网络工程师如何在Cisco路由器上配置GRE Over IPsec
我之前分享过在eve模拟器环境中使用思科路由器手动配置IPsec V-P-N,但现实中很多情况下两边的站点都不是各只有一个网段,可能会有很多网段
但是,通过IPsec V-P-N在站点之间互连时,存在没有虚拟隧道接口,无法执行动态路由协议的问题。
例如,你不能在OSPF的两边做邻居。
因此,以下龙哥通过共享GRE over IPsec V-P-N的配置示例,可以知道这个问题是如何解决的。
另一方面,需要解决拓扑图2、需求(目的) 1、以及两个站点之间的动态路由协议,并且能够学习端到端的路由。
2、需要解决安全问题。 使用GRE是不安全的(明文),因此需要进一步在GRE下运行IPsec V-P-N来解决安全问题。
3、配置思路1、构建拓扑图环境,显示计划的IP地址。
2、修改网络设备的默认名称,设定IP地址。
3、配置分公司和总公司网关设备的路由,使之互通。
4、放置GRE (在此使用默认路由),创建虚拟隧道端口,放置隧道端口的IP地址。
5、配置R1、R3的路由器id、OSPF路由协议。
6、利用ACL构建IPsec感兴趣的流。
7、配置IPsec (这里使用ike )。
8、在出局接口下调用IPsec策略。
4、部署流程01、构建拓扑图环境,显示规划的IP地址。
有关eve模拟器如何添加设备的信息,请参阅我过去的文章:
用手教eve-ng模拟器的安装,周游网络技术的世界! mp.weixin.qq.com02修改网络设备的默认名称,设定IP地址。
R1配置(分支机构的网关设备) ) ) ) )。
R2 )模拟互联网() )。
R3 )模拟总公司) ) ) ) ) )。
03、配置分公司和总公司网关设备的路由,使之互通。
分支机构的网关和总部的网关设备必须能够通信。 想想看。 在现网上只要接入运营商的网络,就可以连接到公共网络。 两个网站一定可以进行ping通信。
因此在本实验中,使用默认路由来实现两端网关设备的互操作问题。
在R1上配置默认路由:在R1(config ) IProute0.0.0.0.0) 12.1.1.2R3上配置默认路由: R3 ) config ) IP route 0.0.0
04、部署GRE,创建虚拟隧道端口,部署隧道端口的IP地址。
在两个站点之间的网关设备上分别创建GRE的隧道接口,并配置同一网段的IP地址。 在R1上配置GRE。
在R3上配置GRE :
配置GRE后,请尝试测试R1和R3上的虚拟隧道接口连接。 (现在,这些就像直接连接。
)
05、R1、R3的路由器id、OSPF路由协议R1的构成如下。
R3配置如下:
现在,我们来看看OSPF邻居的状态吧? 然后,你学习了对方的路由吗?
R1学习了总部的路线:
R3学习了分公司的路线:
现在,让我们看一下tunnel端口shutdown,在网关上走出接口,抓住包。 ()在这里抓包,龙哥的目的是配置IPsec V-P-N后进行比较) )。
同时,我还再次学习了GRE的协议号码是47。
您可以看到GRE外部的IP使用了网关接口的IP地址。
06、利用ACL构建IPsec感兴趣的流。 现在,在两侧的网站上跑OSPF的是GRE,普通的业务数据也用GRE封装。
因此,接下来,可以将感兴趣的流进行布置以使GRE的业务相匹配。
在R1上配置GRE感兴趣的流:
在R3上配置GRE感兴趣的流:
07、配置IPsec (这里使用ike ) ) ) )。
08、在出局接口下调用IPsec策略。
R1(config ) intE0/0R1 ) config-if ) #crypto map R1toR3R1) config ) intE0/0R1 ) cryptomapr1tor3变为IPsec
我的包一直开着,所以接下来,我会直接在R1拿着源地址ping总部地址,然后看消息。
从消息的角度来看,可以看到ICMP消息已经用ESP协议封装,也就是说用IPsec加密,无法看到内容。
另外,两边网站的OSPF定期发送的hello消息也被加密了,因为我们看不到真正的内容,所以提高了安全性。
让我们配置IPsec,看看OSPF的邻居,Full的。
顺便也验证一下其他网段的连接性吧。 ((都没问题) ) )。
读了这次的文章你有收获了吗?
