51CTO下载-GRE+over+IPsec+with+OSPF配置举例
H3C GRE over Ipsec+ospf穿越NAT到多分支配置
MSR系列路由器
GRE Over IPSec + OSPF穿越NAT多分支互通配置关键词:MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NA T;穿越;OSPF;GRE
一、组网需求:
总部对多个分支提供IPSec VPN接入,分支出口存在NAT设备,因此总部与分支之间配置成野蛮模式和NAT穿越,总部路由器不配置ACL,而使用安全模板,总部和分支之间通过内网Loopback建立GRE隧道,分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通,建立好GRE隧道后,在隧道上运行OSPF,使各内部路由互通,分支之间的流量通过总部转发,需要注意的是Loopback口不能添加到OSPF中
设备清单:MSR系列路由器5台
二、组网图:
四、配置关键点:
1) 大部分配置参考IPSec VPN多分支NAT穿越模板方式功能的配置;
2) 分支的ACL可以配置成精确的GRE流量;
3) 建立GRE隧道的地址必须是内网地址;
4) 不能将建立GRE隧道连接的Loopback接口加入到OSPF,否则连接会失效。
gre over ipsec结构
gre over ipsec结构【实用版】目录1.GRE over IPSec 概述2.GRE over IPSec 结构3.GRE over IPSec 的优点4.GRE over IPSec 的应用场景5.GRE over IPSec 的配置示例正文【1.GRE over IPSec 概述】GRE(Generic Routing Encapsulation)是一种通用路由封装协议,用于在不同的网络协议之间进行数据包的封装和传输。
IPSec(Internet Protocol Security)是一种安全协议,用于在互联网协议(IP)网络中实现安全通信。
GRE over IPSec 是一种组合技术,将 GRE 和 IPSec 结合起来,既实现了数据包的封装,又保证了数据通信的安全性。
【2.GRE over IPSec 结构】GRE over IPSec 的结构主要包括三个部分:GRE 头部、IPSec 头部和数据部分。
其中,GRE 头部包含了源地址、目的地址、协议类型等字段,用于标识和路由数据包;IPSec 头部包含了安全参数索引(SPI)、目的网络地址等字段,用于实现数据包的加密和认证;数据部分则是待传输的实际数据。
【3.GRE over IPSec 的优点】GRE over IPSec 具有以下优点:1.提高安全性:通过使用 IPSec 协议,可以对数据包进行加密和认证,有效防止数据在传输过程中的泄露和篡改。
2.降低网络延迟:GRE over IPSec 采用隧道技术,将数据包封装在IPSec 隧道中,可以减少网络传输过程中的路由和处理时间,从而降低网络延迟。
3.支持多种网络协议:GRE 协议可以封装多种网络协议,如 IP、ATM 等,使得 GRE over IPSec 可以广泛应用于各种不同类型的网络环境中。
【4.GRE over IPSec 的应用场景】GRE over IPSec 广泛应用于以下场景:1.虚拟专用网(VPN):通过建立 GRE over IPSec 隧道,可以实现远程用户和公司内部网络之间的安全通信,实现虚拟专用网的功能。
Hillstone GRE over IPSEC with OSPF
GRE OVER IPSEC with OSPF动态路由协议网络的拓扑如图一实现的目的:实现总部和各个分部之间以及各个分布之间的ospf路由的学习和互通图一分支C配置:isakmp proposal "p1"exitisakmp peer "peer-a"interface ethernet0/0mode aggressiveisakmp-proposal "p1"pre-share "4XcxMajqMfkdJa3NxXFeUGuLRWcG" peer 192.168.1.2exitipsec proposal "p2"exittunnel ipsec "vpn-c" autoisakmp-peer "peer-a"ipsec-proposal "p2"exittunnel gre "gre-to-a"source 192.168.2.2destination 192.168.1.2interface ethernet0/0next-tunnel ipsec vpn-cexitinterface ethernet0/0zone "untrust"ip address 192.168.2.2 255.255.255.0manage sshmanage telnetmanage pingmanage snmpmanage httpmanage httpsexitinterface ethernet0/2zone "trust"ip address 172.16.3.1 255.255.255.0manage pingmanage httpsexitexitinterface tunnel2zone "untrust"ip address 2.2.2.2 255.255.255.0manage pingtunnel gre "gre-to-a" gw 2.2.2.1exitip vrouter trust-vrip route 0.0.0.0/0 192.168.2.1ip route 2.2.2.1/32 tunnel2 2.2.2.1router ospfrouter-id 2.2.2.2network 172.16.3.0/24 area 0.0.0.0network 2.2.2.0/24 area 0.0.0.0exitexitpolicy from "trust" to "untrust"default-action permitexitpolicy from "untrust" to "trust"default-action permitexit测试1.show ip route,show ip ospf neighbor可以看到学习到的osfp的路由,查看ospf邻居2.在总部和各个分支之间互ping,可以ping通3.将e0/0接口镜像到其他的一个接口,然后抓包,可以看到总部和分部,分部和分部之间数据通信是由esp协议封装的总结:Gre over ipsec 实现osfp等动态路由协议学习时,中心设备到各个分支的gre要绑到不同的tunnel接口,也就是有几个分支建立几个隧道接口,不支持multi-tunnel功能。
greoveripsec原理和配置
g r e o v e r i p s e c原理和配置Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-gre over ipsec这里首先补充一下知识吧:1.Ipsec中有2种封装模式:一种是隧道模式,一种是传输模式;当我们使用GRE OVER ipsec时,如果使用隧道模式的话,会多封装 20个字节的ESP头部,其与GRE添加的头部ip完全相同,故而,在GRE over ipsec 时,建议使用传输模式。
(主要是通讯点和传输点之间的关系)2.配置gre over ipsec的时候,可以选择两种的方法,这里都会介绍和给出配置,建议使用第二种方法。
3.第二种配置GRE over IPsec 的方式:profileProfile 可以看做是GRE tunnel中的一种保护机制,在使用profile时,无需配置感兴趣流,无需set peer,如下操作即可:第一种方法:R1:!hostname R1!crypto isakmp policy 10hash md5authentication pre-sharegroup 2crypto isakmp key zhang!!crypto ipsec transform-set mytrans esp-3des esp-md5-hmacmode transport!crypto map mymap 10 ipsec-isakmpsetset transform-set mytransmatch address VPN!!!!interface Tunnel0iptunnel source FastEthernet0/0tunneltunnel key 123!interface Loopback10ip!interface FastEthernet0/0ipduplex autospeed autocrypto map mymap!router ospf 1router-idlog-adjacency-changesnetworknetwork!ip access-list extended VPNpermit gre!EndR2配置:hostname R2!interface Loopback0ip!interface FastEthernet0/0ipduplex autospeed auto!interface FastEthernet1/0ipduplex autospeed auto!EndR3配置:hostname R3!crypto isakmp policy 10hash md5authentication pre-sharegroup 2crypto isakmp key zhang!!crypto ipsec transform-set mytrans esp-3des esp-md5-hmac mode transport!crypto map mymap 10 ipsec-isakmpsetset transform-set mytransmatch address VPN!interface Tunnel0iptunnel source FastEthernet0/0tunneltunnel key 123!interface Loopback10ip!interface FastEthernet0/0ipduplex autospeed autocrypto map mymap!router ospf 1router-idlog-adjacency-changesnetworknetwork!no ip http serverno ip http secure-serverip!ip access-list extended VPNpermit gre!End第二种方法:在1实验中的基础上,删徐mymap,access-list VPN,在接口上删徐map的应用。
GRE和IPSec结合案例
GRE over IPsec & IPsec over GREIPSec -Over-GRE是先ipsec后gre,GRE -Over-IPSec 是先gre后ipsec,也就是说ipsec是最后的承载方式。
一般常用的就是这种,解决了ipsec不支持多播的问题。
