置 IP 地址部分略

  2. 配置默认路由部分略

  3. R1 和 R3 上配置 IPsec over GRE VPN 来连通两端内网
    步骤 1:在 R1 上创建 GRE Tunnel 口,配置源和目的地址为本地和对端的公网 IP 地址
    步骤 2:在 R1 上创建感兴趣流,源和目的是本端和对端私网地址网段
    步骤 3:在 R1 上创建 IKE 提议,使用默认配置即可
    步骤 4:在 R1 上创建 IKE 预共享密钥,使用对端 Tunnel 口地址标识身份

    1. [R1]ike keychain r3
    2. [R1-ike-keychain-r3]pre-shared-key address 10.1.1.3 key simple 123456


步骤 5:在 R1 上创建 IKE 模板,匹配地址为 Tunnel 口地址

  1. [R1]ike profile r3
  2. [R1-ike-profile-r3]proposal 1
  3. [R1-ike-profile-r3]keychain r3
  4. [R1-ike-profile-r3]local-identity address 10.1.1.1
  5. [R1-ike-profile-r3]match remote identity address 10.1.1.3


步骤 6:在 R1 上创建 IPsec 转换集
步骤 7:在 R1 上创建 IPsec 策略,调用上述配置,配置对端地址为对端 Tunnel 口地址

  1. [R1]ipsec policy r3 1 isakmp
  2. [R1-ipsec-policy-isakmp-r3-1]security acl 3000
  3. [R1-ipsec-policy-isakmp-r3-1]transform-set r3
  4. [R1-ipsec-policy-isakmp-r3-1]ike-profile r3
  5. [R1-ipsec-policy-isakmp-r3-1]remote-address 10.1.1.3


步骤 8:在 Tunnel 口下发 IPsec 策略

  1. [R1-Tunnel0]ipsec apply policy r3


步骤 9:在 R3 上配置 IPsec over GRE VPN,配置方法与 R1 一致,把 IP 地址对调即可

  1. R1 和 R3 配置 OSPF 来传递内网路由
    注意:R1 和 R3 上配置 OSPF 宣告业务网段和 Tunnel 口所在网段即可
    效果测试:R1 使用业务网段口为源地址 Ping R3 的业务网段,可以 Ping 通,并且成功建立了 IKE SA 和 IPsec SA

    1. [R1]display ike sa
    2. Connection-ID Remote Flag DOI
    3. 1 10.1.1.3 RD IPsec
    4. Flags:
    5. RD
  1. [R1]display ipsec sa
  2. Interface: Tunnel0
  3. IPsec policy: r3
  4. Sequence number: 1
  5. Mode: ISAKMP
  6. Tunnel id: 0
  7. Encapsulation mode: tunnel
  8. Perfect Forward Secrecy:
  9. Inside VPN:
  10. Extended Sequence Numbers enable: N
  11. Traffic Flow Confidentiality enable: N
  12. Path MTU: 1404
  13. Tunnel:
  14. local address: 10.1.1.1
  15. remote address: 10.1.1.3
  16. Flow:
  17. sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
  18. dest addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
  19. [Inbound ESP SAs]
  20. SPI: 1293064055 (0x4d129777)
  21. Connection ID: 4294967296
  22. Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  23. SA duration (kilobytes/sec): 1843200/3600
  24. SA remaining duration (kilobytes/sec): 1843199/3457
  25. Max received sequence-number: 4
  26. Anti-replay check enable: Y
  27. Anti-replay window size: 64
  28. UDP encapsulation used for NAT traversal: N
  29. Status: Active
  30. [Outbound ESP SAs]
  31. SPI: 270203743 (0x101afb5f)
  32. Connection ID: 4294967297
  33. Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  34. SA duration (kilobytes/sec): 1843200/3600
  35. SA remaining duration (kilobytes/sec): 1843199/3457
  36. Max sent sequence-number: 4
  37. UDP encapsulation used for NAT traversal: N
  38. Status: Active


http://www.dengfm.com/15270044731363.html