GRE over IPSEC
在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由
使用场合
总部与分支机构跨越Internet互联。
总部与分支机构之间的路由协议为动态路由协议。
Site1(config)#interface tunnel 0
Site1(config-if)#ip address 172.16.1.2 255.255.255.0
Site1(config-if)#tunnel source fastEthernet 1/0
<tunnel source 配置 IP 地址与配置接口效果相同>
Site1(config-if)#tunnel destination 202.100.1.1
Site1(config)#router ospf 1
Site1(config-router)#network 172.16.1.0 0.0.0.255 area 0
<宣告 Tunnel 隧道接口网络>
Site1(config-router)#network 1.1.1.0 0.0.0.255 area 0
<宣告 Site1 身后网络>
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#authentication pre-share
Site1(config)#crypto isakmp key 0 cisco address 61.128.1.1
Site1(config)#ip access-list ex vpn
Site1(config-ext-nacl)#permit gre host 202.100.1.1 host 61.128.1.1
Site1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
Site1(cfg-crypto-trans)#mode transport
<GRE over IPSec 推荐配置为传输模式>
Site1(config)#crypto map cisco 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set cisco
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#inter fa0/0
Site1(config-if)#crypto map cisco
其他 GRE over IPSec 配置方式
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#authentication pre-share
Site1(config)#crypto isakmp key 0 cisco address 61.128.1.1
Site1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
Site1(cfg-crypto-trans)#mode transport
Site1(config)#crypto ipsec profile ipsecprof
<创建 IPSec profile 名字为“ipsecprof”>
Site1(ipsec-profile)#set transform-set cisco
Site1(config)#inter tunnel 0
Site1(config-if)#tunnel protection ipsec profile ipsecprof