IPsec over GRE 和GRE over IPsec在配置上的区别:GRE over IPsec IPsec over GREACL定义: GRE数据流内网数据流IKE Peer中remote-address 对方公网地对方GRE Tunnel地址应用端口:公网出 GRE Tunnel上GRE over IPSEC(传输模式):IPSEC封装GRE好处:可以利用GRE封装组播或广播了以及非IP流量,因为如果不使用GRE的话,IPSEC是传不了组播或广播IP流量的IPSEC over GRE(里外)(tunel模式)IPSEC over GRE:GRE在IPSEC外面,由GRE来封装IPSEC注意!!!IPSEC over GRE的时候,路由协议流量是明文的注意!!!当指的peer是对等体物理接口地址的时候不是IPSEC over GRE,只有当peer是对等体的tunnel口是才是真正的IPSEC over GRESecPath防火墙GRE over IPSec+ospf的典型配置一、组网需求:两个Peer分别使用的是SecPath1000F,中间公网使用一台SecPath100F起连接作用,两局域网分别使用的是SecPath1000F的LoopBack0口来模拟。
在两个Peer上配置GRE over IPSec,使两个局域网能够穿越公网进行通信,并且保护一切传输的数据。
二、组网图SecPath1000F:版本为Version 3.40, ESS 1622;三、配置步骤1.SecPath1000F(左)的主要配置:sysname fw1#router id 10.1.1.1#firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10 //设置IKE的策略authentication-algorithm md5 //选择md5算法来进行验证(验证方式为预共享密钥,密钥交换为DH:group1,因为此两项均为缺省设置,故没有显示在dis cu 中,特此说明)sa duration 1500 //设置IKE的生存周期为1500s#ike peer wanxin //设置预共享密钥的认证字pre-shared-key h3c //密钥为:h3c(对端也必须一样)remote-address 202.103.1.1 //设置对端地址#ipsec proposal wanxin //创建一个名为“wanxin”的安全提议encapsulation-mode transport //报文封装采用传输模式(安全协议采用esp,认证算法采用sha1,此两项均为缺省设置,故也没有显示在dis cu 中)#ipsec policy 1 10 isakmp //创建安全策略,协商方式为自动协商,也就是采用IKE的策略协商security acl 3000 //引用下面设置的acl 3000ike-peer wanxin //引用上面设置的“ike peer wanxin”proposal wanxin //引用上面设置的“ipsec proposal wanxin”sa duration time-based 1500 //设置基于时间的生存周期为1500s#acl number 3000 //创建加密数据流(加密的是两Peer出口的网段,这个很关键)rule 1 permit gre source 192.168.1.0 0.0.0.255 destination 202.103.1.0 0.0.0.255rule 2 deny ip#interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0ipsec policy 1 //在出接口上应用安全策略(只有应用了IPSec才能生效)#interface Tunnel0 //创建GRE隧道ip address 1.1.1.1 255.255.255.0source 192.168.1.1destination 202.103.1.1#interface LoopBack0 //用一个回环口地址带模拟一个LAN地址ip address 10.1.1.1 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0add interface Tunnel0 //切记隧道接口也需要加入某一个域set priority 85#ospf 1 //使用OSPF来保证两LAN之间能路由area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.1.1.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 preference 60 //保证两Peer之间能够通信,从而协商IPSec参数,同时也触发加密流量2.SecPath1000F(Peer2)的主要配置:注:Peer2的配置与Peer1基本相同,故注释同上sysname fw2#router id 10.2.2.2#firewall packet-filter enablefirewall packet-filter default permit#ike proposal 10authentication-algorithm md5sa duration 1500#ike peer wanxinpre-shared-key h3cremote-address 192.168.1.1#ipsec proposal wanxinencapsulation-mode transport#ipsec policy 1 10 isakmpsecurity acl 3000ike-peer wanxinproposal wanxinsa duration time-based 1500#acl number 3000rule 1 permit gre source 202.103.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 2 deny ip#interface GigabitEthernet0/0ip address 202.103.1.1 255.255.255.0ipsec policy 1#interface Tunnel0ip address 1.1.1.2 255.255.255.0source 202.103.1.1destination 192.168.1.1#interface LoopBack0ip address 10.2.2.2 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0add interface Tunnel0set priority 5#ospf 1area 0.0.0.0network 1.1.1.0 0.0.0.255network 10.2.2.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 202.103.1.2 preference 603.验证结果:ping –a 10.1.1.1 10.2.2.2 //测试两LAN之间是否能通信dis ike sa //查看IKE是否建立完成dis ipsec sa //查看安全联盟的信息dis ipsec statistica //查看安全报文的统计信息四、配置关键点1.Peer1与Peer2的IKE,Ipsec两阶段的安全参数必须相同;2.配置顺序一般为:(1)两Peer之间能够相互Ping通(2)隧道建立UP(3)路由(本例为OSPF)配置完成,确保两LAN之间能够Ping通(4)配置IPSec3.其他关键点见注释。
GRE OVER IPSEC配置(第五组3月25日)
GRE over IPSEC配置一、技术简介GRE over IPSec的外层ip就是公网的路由IP,GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。
由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行正常通告,所以,这时候要配合GRE隧道,GRE隧道会将多播和广播数据包封装到单播包中,再经过IPSec 加密。
此外由于GRE建立的是简单的,不进行加密的VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
所以很常见的方法就是使用IPSec对GRE 进行加密,提供数据安全保证。
二、设备简介在总部与两个分部的出口路由器之间实施GRE over IPSec技术。
三、基本配置总部配置:Router#conf tRouter(config)#no ip do loRouter(config)#line con 0Router(config-line)#logg syRouter(config-line)#exec-t 0 0Router(config)#ho BJ-R-001BJ-R-001(config)#int lo 0BJ-R-001(config-if)#ip add 192.168.1.1 255.255.255.0 配置loopback口地址BJ-R-001(config-if)#int s0/0BJ-R-001(config-if)#ip add 12.12.12.1 255.255.255.0 配置接口地址BJ-R-001(config-if)#no shBJ-R-001(config-if)#exitBJ-R-001(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2 配置静态路由BJ-R-001(config)#crypto isakmp policy 10 定义isakmp策略BJ-R-001(config-isakmp)#hash md5BJ-R-001(config-isakmp)#encryption desBJ-R-001(config-isakmp)#group 2BJ-R-001(config-isakmp)#authentication pre-shareBJ-R-001(config-isakmp)#exitBJ-R-001(config)#crypto isakmp key 0 cisco address 23.23.23.3BJ-R-001(config)#crypto isakmp key 0 cisco address 24.24.24.4BJ-R-001(config)#crypto ipsec transform-set beijing esp-des esp-md5-hmac 设置转换集BJ-R-001(cfg-crypto-trans)#exitBJ-R-001(config)#crypto ipsec profile cisco 定义配置文件BJ-R-001(ipsec-profile)#set transform-set beijingBJ-R-001(ipsec-profile)#exitBJ-R-001(config)#int tunnel 0 配置tunnelBJ-R-001(config-if)#ip