2. 程式人生 > >在cisco路由器上配置GRE over IPsec -vpn

在cisco路由器上配置GRE over IPsec -vpn

阿新 發佈:2019-01-30

crypto map r1-r3 1 ipsec-isakmp            建立crypto map關聯IKE SA、IPsec SA、對等體及PSK認證等
 set peer 23.1.1.3
 set transform-set r1-r3
 match address 100
 crypto map r1-r3
R1#
 
R1#show run interface f0/0
Building configuration...
Current configuration : 111 bytes
!
interface FastEthernet0/0
 ip address 12.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map r1-r3                                   最後將crypto map應用到介面上
end
R1#
 
R3上的ipsec配置如下:
R3#show run | s crypto
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2

crypto isakmp key 12345 address 12.1.1.1

crypto ipsec transform-set r3-r1 esp-3des
 
R3#show access-lists 100
Extended IP access list 100
    10 permit ip host 23.1.1.3 host 12.1.1.1 (10941 matches)
R3#

crypto map r3-r1 1 ipsec-isakmp
 set peer 12.1.1.1
 set transform-set r3-r1
 match address 100
 crypto map r3-r1
R3#
 
R3#show run interface f0/1
Building configuration...
Current configuration : 111 bytes
!
interface FastEthernet0/1
 ip address 23.1.1.3 255.255.255.0
 duplex auto
 speed auto
 crypto map r3-r1
end
R3#
R3上的配置與R1完全相同,配置完成後檢查ipsec狀態:
R1#show crypto isakmp peers

Peer: 23.1.1.3 Port: 500 Local: 12.1.1.1
 Phase1 id: 23.1.1.3
R1#
R1#show crypto isakmp sa
dst             src             state          conn-id slot status
23.1.1.3        12.1.1.1        QM_IDLE              1    0 ACTIVE
R1#show crypto ipsec sa
interface: FastEthernet0/0
    Crypto map tag: r1-r3, local addr 12.1.1.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (12.1.1.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (23.1.1.3/255.255.255.255/0/0)
   current_peer 23.1.1.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5245, #pkts encrypt: 5245, #pkts digest: 5245
    #pkts decaps: 5553, #pkts decrypt: 5553, #pkts verify: 5553
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 16, #recv errors 0
     local crypto endpt.: 12.1.1.1, remote crypto endpt.: 23.1.1.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xA1A490E9(2711916777)
     inbound esp sas:
      spi: 0xD800176E(3623884654)
        transform: esp-3des ,
        in use settings ={Tunnel, }
        conn id: 2004, flow_id: SW:4, crypto map: r1-r3
        sa timing: remaining key lifetime (k/sec): (4469032/1561)
        IV size: 8 bytes
        replay detection support: N
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xA1A490E9(2711916777)
        transform: esp-3des ,
        in use settings ={Tunnel, }
        conn id: 2003, flow_id: SW:3, crypto map: r1-r3
        sa timing: remaining key lifetime (k/sec): (4469086/1558)
        IV size: 8 bytes
        replay detection support: N
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
R1#
看到ipsec已經正常建立,測試內網連通性:
R1#ping 172.16.1.1
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#
因為目前的 IPsec 只加密了雙方建立 GRE 時用到的公網地址,而不包含雙 方內網地址,所以雙方內網通訊不成功,但這就是我們要使用動態協議的理由。
在 R1 上配置 EIGRP,AS 號為 1,並且將內網網段 192.168.1.0 和 GRE tunel介面ip宣告進 EIGRP 程序,以便通過 GRE 隧道和北京公司建立 EIGRP 鄰居,從而交換雙方內網 網段資訊。
R1#show run | s eigrp
router eigrp 1
 network 1.1.1.1 0.0.0.0
 network 192.168.1.0
 no auto-summary
R1#
 
R3#show run | s eigrp
router eigrp 1
 network 1.1.1.0 0.0.0.255
 network 172.16.1.0 0.0.0.255
 no auto-summary
R3#
 
R1#show run | s eigrp
router eigrp 1
 network 1.1.1.1 0.0.0.0
 network 192.168.1.0
 no auto-summary
R1#
最後做完eigrp後,在測試內網的連通性:
R1#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/24/44 ms

R1#traceroute 172.16.1.1
Type escape sequence to abort.
Tracing the route to 172.16.1.1
  1 1.1.1.3 28 msec 16 msec 20 msec
R1#
已經通訊了,並且用tracert跟蹤發現流量從R1去往R3的內網時走的是gre over IPsec vpn的隧道。

相關推薦

cisco路由器配置GRE over IPsec -vpn

crypto map r1-r3 1 ipsec-isakmp            建立crypto map關聯IKE SA、IPsec SA、對等體及PSK認證等  set peer 23.1.1.3  set transform-set r1-r3  match address 100  crypto

Cisco路由器配置GRE over IPsec

gre over ipsec拓撲圖實驗目的:通過CRE over IPsec的方式實現R1網段:172.16.10.0/24和R2網段:172.17.10.0/24通信加密。由於IPsec VPN不支持組播,而GRE支持多種協議,所以一般情況下會選擇GRE over IPsec。配置思路:通過ACL設置感興趣

cisco路由器IPSec-VPN

session 1 ipsec知識點 IPsec(IP Security)ip安全的簡稱     在實施VPN時,除了實現隧道功能以外,還要實現資料安全,兩者缺一不可;在隧道方面,之前所講到的G

cisco GRE over ipsec -NAT環境(外網接口和loopback二種模式)

pla process cto clock .com col cati 圖片 level 一、IPSEC:二邊靜態和NAT-1-11.GRE Over IPSEC Ipterm3:172.99.99.2/24 GW:172.99.99.1Ipterm4:172.99.

