GRE over IPSec 隧道配置案例

最新推荐文章于 2024-10-09 21:46:06 发布

2401_86454378

最新推荐文章于 2024-10-09 21:46:06 发布

阅读量325

点赞数 3

文章标签：服务器网络数据库

本文链接：https://blog.csdn.net/2401_86454378/article/details/141940005

版权

配置IP地址、DHCP、路由、NAT
内网可以访问公网2.2.2.2
配置GRE over IPSec VPN
PC1能直接访问PC2
Wireshark抓包验证数据是否加密

拓扑

在这里插入图片描述

配置

基础配置

青海分部IP地址、DHCP、NAT、路由

sys
sys QH
dhcp enable

acl 3001
rule permit ip

int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 3001

ip route-s 0.0.0.0 0 12.0.0.2

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable

acl 3001
rule permit ip

int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 3001

ip route-s 0.0.0.0 0 23.0.0.2

ISP公网

sys
sys ISP

int g0/0/0
ip add 12.0.0.2 24

int g0/0/1
ip add 23.0.0.2 24

int lo 2 
ip add  2.2.2.2 32

PC1
在这里插入图片描述
PC2

GRE VPN配置

青海分部

interface Tunnel0/0/1
tunnel-protocol gre
source 12.0.0.1
destination 23.0.0.3
ip add 172.16.13.1 24

上海总部

interface Tunnel0/0/1
tunnel-protocol gre
source 23.0.0.3
destination 12.0.0.1
ip add 172.16.13.3 24

配置路由

青海分部

ospf  1 router-id 1.1.1.1
area 0
net 192.168.10.0 0.0.0.255
net 172.16.13.0 0.0.0.255

上海总部

ospf  1 router-id 3.3.3.3
area 0
net 192.168.20.0 0.0.0.255
net 172.16.13.0 0.0.0.255

OSPF邻居建立成功
在这里插入图片描述

在这里插入图片描述

通过GRE隧道的hello包没有加密无安全性。
解决方法：在GRE数据包外面加IPSec的ESP数据包使得hello数据包有安全性。

IPSec配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit gre sou 12.0.0.1 0 des 23.0.0.3 0
 ##GRE流量没有安全性，对GRE流量做保护

提议：
ipsec proposal QH2SH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256
 
 策略：
ipsec policy QH2SH 1 manual
 security acl 3000
 proposal QH2SH
 tunnel local 12.0.0.1
 tunnel remote 23.0.0.3
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123

 公网接口调用：
 ipsec policy QH2SH

上海总部

感兴趣流：
acl 3000
rule 5 permit gre so 23.0.0.3 0 de 12.0.0.1 0

提议：
ipsec proposal SH2QH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256
 
 策略：
ipsec policy SH2QH 1 manual
 security acl 3000
 proposal SH2QH
 tunnel local 23.0.0.3
 tunnel remote 12.0.0.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123

 公网接口调用：
 ipsec policy SH2QH

VPN没有一点问题，PC1和PC2可以互访
在这里插入图片描述