add 172.16.1.1 255.255.255.0BJ-R-001(config-if)#tunnel source s0/0BJ-R-001(config-if)#tunnel destination 23.23.23.3BJ-R-001(config-if)#tunnel mode ipsec ipv4BJ-R-001(config-if)#tunnel protection ipsec profile ciscoBJ-R-001(config-if)#no shBJ-R-001(config)#int tunnel 1BJ-R-001(config-if)#ip add 172.16.2.1 255.255.255.0 BJ-R-001(config-if)#tunnel source s0/0BJ-R-001(config-if)#tunnel destination 24.24.24.4BJ-R-001(config-if)#tunnel mode ipsec ipv4BJ-R-001(config-if)#tunnel protection ipsec profile cisco BJ-R-001(config-if)#no shBJ-R-001(config-if)#exitBJ-R-001(config)#router ospf 1BJ-R-001(config-router)#net 172.16.1.1 0.0.0.0 a 0BJ-R-001(config-router)#net 192.168.1.1 0.0.0.0 a 0BJ-R-001(config-router)#net 172.16.2.1 0.0.0.0 a 0BJ-R-001(config-router)#exit分部配置:Router>enRouter#conf tRouter(config)#no ip do loRouter(config)#line con 0Router(config-line)#logg synRouter(config-line)#exec-t 0 0Router(config-line)#exitRouter(config)#ho DL-R-001DL-R-001(config)#int s0/1DL-R-001(config-if)#ip add 23.23.23.3 255.255.255.0 DL-R-001(config-if)#no shDL-R-001(config-if)#ip add 192.168.2.1 255.255.255.0 DL-R-001(config-if)#exitDL-R-001(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.2 DL-R-001(config)#crypto isakmp policy 10DL-R-001(config-isakmp)#hash md5DL-R-001(config-isakmp)#encryption desDL-R-001(config-isakmp)#group 2DL-R-001(config-isakmp)#authentication pre-shareDL-R-001(config-isakmp)#exitDL-R-001(config)#crypto isakmp key 0 cisco address 12.12.12.1DL-R-001(config)#crypto ipsec transform-set dalian esp-des esp-md5-hmac DL-R-001(cfg-crypto-trans)#exitDL-R-001(config)#crypto ipsec profile ciscoDL-R-001(ipsec-profile)#set transform-set dalianDL-R-001(ipsec-profile)#exitDL-R-001(config)#int tunnel 0DL-R-001(config-if)#ip add 172.16.1.2 255.255.255.0DL-R-001(config-if)#no shDL-R-001(config-if)#tunnel source s0/1DL-R-001(config-if)#tunnel destination 12.12.12.1DL-R-001(config-if)#tunnel mode ipsec ipv4DL-R-001(config-if)#tunnel protection ipsec profile ciscoDL-R-001(config-if)#exitDL-R-001(config)#router ospf 1DL-R-001(config-router)#net 192.168.2.1 0.0.0.0 a 0DL-R-001(config-router)#net 172.16.1.2 0.0.0.0 a 0DL-R-001(config-router)#exitRouter>enRouter#conf tRouter(config)#no ip do loRouter(config)#line con 0Router(config-line)#logg synRouter(config-line)#exec-t 0 0Router(config-line)#exitRouter(config)#ho KS-R-001KS-R-001(config-if)#ip add 192.168.3.1 255.255.255.0KS-R-001(config-if)#int s0/2KS-R-001(config-if)#ip add 24.24.24.4 255.255.255.0KS-R-001(config-if)#no shKS-R-001(config-if)#exitKS-R-001(config)#ip route 0.0.0.0 0.0.0.0 24.24.24.2KS-R-001(config)#crypto isakmp policy 10KS-R-001(config-isakmp)#hash md5KS-R-001(config-isakmp)#encryption desKS-R-001(config-isakmp)#group 2KS-R-001(config-isakmp)#authentication pre-shareKS-R-001(config-isakmp)#exitKS-R-001(config)#crypto isakmp key 0 cisco address 12.12.12.1KS-R-001(config)#crypto ipsec transform-set kunshan esp-des esp-md5-hmac KS-R-001(cfg-crypto-trans)#exitKS-R-001(config)#cry ipsec profile ciscoKS-R-001(ipsec-profile)#set transform-set kunshanKS-R-001(ipsec-profile)#exitKS-R-001(config)#int tunnel 0KS-R-001(config-if)#ip add 172.16.2.2 255.255.255.0KS-R-001(config-if)#no shKS-R-001(config-if)#tunnel source s0/2KS-R-001(config-if)#tunnel destination 12.12.12.1KS-R-001(config-if)#tunnel mode ipsec ipv4KS-R-001(config-if)#tunnel protection ipsec profile ciscoKS-R-001(config-if)#exitKS-R-001(config)#router ospf 1KS-R-001(config-router)#net 172.16.2.2 0.0.0.0 a 0 KS-R-001(config-router)#net 192.168.3.1 0.0.0.0 a 0 KS-R-001(config-router)#exit四、验证配置。
ospf over gre over ipsec
OSPF over GRE over IPSec组网实验
摘要:GRE支持IP组播,可以在GRE隧道上运行OSPF动态路由协议。
但GRE本身不提供加密机制,为增强安全性,可以将其与IPSec结合运用。
本文就OSPF over GRE over IPSec组网实验进行介绍。
内容:GRE隧道可以在GRE Tunnel中封装任意的网络层协议,支持IP组播(如OSPF路由协议组播报文)和非IP报文,但是GRE协议本身不提供加密措施,报文是明文传送的。
IPSec VPN提供了良好的网络安全性,但IPSec VPN只支持IP单播报文。
配置GRE tunnel over IPSec,综合了GRE和IPSec两种隧道的优点,可以传送多种协议报文,同时又保证隧道的安全性。
本文讲解OSPF over GRE over IPSec的组网实验,组网图如下。
其中,Router上不配置动态路由协议,也不配置静态路由,也就是说,Router上只有直连网段的路由。
Step-1:配置GRE Tunnel
Step-2:配置IPSec
两端的配置类似,已USG2210配置为例。
Step-3:配置OSPF
Step-4:验证OSPF路由
在USG2130上,已通过OSPF学习到3.3.3.3的路由。
Step-5:验证IPSec加密
在USG2130的G0/0/1接口上抓包,可以看到,报文都经过了ESP加密。
实验配置要点总结:
1、ACL上配置允许GRE报文通过;
2、因为GRE隧道已经对原始IP报文进行了封装,因此IPSec不必再使用隧道模式,而改用传输模式。
H3C SecPath防火墙GRE+IPSEC+OSPF典型配置举例
ike peer 1 //ike对等体的名字为1
exchange-mode aggressive
pre-shared-key 1 //配置身份验证字为1
id-type name //使用name方式作为ike协商的ID类型
interface Aux0
async mode flow
link-protocol ppp
#
interface Dialer1 //创建一个共享式拨号接口1
link-protocol ppp //拨号接口封装的链路层协议为PPP
mtu 1450
ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到
ip address4.1.1.3 255.255.255.0
source 192.168.0.3
destination 192.168.0.1
ospf cost 100
#
interface Tunnel1
ip address5.1.1.3 255.255.255.0
