GRE OVER IPSEC VPN 配置

绝世美人儿
783次浏览
2021年02月08日 02:09
最佳经验
本文由作者推荐

热带雨林历险记-

2021年2月8日发(作者:挡箭牌)




GRE OVER IPSEC VPN


配置



IPSec VPN


专题四:


GRE over IPSec


环境:



1



R4/R5/R6


之间通过


Stati c Route


来建立


联通性:



2



R4-- R6


之间建立


GRE Tunnel 3



R4-- R6


之间建立


IPSec VPN


需求:要求


PC3




PC7


能够互通



涉及技术点:


GRE Tunnel


的建立、


IPSec


建立





分析数据包的流程








环境:



1



R4/R5/R6


之间通过


Static Route


来建立联通性:


< /p>


2



R4<-->R6

< br>之间建立


GRE Tunnel


3


R4<-->R6


之间建立


IP Sec VPN


需求:要求


PC3



PC7


能够互通



涉及技术点:


GRE Tunnel


的建立、


IPSec


建立





分析数据包的流程



配置


步骤:



1



R4/R5/R6


之间通过


Static Route


来互通



2


:内网之间的互通通过


OSPF


来建立:


R4/R6



Lo opback


口通过


OSPF


学到



3



IPSec



Peer


互指对端

< br>Loopack


(分析问题的原因)



4


:测试


GRE Over IPSec


的特性:



5


:解决方法:



R4/R6


之间指定


Stati c


路由到达对端的


Loopback




IPSec Peer


指对端的物理 接口,而不是


Loopback


口(推荐)


如果对端


Peer


使用


Loopback


那么


Tunnel

< p>


IPSec


均将无法建立成功:



1



R4/R6

< p>
配置静态路由:(互通)



R4


上的静态路由:



ip


route 1.1.56.0 255.255.255.0 1.1.45.5


R6


上的静态路由:







ip route 1.1.45.0 255.255.255.0 1.1.56.5


2



R4/R6< /p>


之间建立


GRE Tunnel:


==>R4


的配置


:


interface Tunnel0


ip address 172.16.10.4 255.255.255.0


tunnel source 1.1.45.4


tunnel destination 1.1.56.6


==>R6


的配置


:


interface Tunnel0


ip address 172.16.10.6 255.255.255.0


tunnel source 1.1.56.6


tunnel destination 1.1.45.4


==>


查看


GRE


状态:



R4#show ip int b





Tunnel0














up














up


R6#show ip int b




Tunnel0














up














up


3


:内网之间通过


GRE


建立


OSPF


连 接:



==>R4


的配置:



router ospf 110


log- adjacency-changes


network 4.4.4.4 0.0.0.0 area 0


network 172.16.10.0 0.0.0.255 area 0


network 192.168.1.0 0.0.0.255 area 0


==>R6


的配置:



router ospf 110


network 6.6.6.6 0.0.0.0 area 0






172.16.10.4




YES manual



172.16.10.6




YES manual





network 172.16.10.0 0.0.0.255 area 0


network 172.16.1.0 0.0.0.255 area 0


==>

< br>查看


R4/R6


的路由表:内网已经互通:



R4#show ip route ospf


O



6.6.6.6 [110/11112] via 172.16.10.6, 00:11:38, Tunnel0


O



172.16.1.0 [110/11112] via 172.16.10.6, 00:11:38, Tunnel0


R6#show ip route ospf


O



4.4.4.4 [110/11112] via 172.16.10.4, 00:11:23, Tunnel0


O 192.168.1.0/24 [110/11112] via 172.16.10.4, 00:11:23, Tunnel0


R6#


==>R3


测试:



R3#traceroute 172.16.1.1




1 192.168.1.2 92 msec 136 msec 48 msec




2 172.16.10.6 136 msec 132 msec 140 msec


:表明当前数据包是通过


GRE Tunnel


来转发的





3 172.16.1.1 148 msec *



168 msec


R3#


4



R4/R6


之 间建立


IPSec VPN :eer


指向

R4/R6


的环回口:


4.4.4.4/6.6.6.6


==>R6


上的配置修改


:


crypto isakmp key cisco address 4.4.4.4


crypto map MYMAP 10 ipsec-isakmp


set peer 4.4.4.4


set transform-set TS


match address


110
























:指定感兴


趣流量:



crypto map MYMAP local-address Loopback1


:这里一定要指定更新源:类似


BGP< /p>


的更新源:否则发送数据包的将是本地的物理接口



==>R4


上的配置修改


:






crypto isakmp key cisco address 6.6.6.6


crypto map MYMAP 10 ipsec-isakmp


set peer 6.6.6.6


set transform-set TS


match address 110


crypto map MYMAP local-address Loopback1




5


:由于是


GRE over IPSec:


于是在物理接口下调用感兴趣流量


:


interface FastEthernet0/0


ip address 1.1.1.1 255.255.255.0


no cdp log mismatch duplex


crypto map MYMAP


此时如果指定感兴趣流量


:access-list


110


permit


host


1.1.1.1


host


2.2.2.3


:


那么随后


OSPF


邻居将


Down




*Dec


11


23:13:56.355:


%OSPF-5-ADJCHG:


Process


110,


Nbr


6.6.6.6


on


Tunnel0


from FULL to DOWN, Neighbor Down: Dead timer expired


分析:



1



GRE Tunnel

< p>
的可达性是通过静态路由来实现的:通过步骤一:可知目的


1.1.56. 0



F1/1


走:


2



R4

上的


OSPF


通过


Tunnel< /p>


学习到


6.6.6.6


的路由下一条指向


Tunnel0


3




IPSec


VPN


中指定


Peer



6.6.6.6

< p>


此时下一条指向


Tunnel0


(如步骤三)



封装


GRE< /p>


:【


SIP:1.1.45.4



DIP:1.1.56.6


】,


R4


查看路由表到达


1.1.56.0


需要 经过


F1/1


(如步骤一),此时


GR E


数据包被扔到


F1/1


,刚好匹配该 接口下


调用




IPSec


感兴趣流,于是封装


ESP


,并新增


IP


包头【


ESP| SIP:4.4.4.4


DIP:6.6.6.6




4



ESP


数据包查看 路由表


,


发现到达


6.6.6.6< /p>


需要通过


Tunnel 0


,于是


ESP


又被转到


Tunnel

< p>
0


,并且又被封装【


SIP:1.1.45.4



DIP:1.1.56.6


】,以 此



R4


上的


OSPF


Hello


包在


Tunne l0



F1/1


之间往复循环,


而对端的


OSPF


在三






个 周期未收到


Hello


包,则提示


De ad Time Expired




*Mar



14:43:51.743:


%OSPF-5-ADJCHG:


Process


110,


Nbr


192.168.2.10


on


Tunnel0 from FULL to DOWN, Neighbor Down



:OSPF


邻居


Down



==>


解决方法:(只要打破以上环路的任一环即可)

< br>



R4/R6


之间指定


Static


路由到达对端的


Loopbac k




IPSec Peer


指对端的物理接口,而不是


Loopback


口 (推荐)



修改方法


1





R4/R6


上配置

< br>Static Route


让到


R4/R6

< p>
对端


Loopback


口的数据包从物理接


口走


,


而不是


Tun nel 0:


R4(config)#ip route 6.6.6.6 255.255.255.255 1.1.45.5


R6(config)#ip route 4.4.4.4 255.255.255.255 1.1.56.5


R5(config)#ip


route


6.6.6.6


255.255.255.255


1.1.56.6



R5

< p>
上增加到


R4/R6


的路由:


R5(config)#ip route 4.4.4.4 255.255.255.255 1.1.45.4


此时


O SPF


邻居就可以创建


:


而且


IPSec VPN


也是可以建立的


:


*Mar 14 15:21:36.395: %OSPF-5-ADJCHG: Process 110, Nbr 192.168.2.10 on


Tunnel0 from LOADING to FULL, Loading Done


R4#



修改方法


2


推荐做法


)


在< /p>


R4/R6


上配置


IPSec


VPN



,


对端


Peer


指向物理接口


,

而不是


Loopback


口地址


:


==>R4


的配置:



crypto isakmp policy 10


authentication pre-share


crypto isakmp key cisco address 1.1.56.6


R3(config)#crypto ipsec transform-set TS esp-md5-hmac esp-null





Null


不对数据包加密:用于分析数据用



crypto map MAY 10 ipsec-isakmp



热带雨林历险记-


热带雨林历险记-


热带雨林历险记-


热带雨林历险记-


热带雨林历险记-


热带雨林历险记-


热带雨林历险记-


热带雨林历险记-