GRE over IPSEC 同时NAT-T(PAT)

最新推荐文章于 2024-05-21 09:31:27 发布
最新推荐文章于 2024-05-21 09:31:27 发布
阅读量421 收藏 1
点赞数
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/464278
版权

1.拓扑图:

 

2.基本接口配置

R1:

R1(config)#int e0/0
R1(config-if)#ip add 10.1.1.1 255.255.2555.0
R1(config-if)#no sh

R1(config-if)#int l0
R1(config-if)#ip add 1.1.1.1 255.255.255.0

FW1:

pixfirewall(config)# int e0
pixfirewall(config-if)# ip add 10.1.1.10 255.255.255.0
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no sh

pixfirewall(config-if)# int e1
pixfirewall(config-if)# ip add 202.100.1.10 255.255.255.0
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# no sh

R2:

R2(config)#INT E0/0
R2(config-if)#ip add 202.100.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int e0/1
R2(config-if)#ip add 202.100.2.2 255.255.255.0
R2(config-if)#no sh

R3:

R3(config)#int e0/0
R3(config-if)#ip add 202.100.2.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#ip add 3.3.3.3 255.255.255.0
R3(config-if)#no sh


3.路由配置:

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10
pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 202.100.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.100.2.2

4.防火墙NAT及策略配置:

pixfirewall(config)#  access-list 10 permit ip 10.1.1.0 255.255.255.0 any 
pixfirewall(config)# nat (inside) 1 access-list 10
pixfirewall(config)# global (outside) 1 interface

pixfirewall(config)# access-list outside extended permit icmp any any 
pixfirewall(config-if)# access-group outside in interface outside 
 

备注:可以不用针对vpn放行udp的500和4500端口,所有的vpn流量可以由防火墙内部路由器动态路由协议触发,在R3看到的源端口不是4500,而是防火墙NAT的一个随机端口,并且防火墙会维护这个状态信息,返回的包不需要策略即可放行。


5.VPN配置

R1:

A.配置感兴趣流
R1(config)#ip access-list extended vpn 
R1(config-ext-nacl)#permit gre any any


B.配置第一阶段策略:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#group 2
R1(config-isakmp)#ha md
R1(config-isakmp)#en de
R1(config-isakmp)#au pr
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 202.100.2.3

C.配置第二阶段策略:
R1(config)#crypto ipsec transform-set transet esp-des esp-md5-hmac 

D.配置Crypto MAP:
R1(config)#crypto map crymap 10 ipsec-isakmp 
R1(config-crypto-map)#set peer 202.100.2.3
R1(config-crypto-map)#set transform-set transet
R1(config-crypto-map)#match address vpn

E.物理接口应用MAP:
R1(config)#int e0/0
R1(config-if)#crypto map crymap

R3:

A.配置感兴趣流

R3(config)#ip access-list extended vpn 
R3(config-ext-nacl)#permit gre any any

B.配置第一阶段策略:

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#en des
R3(config-isakmp)#ha md
R3(config-isakmp)#gr 2
R3(config-isakmp)#au pr
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco add 202.100.1.10

C.配置第二阶段策略:
R3(config)#crypto ipsec transform-set transet esp-des esp-md5-hmac 

D.配置Crypto MAP:
R3(config)#crypto map crymap 10 ipsec-isakmp 
R3(config-crypto-map)#set peer 202.100.1.10
R3(config-crypto-map)#set transform-set transet
R3(config-crypto-map)#match address vpn

E.物理接口应用MAP:
R3(config)#int e0/0
R3(config-if)#crypto map crymap

6.GRE及动态路由配置

R1:

R1(config)#int tunnel 0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#tunnel source ethernet 0/0
R1(config-if)#tunnel destination 202.100.2.3

R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 1.1.1.0 0.0.0.255 a 0
R1(config-router)#network 192.168.0.0 0.0.0.255 a 0

R3:

R3(config)#int tunnel 0
R3(config-if)#ip add 192.168.0.3 255.255.255.0
R3(config-if)#tunnel source ethernet 0/0
R3(config-if)#tunnel destination 10.1.1.1

备注:目标地址必须为R1实际接口地址,GRE被IPSEC包裹,如果目标地址写NAT后的地址,无法被R1识别。

R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 3.3.3.0 0.0.0.255 a 0
R3(config-router)#network 192.168.0.0 0.0.0.255 a 0
 