source 192.168.0.3
也可以在virtual-ethernet上配置,此配置是配置pppoe会话,一个拨号接口对应创建一个pppoe会话
#
interface Tunnel0
ip address6.1.1.3 255.255.255.0
source 192.168.0.4
destination 192.168.0.1
ospf cost 100
dialer user test //配置呼叫对端的用户
GREoverIPSEC+OSPF配置
GRE OVER IPSEC 配置方法:拓扑如下:需求描述:两台设备建立ipsec vpn,然后跑ospf路由协议,实现PC1与PC2互访。
Hillstone配置:isakmp proposal "p1"hash md5encryption deslifetime 86400exitisakmp peer "peer1"isakmp‐proposal "p1"pre‐share "123456"peer 20.0.0.2interface ethernet0/5exitipsec proposal "p2"hash md5encryption deslifetime 28800exittunnel ipsec "ipsec1" autoisakmp‐peer "peer1"ipsec‐proposal "p2"id local 10.0.0.2/24 remote 20.0.0.2/24 service "Any" accept‐all‐proxy‐idexittunnel gre "tocisco"source 10.0.0.2destination 20.0.0.2interface ethernet0/5next‐tunnel ipsec ipsec1exitinterface ethernet0/1zone "trust"ip address 172.16.1.1 255.255.255.0manage pingmanage httpmanage telnetexitinterface ethernet0/5zone "trust"ip address 10.0.0.2 255.255.255.0manage pingexitinterface tunnel1zone "trust"ip address 50.1.1.1 255.255.255.0ip mtu 1476manage pingmanage httptunnel gre "tocisco" gw 50.1.1.2no reverse‐routeexitip vrouter "trust‐vr"ip route 50.1.1.2/32 tunnel1ip route 0.0.0.0/0 10.0.0.1router ospfrouter‐id 1.1.1.1network 50.1.1.0/24 area 0.0.0.0network 172.16.1.0/24 area 0.0.0.0exitexitpolicy from "trust" to "trust"rule id 1action permitsrc‐addr "Any"dst‐addr "Any"service "Any"exitexitCisco配置:crypto isakmp policy 10hash md5authentication pre‐sharegroup 2crypto isakmp key 123456 address 10.0.0.2!crypto ipsec transform‐set hillstone esp‐des esp‐md5‐hmac !crypto map mymap 10 ipsec‐isakmpset peer 10.0.0.2set transform‐set hillstonematch address 101!interface Tunnel0ip address 50.1.1.2 255.255.255.0ip ospf network broadcasttunnel source 20.0.0.2tunnel destination 10.0.0.2!interface FastEthernet0/0ip address 172.16.2.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 20.0.0.2 255.255.255.0duplex autospeed autocrypto map mymap!router ospf 110router‐id 4.4.4.4log‐adjacency‐changesnetwork 50.1.1.0 0.0.0.255 area 0network 172.16.2.0 0.0.0.255 area 0!ip route 0.0.0.0 0.0.0.0 20.0.0.1access‐list 101 permit ip host 20.0.0.2 host 10.0.0.2 access‐list 101 permit gre host 20.0.0.2 host 10.0.0.2。
GRE OVER IPSEC WITH OSPF配置举例
GRE OVER IPSEC WITH OSPF配置举例摘要:本文简单描述了应用了OSPF路由的GRE Over IPsec的特点,详细描述了在SecPath 系列防火墙上配置GRE over IPsec with OSPF的基本配置方法和详细步骤,给出了一种GRE Over IPsec with OSPF的基本配置案例。
目录1 特性介绍 (3)2 特性的优点 (3)3 使用指南 (3)3.1 使用场合 (3)3.2.1 配置IPsec安全联盟 (3)3.2.2 配置GRE协议 (5)3.2.3 配置OSPF路由协议 (6)3.3 注意事项 (6)3.4 举例 (7)3.4.1 组网需求 (7)3.4.2 组网图 (7)3.4.3 配置 (7)3.4.4 验证结果 (12)3.4.5 故障排除 (15)4 关键命令 (16)4.1 ipsec policy(系统视图) (16)4.2 ipsec card-proposal (17)4.3 ike peer (18)5 相关资料 (18)5.1 相关协议和标准 (18)1特性介绍IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。
GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel 的技术。
Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel 的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,例如IPX (Internetwork Packet Exchange)和AppleTalk。
安全CCIE之路——使用GRE隧道的IPSEC之上的OSPF
安全CCIE之路——使用GRE隧道的IPSEC之上的OSPF使用GRE 隧道的IPSEC 之上的OSPF实验设备:三台CISCO 路由器,用一台模拟一个公网,另外两台作为两个局域网通过GRE 互连。
实验需求:两下局域网之间使用OSPF 能过GRE 互连互通,用IPSEC 来保证GRE 隧道中的数据安全。
(本实验只用到R1,R2和InetR 三台路由器)实验主要配置:R1crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key zhoujian address 10.1.2.1crypto ipsec transform-set zhoujian esp-3des esp-md5-hmac mode transportcrypto map zhoujian 10 ipsec-isakmpVMPC7 Server VMPC6 VMXP0set peer 10.1.2.1set transform-set zhoujianmatch address 101interface Tunnel1ip address 1.1.1.1 255.255.255.0tunnel source 10.1.1.1tunnel destination 10.1.2.1R2crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key zhoujian address 10.1.1.1crypto ipsec transform-set zhoujian esp-3des esp-md5-hmac mode transportcrypto map zhoujian 10 ipsec-isakmpset peer 10.1.1.1set transform-set zhoujianmatch address 101interface Tunnel1ip address 1.1.1.2 255.255.255.0tunnel source 10.1.2.1tunnel destination 10.1.1.1!interface Ethernet0/0ip address 10.1.2.1 255.255.255.0half-duplexcrypto map zhoujian实验结果:通过抓包得到如下结果R1#show crypto isakmp sadst src state conn-id slot status 10.1.2.1 10.1.1.1 QM_IDLE 1 0 ACTIVEshow crypto ipsec sainterface: Ethernet0/0Crypto map tag: zhoujian, local addr 10.1.1.1protected vrf: (none)local ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0) remote ident(addr/mask/prot/port): (10.1.2.1/255.255.255.255/0/0) current_peer 10.1.2.1 port 500PERMIT, flags={origin_is_acl,}#pkts encaps: 176, #pkts encrypt: 176, #pkts digest: 176#pkts decaps: 176, #pkts decrypt: 176, #pkts verify: 176#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 6, #recv errors 0local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.1.2.1 path mtu 1500, ip mtu 1500current outbound spi: 0xFBF39AC(264190380)inbound esp sas:spi: 0xEB28A2BE(3945308862)transform: esp-3des esp-md5-hmac ,in use settings ={Transport, }conn id: 2002, flow_id: SW:2, crypto map: zhoujiansa timing: remaining key lifetime (k/sec): (4420224/1996)IV size: 8 bytesreplay detection support: YStatus: ACTIVEspi: 0xAEC25086(2931970182)transform: esp-3des esp-md5-hmac ,in use settings ={Transport, }conn id: 2003, flow_id: SW:3, crypto map: zhoujiansa timing: remaining key lifetime (k/sec): (4444506/1990)IV size: 8 bytesreplay detection support: YStatus: ACTIVE实验分析:本实验中IPSEC使用了传输模式,因为GRE保证了连通性。
