GRE OVER IPSEC VS PROFILE 二
姓名:沒有腳的鳥
QQ:470547158
座右銘:成功是給自己最好的鼓勵!
1.實驗拓撲
2.實驗題目:GRE OVER IPSEC (通用路由封裝與IP安全結合二)
3.實驗特點:ipsec隻能傳輸單點傳播資料,而對ospf等的一些路由協定的多點傳播與廣播的資料則無能為力,雖然有加密功能,無用武之地,而GRE可以把多點傳播或廣播的資料流封裝成單點傳播資料,但對資料沒有加密,是以也是愛莫能助,這個實驗是為了隻他們的優點互補,達到一種即能傳送多點傳播(廣播)資料流,還能保證安全性,一舉兩得!
與傳統最大的差別就是實驗利用了profile 簡化了配置
4.實驗所用知識:A:R1、R3上需要做路由保證資料能出去(邊界路由器上做預設路由即可)
B:×××通信需要兩個階段!ISAKMP/IKE與IPASEC
利用profile 剩去了ACL(靜态MAP)
C: 配置ospf路由協定
5.實驗要求:利用GRE OVER ×××技術讓環回接口能ping通(1.1.1.1PING通3.3.3.3)
6.實驗操作重要步驟:
各個路由上須配置按圖上的IP 位址,(如R1上F0/0接口IP為12.12.12.1/24)
一 在R1上的配置
1. 一階段
Crypto isakmp policy 10 建立一個政策
Authentication pre-share 利用預共享密鑰進行驗證密鑰
Crypto isakmp key 0 zhanghaichao address 23.23.23.3 設定一個密鑰
2. 二階段
Crypto ipsec transform-set cisco ah-md5-hmac #建立一個傳輸集
Crypto ipsec profile 0811a #建立一個profile
Set transform-set cisco #在profile模式下調用傳輸集
3. interface tunnel 0
Ip address 13.13.13.1 255.255.255.0 #設定TUNNEL接口的IP位址
Tunnel source 12.12.12.1 #指定出口的實體鍊路是12.12.12.1
Tunnel destination 23.23.23.3 #指定目的的實體鍊路是23.23.23.3
Tunnel mode ipsec ipv4 #指定是利用一個IPV4資料包的IPSEC封裝過程
Tunnel protection ipsec profile 0811a #調用傳輸集
4.配置預設路由: ip route 0.0.0.0 0.0.0.0 12.12.12.2
5. 配置OSPF路由協定
Router ospf 110
Network 1.1.1.0 0.0.0.255 a 0 (宣告環回接口)
Network 13.13.13.0 0.0.0.255 a 0 (宣告TUNNEL 接口)
這些就是 R1 路由器上的所有配置二 在R2上的配置
配置兩個IP位址,F0/0 12.12.12.2/24 F0/1 23.23.23.2/24
三 在R3上的配置
1.第一階段
Crypto isakmp key 0 zhanghaichao address 12.12.12.1 設定一個密鑰
其它都不變
2,第二階段
Crypto ipsec profile 0811a #建立一個profile
Tunnel source 23.23.23.3 #指定出口的實體鍊路是23.23.23.3
Tunnel destination 12.12.12.1 #指定目的的實體鍊路是12.12.12.1
Tunnel mode ipsec ipv4 #指定是利用一個IPV4資料包的IPSEC封裝過程
4.配置預設路由: ip route 0.0.0.0 0.0.0.0 23.23.23.2
Network 3.3.3.0 0.0.0.255 a 0 (宣告環回接口)
四 實驗測試(沒有show crypto isakmp/ipsec sa,是以用截圖所抓到的包來分析)
由1.1.1.1 PING 3.3.3.3并有回應,并且包結構沒有出現了GRE封裝! 實驗完成