拓撲圖
實驗目的:
通過CRE over IPsec的方式實現(xiàn)R1網(wǎng)段:172.16.10.0/24和R2網(wǎng)段:172.17.10.0/24通信加密。
由于IPsec ×××不支持組播,而GRE支持多種協(xié)議,所以一般情況下會選擇GRE over IPsec。
配置思路:
通過ACL設置感興趣流
配置IKE第一階段
配置IKE第二階段
新建MAP,并應用于接口
設置路由,下一跳為tunnel 0
配置:
R1:
配置接口IP信息
interface Loopback0 ip address 172.16.10.1 255.255.255.0 no shu exit interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shut exit interface Tunnel0 ip address 1.1.1.1 255.255.255.0 tunnel source 200.1.1.1 tunnel destination 200.1.1.2
配置ACL
ip access-list extended ipsec-acl-1 permit ip host 200.1.1.1 host 200.1.1.2 log exit
配置IKE第一階段
crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 86400 exit
配置IKE第一階段密碼
crypto isakmp key 6 tommy address 200.1.1.2 //由于是模擬器上操作了,實際路由器可能不需要key后面的6 exit
配置IKE第二階段
crypto ipsec transform-set SET-1 esp-3des esp-md5-hmac mode transport //注意,當做NAT穿越時,只能使用transport模式 exit
配置MAP
crypto map MAP-1 10 ipsec-isakmp set peer 200.1.1.2 set transform-set SET-1 match address ipsec-acl-1 exit
將MAP應用于接口
interface FastEthernet0/0 crypto map MAP-1 exit
配置路由
ip route 172.17.10.0 255.255.255.0 1.1.1.2
R2:
配置接口IP信息
interface Loopback0 ip address 172.17.10.1 255.255.255.0 no shu exit interface FastEthernet0/0 ip address 200.1.1.2 255.255.255.0 no shut exit interface Tunnel0 ip address 1.1.1.2 255.255.255.0 tunnel source 200.1.1.2 tunnel destination 200.1.1.1
配置ACL
ip access-list extended ipsec-acl-1 permit ip host 200.1.1.2 host 200.1.1.1 log exit
配置IKE第一階段
crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 86400 exit
配置IKE第一階段密碼
crypto isakmp key 6 tommy address 200.1.1.1 //由于是模擬器上操作了,實際路由器可能不需要key后面的6 exit
配置IKE第二階段
crypto ipsec transform-set SET-1 esp-3des esp-md5-hmac mode transport exit
配置MAP
crypto map MAP-1 10 ipsec-isakmp set peer 200.1.1.1 set transform-set SET-1 match address ipsec-acl-1 exit
將MAP應用于接口
interface FastEthernet0/0 crypto map MAP-1 exit
配置路由
ip route 172.16.10.0 255.255.255.0 1.1.1.1
此時配置完畢。
驗證:
ping包
R1#ping 172.17.10.1 source 172.16.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.17.10.1, timeout is 2 seconds: Packet sent with a source address of 172.16.10.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 62/65/72 ms R1#
抓包:
路由跟蹤:
R1#traceroute 172.17.10.1 source 172.16.10.1 Type escape sequence to abort. Tracing the route to 172.17.10.1 1 1.1.1.2 72 msec 68 msec 84 msec R1#
GRE over IPsec 配置成功。
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。
當前題目:Cisco路由器配置GREoverIPsec-創(chuàng)新互聯(lián)
網(wǎng)頁URL:http://bm7419.com/article28/gdgcp.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供ChatGPT、靜態(tài)網(wǎng)站、服務器托管、網(wǎng)站建設、關鍵詞優(yōu)化、域名注冊
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容