ospf over gre over ipsec
OSPF over GRE over IPSec组网实验
摘要:GRE支持IP组播,可以在GRE隧道上运行OSPF动态路由协议。
但GRE本身不提供加密机制,为增强安全性,可以将其与IPSec结合运用。
本文就OSPF over GRE over IPSec组网实验进行介绍。
内容:GRE隧道可以在GRE Tunnel中封装任意的网络层协议,支持IP组播(如OSPF路由协议组播报文)和非IP报文,但是GRE协议本身不提供加密措施,报文是明文传送的。
IPSec VPN提供了良好的网络安全性,但IPSec VPN只支持IP单播报文。
配置GRE tunnel over IPSec,综合了GRE和IPSec两种隧道的优点,可以传送多种协议报文,同时又保证隧道的安全性。
本文讲解OSPF over GRE over IPSec的组网实验,组网图如下。
其中,Router上不配置动态路由协议,也不配置静态路由,也就是说,Router上只有直连网段的路由。
Step-1:配置GRE Tunnel
Step-2:配置IPSec
两端的配置类似,已USG2210配置为例。
Step-3:配置OSPF
Step-4:验证OSPF路由
在USG2130上,已通过OSPF学习到3.3.3.3的路由。
Step-5:验证IPSec加密
在USG2130的G0/0/1接口上抓包,可以看到,报文都经过了ESP加密。
实验配置要点总结:
1、ACL上配置允许GRE报文通过;
2、因为GRE隧道已经对原始IP报文进行了封装,因此IPSec不必再使用隧道模式,而改用传输模式。
GRE over IPsec 实验
GRE over IPsec 实验1、根据拓扑搭建实验环境2、配置IP地址R1(config)#interface f0/0R1(config-if)#ip add 200.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config)#interface loopback 0 配置loopback 接口R1(config-if)#ip add 1.1.1.1 255.255.255.0R2(config)#interface f0/0R2(config-if)#ip add 200.1.2.2 255.255.255.0R2(config-if)#no shutdownR2(config)#interface loopback 0 配置loopback 接口R2(config-if)#ip add 2.2.2.2 255.255.255.03、配置路由R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2 Internet的路由R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.2.14、配置GRE隧道R1(config)#interface tunnel 0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#tunnel source 200.1.1.1R1(config-if)#tunnel destination 200.1.2.2R2(config)#interface tunnel 0R2(config-if)#ip add 172.16.1.2 255.255.255.0R2(config-if)#tunnel source 200.1.2.2R2(config-if)#tunnel destination 200.1.1.15、配置隧道路由R1(config)#router ospf 1R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 宣告GRE隧道网络R1(config-router)#network 1.1.1.0 0.0.0.255 area 0 宣告内网网络R1(config)#router ospf 1R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 宣告GRE隧道网络R1(config-router)#network 2.2.2.0 0.0.0.255 area 0 宣告内网网络6、配置IPSec广州路由器配置1)定义隧道的加密认证策略:R1(config)#crypto isakmp policy 10R1(config-isakmp)#authentication pre-share 设置认证方式为预共享密钥方式R1(config-isakmp)#exitR1(config)#crypto isakmp key 0 cisco address 200.1.2.2 设置预共享密钥Cisco 2)定义感兴趣流R1(config)#ip access-list extended gtslistR1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.2553)定义转换集--怎么对用户的数据进行加密和认证R1(config)#crypto ipsec transform-set 666 esp-des esp-md5-hmacR1(cfg-crypto-trans)#mode transport 设置传输模式4)定义加密图---R1(config)#crypto map gtsmap 10 ipsec-isakmpR1(config-crypto-map)#match address gtslistR1(config-crypto-map)#set transform-set 666R1(config-crypto-map)#set peer 200.1.2.25)在接口上应用mapR1(config)#interface f0/0R1(config-if)#crypto map gtsmap*Mar 1 00:44:27.151: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR1(config-if)#深圳路由器配置1)设置加密认证策略crypto isakmp policy 10authentication pre-sharecrypto isakmp key cisco address 200.1.1.12)定义感兴趣流ip access-list extended gtslistpermit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.2553)定义转换集--数据保护crypto ipsec transform-set 666 esp-des esp-md5-hmacmode transport4)汇总策略mapcrypto map stgmap 10 ipsec-isakmpset peer 200.1.1.1set transform-set 666match address gtslist5)应用策略到接口Interface f0/0Crypto map stgmap查看安全关联R3#show crypto ipsec sa IPsec。
GRE over IPSEC路由配置
GRE over IPSEC路由配置GRE over IPSEC路由配置r1(0/0)——r2——(1/1)r3GRE over IPSEC先ipsec在gre解决了ipsec无法传递多播流量问题,即可以在ipsec中跑路由协议,而且协议是通过加密的!!R1:crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key zaq address 2.3.0.1!crypto ipsec transform-set vpn esp-des!crypto map vpn 10 ipsec-isakmp set peer 2.3.0.1 set transform-set vpn match address 101!interface Tunnel0 ip address 1.3.0.1 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 2.3.0.1!interface Loopback0 ip address 1.1.1.1 255.255.255.255!interface Loopback1 ip address 10.0.0.1 255.255.255.0!interface FastEthernet0/0 ip address 1.2.0.1 255.255.255.0 duplex full crypto map vpn!router ospf 1 log-adjacency-changes!ip route 0.0.0.0 0.0.0.0 1.2.0.2!access-list 101 permit gre host 1.2.0.1 host 2.3.0.1R2:interface FastEthernet0/0 ip address 1.2.0.2 255.255.255.0 duplex full!interface FastEthernet1/1 ip address 2.3.0.2 255.255.255.0 duplex full speed autoR3:crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key zaq address 1.2.0.1!crypto ipsec transform-set vpn esp-des!crypto map vpn 10 ipsec-isakmp set peer 1.2.0.1 set transform-set