网站好坏的指标,建营销网站,域名永久买入要多少钱,松江泗泾附近做网站一、概述 前情回顾#xff1a;上次基于IPsec VPN的主模式进行了基础实验#xff0c;但是很多高级特性没有涉及#xff0c;如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等#xff0c;以后继续学习吧。 前面我们已经学习了GRE可以基于隧道口实现分支互联上次基于IPsec VPN的主模式进行了基础实验但是很多高级特性没有涉及如ike v2、不同传输模式、DPD检测、路由方式引入路由、野蛮模式等等以后继续学习吧。 前面我们已经学习了GRE可以基于隧道口实现分支互联然后又简单学习了IPSec VPN可以实现加密传输但是它们都有各自的特点GRE是明文传输安全性不足IPSec不支持组播路由协议因此可以使用GRE Over IPSec结合两者优点实现分支互联与动态路由协议交互。 GRE over IPsec可利用GRE和IPsec的优势通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPsec为封装后的IP报文提供安全地通信。当网关之间采用GRE over IPsec连接时先进行GRE封装再进行IPsec封装。 GRE Over IPsec GRE over IPsec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPsec头导致报文长度更长更容易导致分片所以GRE over IPsec推荐采用传输模式。 二、实验配置 在上次的IPSec VPN的基础上加上GRE的配置原理基本一致沿用GRE隧道接口、IPSec的加解密方式。 实验拓扑 配置步骤 配置物理接口的IP地址和到对端的静态路由保证两端路由可达。 配置GRE Tunnel接口。 配置IPSec安全提议定义IPSec的保护方法。 配置IKE对等体定义对等体间IKE协商时的属性。 配置安全框架并引用安全提议和IKE对等体。 在Tunnel接口上应用安全框架使接口具有IPSec的保护功能。 配置Tunnel接口的转发路由将需要IPSec保护的数据流引到Tunnel接口。 配置命令 分部
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# Ike peer对等体这里不需要对端地址
ike peer zongbu v1pre-shared-key simple KL!#258ike-proposal 1# 创建一个安全框架调用ike peer 和ipsec 安全提议
ipsec profile zongbuike-peer zongbuproposal 1
#
interface GigabitEthernet0/0/0ip address 183.14.5.21 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 192.168.1.254 255.255.255.0 # 创建一个隧道接口分配一段地址隧道协议为gre源目地址分别是两端的公网地址在接口调用安全框架
interface Tunnel0/0/0ip address 10.0.0.1 255.255.255.0 tunnel-protocol gresource 183.14.5.21destination 220.103.54.39ipsec profile zongbu# 可以使用静态路由指向tunnel 0/0/0也可以跑动态路由基于隧道口
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 183.14.5.20总部
# ipsec安全提议
ipsec proposal 1esp encryption-algorithm 3des# ike 安全提议
ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5# ike 对等体
ike peer fengbu v1pre-shared-key simple KL!#258ike-proposal 1# ipsec 安全框架
ipsec profile fengbuike-peer fengbuproposal 1
#
interface GigabitEthernet0/0/0ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 220.103.54.39 255.255.255.0 # 创建一个隧道口配置源目地址以及调用安全框架
interface Tunnel0/0/0ip address 10.0.0.2 255.255.255.0 tunnel-protocol gresource 220.103.54.39destination 183.14.5.21ipsec profile fengbu# 互联的动态路由也可以静态路由ip route-static 192.168.1.0 24 tunnel 0/0/0
ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 172.16.1.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 220.103.54.38结果验证 PC1与PC2连通性 然后ike和ipsec的SA都是正常的只要GRE起来了双方协商成功就可以。 IKE和IPSec安全联盟 通过动态路由协议学习到的路由 路由 报文抓包可以看到数据都是经过加密后的数据既提高了安全性也支持动态路由与组播应用等。 报文 总结GRE Over IPSec结合了两者的特点对数据进行加密保护与IPSec VPN相比不需要通过ACL匹配感兴趣流而是通过tunnel隧道口的方式匹配流量使用安全框架调用ike peer 和安全提议。实际应用中这里需要注意的是一般需要双方都有公网固定IP而IPSec VPN可以使用野蛮模式只需要一方具有固定IP即可。 本文由 mdnice 多平台发布
