【×××系列五】multipoint Gre Over Ipsec 配置详解

 

 

 

routerios版本为:

 

 

版本不同所以命令结果显示稍有差异,但是部署***的效果是一致的。

The first way

1.配置 network

shanghai-------internet------nanjing

                   |

               wuxi

(1)路由互通,配置默认路由

ip route 0.0.0.0 0.0.0.0 200.0.10.1

ip route  0.0.0.0 0.0.0.0 200.0.20.1

ip roue 0.0.0.0 0.0.0.0 200.0.30.1

200.0.10.1、200.0.20.1、200.0.30.1为模拟internet的wan接口地址,也即是默认网关地址。

(2)路由互通之后,配置tunnel口才能up,否则即使之后配置的动态路由协议也是不能uptunnel口的,这点很重要。            

 

2.配置 interface tunnel

这里创建了两个tunnel,分别与对端建立连接;这与单个gre就是很大的区别之一。

 

3.配置 crypto isakmp policy

这里的配置主要涉及加密的各项参数,各个peer上面一定要是一致的,否则就会发生***协商故障。

主要参数为:

hash

authentication

group

encryption

4.配置 crypto isakmp key

这里配置各个peer之间的预共享密钥,也是各个peer之间必须一致,否者就会造成认证错误;因为连接多个站点所以peer地址这里配置为0.0.0.0 0.0.0.0 表示为任意地址。

 

5.配置 crypto ipsec transform-set

配置ipsec 的转换集,主要用于加密数据,也是一样要求各个peer之间一定要一致;

在ipsec中有两种加密方式a、AH(认证头)  b、ESP(封装)

这里我们使用esp方式,加密格式为des;

***中对称加密技术有三种 a、des  b、3des  c、aes

***中散列函数技术有两种 a、md5  b、sha

这里我们使用md5函数;

ipsec有两种传输模式 a、传输模式(transport) b、隧道模式(tunnel)

因为我们已经使用了gre技术,所以这里我们只用transport模式。

6.配置 interesting traffic

与单个的gre ipsec ***相似,创建感兴趣流,加密流量。

这里创建了两个acl,分别匹配tunnel0 和tunnel1,都是加密shanghai到nanjing和shanghai到wuxi的流量。

 

7.配置 crypto map

这里创建一个加密映射组,包含两个子句,分别匹配nanjing和wuxi,除了转换集是一样的,其余参数都是不同的,这个也很重要,不能输错参数,可以把名字设定成容易识别的,方便区分和排错。

8.show result

这里已经配置完成了,可以看到各个站点之间的路由已经互通,建立邻接关系。

  

 

 

 

 

 查看路由表可以再hub 站点看到全站路由,所以配置GRE是成功的。

 

 

 

 

 

 这里查看*** 第一阶段加密情况,各站点已经建立***隧道。

 

 

 

 

 

 在hub上查看加解密数据包情况,可以看到已经建了两个***连接,而且加解密数据包情况正常。

 

 两个分支站点加解密数据也是正常

 

 

 

 查看*** 隧道建立状况,status 是up-active,所以是成功的。

 

 

 

 

 

 

--------------------------------------------------------------------------

--------------------------------------------------------------------------

The secondary way

1.配置 network

2.配置 interface tunnel

创建一个tunnel口,配置tunnel 接口之间的密钥为123(tunnel key 为选配参数,看自己情况而定),但是tunnel key 各个站点之间必须一致,否则造成tunnel 不通。

配置优化参数 ip mtu、delay这些一般都是完整配置之后所做的事情,这里先略带讲一下。

ip mtu :ip数据包最大传输单元,一般设定为1400

delay:延迟,一般视应用情况而定

 

3.配置 crypto isakmp policy

 配置isakmp 策略

4.配置 crypto keyring

 配置密钥环

5.配置 crypto isakmp profile

 关联密钥环和peer,因为连接多个站点所以也是用0.0.0.0 0.0.0.0 表示任意站点。

6.配置 crypto ipsec transform-set

 配置转换集,因为创建gre隧道,所以模式也选为传输模式。

7.配置 crypto ipsec profile

 配置ipsec profile 关联 转换集和isakmp-profile。

8.配置 ip nhrp and mgre

这里有两个关键参数是与first way 截然不同的配置命令,也是最重要的命令。

mgre(多点gre)和nhrp(下一跳解析协议)

mgre支持一个hub(中心站点)同时连接多个spoken(分支站点),建立***隧道;支持hub(中心站点)为静态ip,各个spoken(分支站点)可以使用动态的ip。

nhrp主要作用是为Address Mapping (地址映像) 跟Resolution  (地址解析) 以方便Hub了解与Spoke之间下层Layer 2/3的实体地址与Tunnel Destination的动态地址。

主要命令:

ip nhrp authentication  //配置nhrp 认证密钥

ip nhrp network-id  //配置nhrp 网络序号

ip nhrp map  //配置nhrp 映射,主要是对中心站点的tunnel ip 与 中心站点外网口ip的映射关系

ip nhrp nhs  //分支站点上需配置,映射中心站点的tunnel ip

9.tunnel protection ipsec profile

此命令主要是在tunnel口启用ipsec,作用与crypto map类似。

10.show result

  

  

  

  

  

  

  

  

  

  

  

  

 查看各个站点之间*** 状态,都是up-active,部署***成功。

 

  

 

 抓包分析,站点之间的数据已经被esp加密,所以实施***是成功的。

 

---------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------

 结束语:

 

这两种配置的不同之处在于:

 

1)first way可以说是一种策略模式的×××,只有符合感兴趣流,才进行加密,而secondary way可以说是路由模式×××,只要我们通过路由,将流量引入隧道,这些流量都会进行加密.

2)first way需要在GRE隧道经过的物理接口上配置加密映射(crypto map),而secondary way就不需要加密映射了,方法二的映射是通过自己学习的,这样可以减少命令行的配置条目.

3)first way只有在有流量需要保护才会建立SA,而secondary way即使没有流量也会建立SA.

4)first way可以在隧道接口上配置GRE存活机制(keepalive),而secondary way不支持GRE存活机制.