vpn match address 101!interface Tunnel0 ip address 1.3.0.2 255.255.255.0 tunnel source FastEthernet1/1 tunnel destination 1.2.0.1!interface Loopback0 ip address 3.3.3.3 255.255.255.255!interface Loopback1 ip address 30.0.0.1 255.255.255.0!interface FastEthernet1/1 ip address 2.3.0.1 255.255.255.0 duplex full speed auto crypto map vpn!ip route 0.0.0.0 0.0.0.0 2.3.0.2!access-list 101 permit gre host 2.3.0.1 host 1.2.0.1Router#show crypto engine connections active IDInterface IP-Address State Algorithm Encrypt Decrypt 1FastEthernet1/1 2.3.0.1 set HMAC_MD5+DES_56_CB 0 0 2001FastEthernet1/1 2.3.0.1 set DES 0 27 2002FastEthernet1/1 2.3.0.1 set DES 27 0 Router#show crypto isakmp sadst src state conn-id slot status 1.2.0.1 2.3.0.1 QM_IDLE 1 0 ACTIVE Router#show crypto isakmp peers Peer:1.2.0.1 Port:500 Local:2.3.0.1 Phase1 id:1.2.0.1 Router#show crypto ipsec sa interface:FastEthernet1/1 Crypto map tag:vpn,local addr 2.3.0.1 protected vrf:(none)local ident (addr/mask/prot/port):(2.3.0.1/255.255.255.255/47/0)remote ident (addr/mask/prot/port):(1.2.0.1/255.255.255.255/47/0)current_peer 1.2.0.1 port 500 PERMIT,flags={origin_is_acl,} #pkts encaps:44,#pkts encrypt:44,#pkts digest:44 #pkts decaps:44,#pkts decrypt:44,#pkts verify:44 #pkts compressed:0,#pkts decompressed:0 #pkts not compressed:0,#pkts compr. failed:0 #pkts not decompressed:0,#pkts decompress failed:0 #send errors 1,#recv errors 0 local crypto endpt.:2.3.0.1,remote crypto endpt.:1.2.0.1 path mtu 1500,ip mtu 1500,ip mtu idb FastEthernet1/1 current outbound spi:0xEAA8551D(3936900381)inbound esp sas:spi:0x323BE771(842786673)transform:esp-des ,in use settings ={Tunnel,} conn id:2001,flow_id:1,crypto map:vpn sa timing:remaining key lifetime (k/sec):(4493451/2885)IV size:8 bytes replay detection support:N Status:ACTIVE inbound ah sas:inbound pcp sas:outbound esp sas:spi:0xEAA8551D(3936900381)transform:esp-des ,in use settings ={Tunnel,} conn id:2002,flow_id:2,crypto map:vpn sa timing:remaining key lifetime (k/sec):(4493451/2884)IV size:8 bytes replay detection support:N Status:ACTIVE outbound ah sas:outbound pcp sas:还有一种是ipsec over gre 个人认为没有意义,因为虽然解决了多播问题,但是多播是明文传输,所以ipsec就没有意义了,还不如直接用gre就好了!!。
路由器IPSecOverGRE典型配置
路由器-IPSec-Over-GRE典型配置【需求】分部1和分部2通过野蛮IPSec的方式连接到中心,采用IPSec-Over-GRE的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
【组网图】【验证】1、中心上的ike sa 状态:disp ike saconnection-id peer flag phase doi----------------------------------------------------------44 RD 1 IPSEC48 RD 2 IPSEC47 RD 1 IPSEC45 RD 2 IPSECflag meaningRD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT2、中心上的IPSec sa状态:disp ipsec sa===============================Interface: Tunnel0path MTU: 64000===============================-----------------------------IPsec policy name: "branch1"sequence number: 10mode: isakmp-----------------------------connection id: 8encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (4 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 30 (0xa10cff2a)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 64/2136max received sequence-number: 2udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 50 (0x7f1c678e)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 32/2136max sent sequence-number: 3udp encapsulation used for nat traversal: N===============================Interface: Tunnel1path MTU: 64000===============================-----------------------------IPsec policy name: "branch2"sequence number: 10mode: isakmp-----------------------------connection id: 9encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (18 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 48 (0x60184b94)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 88/2886max received sequence-number: 9udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 22 (0xcc966a16)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 44/2886max sent sequence-number: 10udp encapsulation used for nat traversal: N3、中心路由表disp ip routRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop InterfaceSTATIC 60 0 Serial2/0/0DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0OSPF 10 1563 Tunnel1DIRECT 0 0 Tunnel0DIRECT 0 0 InLoopBack0DIRECT 0 0 Tunnel1DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0DIRECT 0 0 LoopBack10DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0OSPF 10 1563 Tunnel1DIRECT 0 0 Serial2/0/0DIRECT 0 0 Serial2/0/0DIRECT 0 0 InLoopBack04、分部1的ike sa状态:disp ike saconnection-id peer flag phase doi----------------------------------------------------------27 RD|ST 1 IPSEC28 RD|ST 2 IPSECflag meaningRD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT5、分部1的ipsec sa状态:disp ipsec sa===============================Interface: Tunnel0path MTU: 64000===============================-----------------------------IPsec policy name: "branch1"sequence