总部:
#创建隧道口源地址(非常重要)
interface LoopBack0
ip address 192.168.255.1 255.255.255.255
#H3C 分支动态IP接入总部,总部只能用IPSEC模板+野蛮模式,IPSEC 名字是H3C,模板名字是tem
ipsec policy H3C 1 isakmp template tem
配置IPSEC转换集 tr3
ipsec transform-set tr3
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#创建IKE策略名字 p3, 调用key-chain名字 r3 ,第一阶段使用野蛮模式(NAT穿越自动检测,不需要配置),认证使用FQDN名字对端r3,自己r1 IKE提议使用 3
ike profile p3
keychain r3
exchange-mode aggressive
local-identity fqdn r1
match remote identity fqdn r3
proposal 3
#创建IKE 提议 名字 3,算法使用默认算法
ike proposal 3
#创建ike预共享密钥
ike keychain r3
pre-shared-key hostname r3 key cipher $c$3$0e/ruiFjmfC/vLDw+lbNbtg6KTpR/g==
#创建感兴趣流(注意这里感兴趣流的源和目标地址是GRE隧道的源和目标地址)
acl advanced 3000
rule 0 permit ip source 192.168.255.1 0 destination 192.168.255.3 0
#配置IPSEC 分支3的模板,调用ipsec转换集,调用ACL感兴趣流,调用ike策略
#创建隧道,模式是GRE 源调用loopback 0 目标是对端隧道的Loopback 0 源IP,开启隧道保活探测机制
interface Tunnel13 mode gre
ip address 10.255.13.1 255.255.255.252
source LoopBack0
destination 192.168.255.3
keepalive 3 3
#创建ipsec 分支模板 名字是tem 3 ,调用之前创建的ipsec 转换集tr3 感兴趣流 ike策略 本地标识
ipsec policy-template tem 3
transform-set tr3
local-address 100.1.1.1
security acl 3000
ike-profile p3
#在出口调用IPSEC 策略,策略的名字就是H3C 它这里就调用了一个分支模板 模板的名字就是 tem 3
interface GigabitEthernet0/2
port link-mode route
combo enable copper
ip address 100.1.1.1 255.255.255.0
ipsec apply policy H3C
#到这里IKE SA IPSEC SA都已经 起来了,这个时候由于创建了一个接口,interface Tunnel13 mode gre ip address 10.255.13.1 255.255.255.252,可以在这个接口上运行动态路由协议,或者静态路由,或者QOS ,镜像,安全列表等等操作,来达到对IPSEC流量的一个控制。
这里以跑动态路由协议为例,注意千万不要把隧道的源IP 192.168.255.1宣告进去,静态路由则是 ip route-static 192.168.101.0 24 10.255.13.2
rip 1
undo summary
version 2
network 10.255.13.1 0.0.0.0
network 192.168.102.0
分支:
#首先创建隧道口源IP
interface LoopBack0
ip address 192.168.255.3 255.255.255.255
#创建IPSEC 策略名字 tr2
ipsec transform-set tr1
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#创建IKE 策略模板 名字 p1 调用ike 密钥 第一阶段野蛮模式,验证使用fqdn 名字 r3 ,对端 r1 ike提议使用 1
ike profile p1
keychain r1
exchange-mode aggressive
local-identity fqdn r3
match remote identity fqdn r1
proposal 1
#创建IKE 提议1 算法默认
ike proposal 1
#创建预共享密钥
ike keychain r1
pre-shared-key address 100.1.1.1 255.255.255.255 key cipher $c$3$0e/ruiFjmfC/vLDw+lbNbtg6KTpR/g==
#创建感兴趣流(隧道的源目IP)
acl advanced 3000
description IPsec
rule 0 permit ip source 192.168.255.3 0 destination 192.168.255.1 0
#创建IPSEC 策略,调用之前创建的IPSEC 策略,感兴趣流,远端标识,ike提议
ipsec policy H3C 1 isakmp
transform-set tr1
security acl 3000
remote-address 100.1.1.1
ike-profile p1
#创建GRE隧道口
interface Tunnel13 mode gre
ip address 10.255.13.2 255.255.255.252
source LoopBack0
destination 192.168.255.1
keepalive 3 3
#在链接光猫的出口调用IPSEC策略
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address dhcp-alloc
ipsec apply policy H3C
#到这里IKE SA IPSEC SA都已经 起来了,这个时候由于创建了一个接口,interface Tunnel13 mode gre ip address 10.255.13.2 255.255.255.252,可以在这个接口上运行动态路由协议,或者静态路由,或者QOS ,镜像,安全列表等等操作,来达到对IPSEC流量的一个控制。
这里以跑动态路由协议为例,注意千万不要把隧道的源IP 192.168.255.3 宣告进去,如果是跑静态路由则是 ip route-static 192.168.102.0 24 10.255.13.1
rip 1
undo summary
version 2
network 10.255.13.2 0.0.0.0
network 192.168.101.0
#IPSEC部分配置结束,这个是GRE OVER IPSEC 先建立IPSEC 再跑GRE IPSEC SA 看到的是 192.168.255.3 - 192.168.255.1 的GRE封装后的流量。所有进入隧道的流量都将被IPSEC加密。
2496
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