PXE服務和Cisco路由器的DHCP配置

預啟動執行環境(Preboot eXecution Environment,PXE,也被稱為預執行環境)提供了一種使用網路介面(Network Interface)啟動計算機的機制,這種機制讓計算機的啟動可以不依賴本地資料儲存裝置(如硬碟)或本地已安裝的作業系統

一些Cisco 路由器命令配置

Cisco Route路由器單臂路由配置·技術原理 ·單臂路由:是為實現VLAN間通信的三層網絡設備路由器,它只需要一個以太接口,通過創建子接口可以承擔所有VLAN的網關,而在不同的VLAN間轉發數據。·實驗步驟 ·新建packet tracer拓撲圖(如圖) ·當交換機設置成兩個VLAN時

Cisco路由器傳和下載IOS

表示 cisco 路由器 大小 sha coredump pat 文件 per proc Cisco 路由器下載IOS (1)查看flash IOS版本及大小QYT#show flash: -#- --length-- -----date/time------ path1

Cisco 路由器傳IOS(一)

log 技術分享 fff 分享 進行 剩余空間 ftp服務 delete cisco 路由器 (1)路由器上查看IOS。 通過dir flash: 命令查看IOS版本,flash的空間大小及剩余量。如果剩余空間不夠上傳新的IOS時候,上傳的時候會報錯。此時需刪掉原來的IOS

在思科路由器配置SSH登入

使用者那裡對網路安全性進行檢查,要求對核心裝置採用SSH登入,之前裝置採用telnet登入,使用者名稱和密碼明文傳輸,不符合安全性檢查要求。其實SSH登入配置很簡單,主要分以下幾步:1、配置域名SD_Core_R7600(config)#ip domain-name SDCore2、生成SSH KeySD_C

cisco switch配置MSTP

MSTP(802.1s):多例項生成樹 精華:主要是一個分組的思想,減少傳送的bpdu。如果交換網路中執行的是rstp,假設有1000個vlan,那麼每兩秒就會發1000個bpdu,       但是如果執行mstp後可以把多個vlan劃分為很少的幾個組,一個組發一個bpdu。大大的減少了bpdu的個數用在v

Cisco路由器配置 IPsec VPN

ipsec vpn拓撲圖實驗目的:實現R1網段:172.16.10.0/24與R2網段172.17.10.0/24通信加密。配置思路:路由通過ACL設置感興趣流配置IKE第一階段配置IKE第二階段新建MAP,並應用於接口配置:R1:配置默認路由和接口IP信息interface Loopback0 ip ad

TP路由器的L2tp與IPsec VPN配置

無線企業路由器作為功能全面的企業無線VPN路由器,提供多類VPN功能。其中IPSec VPN可以實現企業站點之間搭建安全的資料傳輸通道,將接入Internet的企業分支機構與總部網路通過安全隧道互聯,實現資源、資訊共享。 本文介紹使無線企業路由器搭建IPSec安全隧道的設定方法。 某公司需

華為路由交換IPSEC VPN 互通 + 配置示例

華為路由交換IPSEC VPN 互通 + 上 網配置示例 1 IPSEC VPN 互通 + 上網配置示例 2、實驗目的 掌握 NAT 的配置 掌握 IPSEC VPN 的基礎配置 3、實驗拓撲 3、配置要點 總公司的配置 sysname ZongGongSi acl numb

Cisco IPsec VPN配置

工作原理IPsec協議不是一個單獨的協議,它給出了應用於IP層上網路資料安全的一整套體系結構,包括網路認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Intern

cisco路由器DHCP配置

cisco dhcp DHCP配置步驟:R1(config)#ip dhcp pool vlan10 #DHCP地址池名稱R1(dhcp-config)#network 192.168.1.0 255.255.255.0

如何在ASA防火墻實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

Cisco思科路由器HSRP配置和排障那些事兒~~

思科 路由交換 hsrp首先亮出必備命令來:配置HSRP的成員:Router(config-if)#standby 備份組號 ip 備份組虛擬IP地址配置HSRP優先級:Router(config-if)#standby 備份組號 priority 優先級級別配置端口跟蹤:活躍路由器上配置Router(con

Hillstone 基於策略 ipsec-VPN 配置

防火墻、hillstone、vpn Hillstone 基於策略 ipsec-VPN 配置 本文以web界面對hillstone 進行ipsec-vpn 配置,共有兩種方法。 1.建立隧道首先,登陸hillstone防火墻,點選左側ipsec-vpn,然後點新建;然後在彈出的界面進

cisco路由器的Dhcp配置以及一個dhcp服務不同網段共享

dhcp 不同網段 路由器 實驗拓撲:(上面有兩種配置方式,還有一種就是交換機的配置方式,路由器的配置方式一模一樣,就是要把vlan端口打開 並設置vlan的ip就可以實現dhcp服務)實驗步驟:第一種:路由器充當dhcp服務(如圖)(註:路由器本身需要網絡之間發包任務,最好不要在路由器上配置除了

關於cisco路由器配置的一些參數

angle source inter vlan配置 cisco fault 重載 default run 單臂路由設置 Switch(config-if)#no switchport Switch(config)#ip routingSwitch(config)#inter