number: 10mode: isakmp-----------------------------connection id: 6encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (4 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 50 (0x7f1c678e)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 64/2054max received sequence-number: 2udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 30 (0xa10cff2a)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 32/2054max sent sequence-number: 3udp encapsulation used for nat traversal: N6、分部1的路由表:disp ip routRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface STATIC 60 0 Serial2/0/0OSPF 10 1563 Tunnel0DIRECT 0 0 InLoopBack0OSPF 10 3125 Tunnel0DIRECT 0 0 Tunnel0DIRECT 0 0 InLoopBack0OSPF 10 3124 Tunnel0DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0DIRECT 0 0 LoopBack10DIRECT 0 0 InLoopBack0OSPF 10 3125 Tunnel0DIRECT 0 0 Serial2/0/0DIRECT 0 0 Serial2/0/0DIRECT 0 0 InLoopBack0【提示】1、IPSec-Over-GRE和GRE-Over-IPSec方式配置上的区别为:2、各个分部和总部之间通过OSPF路由来实现互访,如果没有运行OSPF则必需在分部和总部配置静态路由。
飞塔防火墙OSPF over ipsec
OSPF over ipsec 1、配置ipsec vpn阶段1和阶段2,确认VPN隧道建立成功。
2、找到ipsec tunnel接口,并配置两端的互联ip地址
3、路由-动态路由-OSPF
4、创建router ID:1.1.1.1
5、创建区域 0
6、宣告子网
7、由于ipsec VPN属于点到点网络,在这种网络类型下,OSPF无法自动建立邻居关系,因此需要手动建立邻居
通过以下命令手动建立,指定ipsec tunnel对端互联地址
FW-1 # config router ospf
FW-1 (ospf) # config neighbor
FW-1 (neighbor) # show
config neighbor
edit 1
set ip 100.0.130.2
next
end
8、路由重分发
如果需要将其他路由重分发到OSPF内,可以在OSPF高级选项勾选“重分布-直连”
9、查看路由表
这里O路由是对端私有网络重分发到OSPF内的直连路由,因此这里以E2开始
10、通过抓包查看两端hello的过程
FW-1 # diagnose sniffer packet to-fw2,如下图,
这是点到点网络上的,两端通过组播地址224.0.0.5动态发现邻居
11.查看邻接关系表
state为full,表明当前网络已经收敛。
12、测试网络连通性ping对端私有地址
在tunnel口抓包验证。
两台出口路由器之间GRE OVER IPSEC+NAT+OSPF
两台出口路由器之间GRE OVER IPSEC+NAT+OSPF实验拓扑:拓扑描述:如上图所示:在两台出口路由器上分别实现站点内部PAT上网,同时通过在R1、R3的出接口之间建立GRE隧道来传递两个站点的动态OSPF路由,同时通过在R1、R3之间建立一个传输模式的IPSEC隧道来对两个出接口的GRE感兴趣流量实施保护。
具体配置:R1:1、接口和PAT配置interface FastEthernet0/0ip address 12.1.1.1 255.255.255.0ip nat outsideinterface FastEthernet0/1ip address 10.1.1.2 255.255.255.0ip nat insideip route 0.0.0.0 0.0.0.0 12.1.1.2ip nat inside source list nat interface FastEthernet0/0 overloadip access-list extended nat 扩展访问列表-定义NAT流量deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255拒绝到site B的流量(走GRE隧道)permit ip any any2、GRE隧道配置interface Tunnel0ip address 192.168.1.1 255.255.255.0tunnel source 12.1.1.1tunnel destination 23.1.1.23、OSPF配置router ospf 1 启用OSPF进程1log-adjacency-changesnetwork 10.1.1.2 0.0.0.0 area 0 将内网接口宣告进区域0network 192.168.1.1 0.0.0.0 area 0 将隧道接口宣告进区域0crypto isakmp policy 1 创建一阶段策略encr 3desauthentication pre-sharegroup 2crypto isakmp key 6 cisco address 23.1.1.2 指定对端地址和pre-share keycrypto ipsec transform-set myset esp-3des esp-sha-hmac 二阶段数据加密和完整性校验算法mode transport 传输模式(加密连个端点的数据)crypto map mymap 1 ipsec-isakmp 创建加密映射关联感兴趣流、转换集、对端地址set peer 23.1.1.2set transform-set mysetmatch address vpninterface FastEthernet0/0crypto map mymap 在出接口下应用加密映射ip access-list extended vpnpermit gre host 12.1.1.1 host 23.1.1.2 IPSEC VPN的感兴趣流就是两个出接口间的GRE流量R2:interface Loopback0ip address 2.2.2.2 255.255.255.255interface FastEthernet0/0ip address 12.1.1.2 255.255.255.0interface FastEthernet0/1ip address 23.1.1.1 255.255.255.0R3:1、接口和PAT配置interface FastEthernet0/0ip address 10.2.2.2 255.255.255.0ip nat insideinterface FastEthernet0/1ip address 23.1.1.2 255.255.255.0ip nat outsideip route 0.0.0.0 0.0.0.0 23.1.1.1ip nat inside source list nat interface FastEthernet0/1 overloadip access-list extended nat 扩展访问列表-定义NAT流量deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255拒绝到site A的流量(走GRE隧道)permit ip any any2、GRE隧道配置interface Tunnel0ip address 192.168.1.2 255.255.255.0tunnel source 23.1.1.2tunnel destination 12.1.1.1router ospf 1log-adjacency-changesnetwork 10.2.2.2 0.0.0.0 area 0network 192.168.1.2 0.0.0.0 area 04、IPSEC配置crypto isakmp policy 1 创建一阶段策略encr 3desauthentication pre-sharegroup 2crypto isakmp key 6 cisco address 12.1.1.1 指定对端地址和pre-share keycrypto ipsec transform-set myset esp-3des esp-sha-hmac 二阶段数据加密和完整性校验算法mode transport 传输模式(加密连个端点的数据)crypto map mymap 1 ipsec-isakmp 创建加密映射关联感兴趣流、转换集、对端地址set peer 12.1.1.1set transform-set mysetmatch address vpninterface FastEthernet0/1crypto map mymap 在出接口下应用加密映射ip access-list extended vpnpermit gre host 23.1.1.2 host 12.1.1.1 IPSEC VPN的感兴趣流就是两个出接口间的GRE流量R4:no ip routinginterface FastEthernet0/1ip address 10.1.1.1 255.255.255.0ip default-gateway 10.1.1.2R5:no ip routinginterface FastEthernet0/0ip address 10.2.2.1 255.255.255.0ip default-gateway 10.2.2.2实验测试:1、测试到对端的连通性R4-ping-R5NAT转换为空2、测试到公网的连通性R4-ping-R2的环回口有NAT转换3、在R1上show crypto isakmp sa5、在R1上show crypto ipsec sa6、在R1上show crypto engine connections active7、查看R1的路由表通过OSPF学到site B的路由,下一跳指向site B的隧道接口IP地址7、在R2的f0/1口抓包查看信息此时已看不到R4pingR5的ICMP包,在出接口IP头里面的ESP对GRE流量进行了加密在R1清除clear crypto isakmp可以看到IPSEC通道建立的ISAKMP包和后续发起的R4-45的ping包实验总结:测试做实验的时候,模拟内网如果用环回口带源地址ping的话可能不同(应尽量使用真实的一台模拟路由器);还有就是注意从NAT的流量里面DENY叼走GRE的流量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