本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/837355,如需转载请自行联系原作者

weixin_34218579
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
GRE over IPsec
weixin_34087301的博客
11-02 102
----------------------------------上海分公司----------------------------------R6(config)#interface fastEthernet 0/0R6(config-if)#ip address 172.17.10.20 255.255.255.0R6(config-if)#no shR6(config...
GRE over IPSEC 同时NAT-T(Profile PAT)
weixin_33709590的博客
04-22 548
1.拓扑图:       参考:http://www.securityie.com/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=10;t=002501 2.基本接口配置: R1: int e0/0  ip add 10.1.1.1 255.255.255.0  no sh int l0  ip add 1.1.1.1 255.255....
IPSEC over GRE 同时NAT-T
weixin_33747129的博客
11-27 527
一.拓扑图: 二.基本接口配置: A.R1: int e0/0 ip add 10.1.1.1 255.255.2555.0 no sh int l0 ip add 1.1.1.1 255.255.255.0B.FW1: int e0 ip add 10.1.1.10 255.255.255.0 nameif inside...
CCIE-GRE over IPsec
fa_nei_kuang_tu的博客
09-03 451
2021.9..3 眼中虽有千万物,唯有此女扰心神 技术背景 传统的L2L IPSec VPN 只能靠静态路由的方式来构建所需路由条目. 当内部网络比较复杂的时候, 仍然使用静态路由的方式来部署是不实际的. 我们需要一种可以在两个内部网络之间直接运行动态路由协议的方法. 因此在两个内部网络之间需要一条虚拟的链路连接, 即GRE 隧道. 在隧道建立成功以后, 再通过IPSec 加密传输的数据来保证安全. 形成了 GRE over IPSec VPN. GRE (G
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
IPSEC+NAT+GRE+ACL+VOIP+SNMP配置
weixin_33757911的博客
12-12 265
IPSEC+NAT+GRE+ACL+VOIP+SNMP配置 vVLAN 10布暑windows服务器VLAN 20布暑LINUX服务器 VLAN 1网络管日志中心 VLAN 30 客户机 R7,R8分别是两个企业边界路由器 ISP-R6代表运营商路由器是不了解企业路由信息 v实现高可用内网互联,提供链路冗余,设备冗余VLA...
cisco GRE over ipsec -NAT环境(外网接口和loopback二种模式)
weixin_34187822的博客
09-20 559
一、IPSEC:二边静态和NAT-1-11.GRE Over IPSEC Ipterm3:172.99.99.2/24 GW:172.99.99.1Ipterm4:172.99.98.2/24 GW:172.99.98.1R3:F0/0 10.0.0.1 /24 nat inside F0/1:172.99.99.1/24 nat outsideR4:F0/0 10.1.1.2 ...
GRE over IPSEC
ikaros_fire的博客
10-17 3656
前提:路由可达,相互可通信。 GRE提供通道,IPSEC保护通道数据。 GRE over IPSECIPSEC over GRE 哪个好?肯定是前者。 在R2与R4之间建立tunnel,ipsec为tunnel数据加密,即GRE over IPSEC 起接口IP规则依旧是老样子:R1-R2,那么就是12.1.1.1-12.1.1.2,其余类似。 R2配置如下: R2#sh run Buildi...
两台Linux主机,通过GRE隧道并且PAT访问对方网络
weixin_33747129的博客
09-18 228
一.概述: 在实际工作中可能会出现,在两个不同区域的两台linux能够相互通讯,同时希望中间防火墙放行尽量少的策略,能通过对方linux主机作为跳板访问对方linux能够访问的资源,用vmware和GNS3搭建环境测试了一下,通过GRE隧道和PAT可以实现,现记录下来。(这种方式有背于安全域的思想,在实际工作中除非不得已还是建议少用)二.基本思路:A.为了体现效果,只是添加主机路由----linu...
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 233
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 310
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
云服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 551
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
netstat协议
lovemelovefish的博客
05-15 389
本机各端口的网络连接情况。
MQTT 异常断开(一)
最新发布
m0_50668851的博客
05-21 167
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
gre over ipsec 穿越nat配置
04-18
您好,关于gre over ipsec 穿越nat的配置,您可以参考以下步骤: 1. 在防火墙上开放 IPsec 协议和 GRE 协议的端口。 2. 需要为 GREIPsec 配置 NAT 规则,以确保可以访问相应的 IP 地址和端口。 3. 需要在双方的设备上设置 IP 地址和密钥。 如果您需要更详细的配置步骤,请提供更具体的信息,我会尽力为您解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值