先建立GRE隧道
[R1]interface Tunnel 0/0/1 //进入隧道口
[R1-Tunnel0/0/1]tunnel-protocolgre //封装GRE
[R1-Tunnel0/0/1]source12.1.1.1 //源地址
[R1-Tunnel0/0/1]destination23.1.1.3 //目标地址
[R1-Tunnel0/0/1]ipaddress13.1.1.124 //配置隧道地址
[R3]interface Tunnel 0/0/1 //进入隧道口
[R3-Tunnel0/0/1]tunnel-protocolgre //封装GRE
[R3-Tunnel0/0/1]source23.1.1.3 //源地址
[R3-Tunnel0/0/1]destination12.1.1.1 //目标地址
[R3-Tunnel0/0/1]ipaddress13.1.1.324 //配置隧道地址
[R1]iproute-static20.1.1.024Tunnel0/0/1 //写一条指向隧道的路由
[R3]iproute-static10.1.1.024Tunnel0/0/1 //写一条指向隧道的路由
//GRE配置完后就会产生一条GRE的隧道,并且tunnel口会以直连的方式存在路由表
//IPsec本身没有隧道,所以之前的ipsec调用到出接口上去了
//现在有GRE隧道,就直接在GRE隧道上调用IPsec,既有隧道数据又加密,以保证报文传输的完整性和私密性
//IPsec不需要去匹配感兴趣流了,因为用的就是GRE隧道,传输的数据就是私网业务的传输,只需要对隧道进行加密
IPsec第一阶段
[R1]ikeproposal1 //ike提议号码1
[R1-ike-proposal-1]encryption-algorithm3des-cbc //配置加密方式
[R1-ike-proposal-1]authentication-algorithmmd5 //配置验证算法
[R1-ike-proposal-1]authentication-methodpre-share //配置预共享密钥
[R3]ikeproposal1 //ike提议号码1
[R3-ike-proposal-1]encryption-algorithm3des-cbc //配置加密方式
[R3-ike-proposal-1]authentication-algorithmmd5 //配置验证算法
[R3-ike-proposal-1]authentication-methodpre-share //配置预共享密钥
ike peer指定ike对等体
[R1]ikepeervpnv1 //配置ike对等体名字为vpn,版本为1,自定义名字
[R1-ike-peer-vpn]pre-shared-keysimplehuawei //配置预共享密钥,cipher密文加密,simple简单密钥
[R1-ike-peer-vpn]ike-proposal1 //调用ike第一阶段
//不用写对端IP,因为用的是GRE隧道,不需要写对端地址
[R3]ikepeervpnv1 //配置ike对等体名字为vpn,版本为1
[R3-ike-peer-vpn]pre-shared-keysimplehuawei //配置预共享密钥
[R3-ike-peer-vpn]ike-proposal1 //调用ike第一阶段
//预共享密钥要相同
IPsec第二阶段
[R1]ipsecproposalipsec //ipsec安全提议
[R1-ipsec-proposal-ipsec]encapsulation-modetunnel //传输模式选择隧道模式
[R1-ipsec-proposal-ipsec]transformesp //选择认证模式选择esp认证
[R1-ipsec-proposal-ipsec]espencryption-algorithmaes-256 //配置esp加密方式
[R1-ipsec-proposal-ipsec]espauthentication-algorithmsha1 //配置esp认证方式
[R3]ipsecproposalipsec //ipsec安全提议
[R3-ipsec-proposal-ipsec]encapsulation-modetunnel //传输模式选择隧道模式
[R3-ipsec-proposal-ipsec]transformesp //选择认证模式选择esp认证
[R3-ipsec-proposal-ipsec]espencryption-algorithmaes-256 //配置esp加密方式
[R3-ipsec-proposal-ipsec]espauthentication-algorithmsha1 //配置esp认证方式
//参数也要一致
IPsec安全框架,IPsec的两个阶段要调用到安全框架上
[R1]ipsecprofilegre //配置安全框架,名字为gre,名字自定义
[R1-ipsec-profile-gre]ike-peervpn //调用ike对等体
[R1-ipsec-profile-gre]proposalipsec //调用ipsec第二阶段
[R3]ipsecprofilegre //配置安全框架,名字为gre,名字自定义
[R3-ipsec-profile-gre]ike-peervpn //调用ike对等体
[R3-ipsec-profile-gre]proposalipsec //调用ipsec第二阶段
//GRE OVER IPsec 因为在隧道调用,所以进入隧道内的流量会被加密,所以无需匹配任何规则
GRE隧道调用IPsec安全框架
[R1]interface Tunnel0/0/1 //进入隧道口
[R1-Tunnel0/0/1]ipsecprofilegre //调用ipsec安全框架gre
[R3]interface Tunnel0/0/1 //进入隧道口
[R3-Tunnel0/0/1]ipsecprofilegre //调用ipsec安全框架gre