HCIP-16.4 GRE Over IPSec VPN配置(上)

数通

6.18-1

总部R3配置

(1)确保两边的公网地址可达

配置缺省路由,略

(2)创建安全提议以及安全策略:对数据加密和认证的一个方案(认证算法、加密算法、隧道封装模式、IKE版本、认证密码等)

注意:

  • AH只能用来做认证和校验
  • ESP既能做认证、校验,也能用来做数据加密
  • AH可以选择认证算法
  • ESP可以选择认证和加密两类算法

默认封装方式: dis ipsec proposal name [name]

  • 默认采用ESP模式的隧道封装 Tunnel

  • 相应ESP的认证算法:MD5-HMAC-96

    ESP加密算法:DES

(3)创建GRE隧道接口,并将IPSec VPN策略文件调用到隧道口

(4)配置动态路由协议(或静态路由协议)

R1:

ip route-s 0.0.0.0 12.1.1.2

R4:

ip route-s 0.0.0.0 24.1.1.2

R3:

ip route-s 0.0.0.0 0 23.1.1.2
#
ipsec proposal aa  # 安全提议aa
 qu
ike proposal 5  # dis ike proposal number 5
 qu
 #
ike peer Shanghai v2 # 使用v2版本
 peer-shared-key cipher huawei # 密码 huawei
 ike proposal 5
 #
ipsec profile To_Shanghai
 ike-peer Shahai
  proposal aa

  #

 ike peer Nanjing v2
  peer-shared-key ci huawei
  ike prop 5
  #
 ipsec profile To_Nanjing
  ike-peer Nanjing
   proposal aa
   #

调试命令:

dis ike peer
dis ike peer verbose

R3:

int tunnel 0/0/0
 ip add 192.168.13.3 24
 tunnel-protocol gre
 source g0/0/0
 destination 12.1.1.1 
 ipsec profile To_Shanghai
 #

int tunnel 0/0/1
 ip add 192.168.34.3 24
 tunnel-pro gre
 source g0/0/0
 dest 24.1.1.4
 ipsec profile To_Nanjing

R3:

ospf 1
 a 0
  net 192.168.3.0 0.0.0.255
  net 192.168.13.0 0.0.0.255
  net 192.168.34.0 0.0.0.255
本文链接:https://www.orcy.net.cn/4171.html,转载请附上原文出处链接

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注