GRE over IPsec with OSPF配置举例关键词:IPsec、GRE、OSPF摘要:本文简单描述了应用了OSPF路由的GRE Over IPsec的特点,详细描述了在SecPath系列防火墙上配置GRE over IPsec with OSPF的基本配置方法和详细步骤,给出了一种GRE Over IPsec with OSPF的基本配置案例。
缩略语:缩略语英文全名中文解释VPN Virtual Private Network 虚拟私有网security IP安全IPsec IPIKE Internet Key Exchange Internet密钥交换GRE Generic Routing Encapsulation 通用路由封装RIP Routing Information Protocol 路由信息协议OSPF Open Shortest Path First 开放最短路由优先协议目录1特性介绍 (1)2特性的优点 (1)3使用指南 (1)3.1使用场合 (1)3.2配置步骤 (1)3.2.1配置IPsec安全联盟 (1)3.2.2配置GRE协议 (4)3.2.3配置OSPF路由协议 (4)3.3注意事项 (5)3.4举例 (5)3.4.1组网需求 (5)3.4.2组网图 (5)3.4.3配置 (5)3.4.4验证结果 (10)3.4.5故障排除 (12)4关键命令 (13)4.1ipsec policy(系统视图) (13)4.2ipsec card-proposal (14)4.3ike peer (15)5相关资料 (16)5.1相关协议和标准 (16)5.2其它相关资料 (16)1 特性介绍IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。
GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。
Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,例如IPX (Internetwork Packet Exchange)和AppleTalk。
这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由。
2 特性的优点该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。
3 使用指南3.1 使用场合1) 总部与分支机构跨越Internet互联。
2) 总部与分支机构之间的路由协议为动态路由协议。
3.2 配置步骤配置GRE over IPsec with OSPF,需要配置以下内容:z配置IPsec安全联盟z配置GRE协议z配置OSPF路由协议3.2.1 配置IPsec安全联盟IPsec的配置主要包含以下几个步骤:z配置访问控制列表z配置IKE对等体z定义安全提议z创建安全策略z在接口上应用安全策略z使能加密卡快转功能1. 配置访问控制列表IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访问控制列表可称为加密访问控制列表。
发起方的访问控制列表的镜像应该为接收方的访问控制列表的子集,或者双方的访问控制列表互为镜像,这样协商才能成功。
建议用户将本端和对端的访问控制列表配置成互为镜像。
步骤操作说明操作命令1 在系统视图下,创建一个高级访问控制列表[H3C] acl number acl-number [ match-order { config | auto } ]2在高级访问控制列表视图下,配置ACL规则[H3C-acl-adv-3000] rule [ rule-id ] { permit | deny } protocol [ source{ sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard |any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operatorport1[ port2 ] ] [ icmp-type{icmp-type icmp-code | icmp-message} ][ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ]2. 配置IKE对等体在实施IPsec的过程中,可以使用Internet密钥交换IKE(Internet Key Exchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上。
IKE为IPsec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPsec的使用和管理。
步骤操作说明操作命令1 配置一个IKE对等体并进入ike peer视图ike peer peer-name2 配置IKE阶段协商所使用的身份验证字pre-shared-key key3 配置对端设备的IP地址remote-address low-ip-address [ high-ip-address ]3. 定义安全提议安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法,为IPsec协商安全联盟提供各种安全参数。
为了能够成功的协商IPsec的安全联盟,两端必须使用相同的安全提议。
步骤操作说明操作命令1 创建加密卡安全提议并进入安全提议视图[H3C] ipsec card-proposal proposal-name2 指定加密卡安全提议使用的加密卡[H3C-ipsec-card-proposal-card10]use encrypt-card slot-id步骤操作说明操作命令3 设置安全协议对IP报文的封装形式[H3C-ipsec-card-proposal-card10] encapsulation-mode { transport | tunnel }4 设置安全提议采用的安全协议[H3C-ipsec-card-proposal-card10] transform { ah | ah-esp | esp }5 设置ESP协议采用的加密算法[H3C-ipsec-card-proposal-card10] esp encryption-algorithm { 3des | des | aes }6 设置ESP协议采用的验证算法[H3C-ipsec-card-proposal-card10] esp authentication-algorithm { md5 | sha1 }4. 创建安全策略安全策略规定了对什么样的数据流采用什么样的安全提议。
安全策略分为手工安全策略和IKE 协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数。
本文档仅介绍IKE方式创建安全策略。
步骤操作说明操作命令1 用IKE创建安全策略,进入安全策略视图[H3C]ipsec policy policy-name seq-number isakmp2 设置安全策略所引用的安全提议[H3C-ipsec-policy-isakmp-tran-10]proposal proposal-name1 [ proposal-name2... proposal-name6 ]3 设置安全策略引用的访问控制列表[H3C-ipsec-policy-isakmp-tran-10] security acl acl-number4 在安全策略中引用IKE对等体[H3C-ipsec-policy-isakmp-tran-10] ike-peer peer-name5. 在接口上应用安全策略组为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。
步骤操作命令1 进入接口视图[H3C] interface type number2 应用安全策略组[H3C-GigabitEthernet0/0] ipsec policy policy-name6. 启用加密卡快转功能加密卡快转指的是对于[SourIP, SourPort, DestIP, DestPort, Prot]五元组相同的一系列报文,安全网关在接收或发送第一个报文时就会创建一个快转表项,之后符合此表项的所有报文都会直接被发往加密卡进行加密或解密,然后再由加密卡发往目的出口。
这样省去了对每个报文逐一进行从IP到IPsec的处理,加速了处理过程。
步骤操作命令1 使能加密卡快转功能[H3C] encrypt-card fast-switch3.2.2 配置GRE协议在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel接口上进行其它功能特性的配置。
当删除虚拟Tunnel接口后,该接口上的所有配置也将被删除。
GRE主要配置包括:z创建虚拟Tunnel接口(必选)z设置Tunnel接口报文的封装模式(可选)z指定Tunnel的源端(必选)z指定Tunnel的目的端(必选)z设置Tunnel接口的网络地址(必选)步骤操作说明操作命令1 创建虚拟Tunnel接口[H3C] interface tunnel number2 设置Tunnel接口报文的封装模式[H3C-Tunnel0] tunnel-protocol gre3 指定Tunnel的源端[H3C-Tunnel0] source ip-address4 指定Tunnel的目的端[H3C-Tunnel0] destination ip-address5 设置Tunnel接口的网络地址[H3C-Tunnel0] ip address ip-address netmask3.2.3 配置OSPF路由协议对于基本的OSPF配置,需要进行的操作包括:z配置Router IDz启动OSPFz进入OSPF区域视图z在指定网段使能OSPF步骤操作说明操作命令1 配置安全网关的Router ID号[H3C] router id router-id2 启动OSPF,进入OSPF视图[H3C] ospf [ process-id [ router-id router-id ] ]3 进入OSPF区域视图[H3C-ospf-1] area area-id4 指定网段运行OSPF协议[H3C-ospf-1-area-0.0.0.0] network ip-address wildcard-mask3.3 注意事项当配置GRE over IPsec with OSPF时,应该注意以下几点:1) IPsec保护的数据流应该是GRE隧道两端的Tunnel接口地址,也就是说ACL的源和目的地址应该为Tunnel接口的Source和Destination。