IPSEC over GRE 同时NAT-T(2)

最新推荐文章于 2023-08-04 15:38:16 发布
最新推荐文章于 2023-08-04 15:38:16 发布
阅读量125 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34390105/article/details/85074289
版权

1.拓扑图:

 

参考:http://wenku.baidu.com/view/76a0bd2ab4daa58da0114a8c.html

2.基本接口配置

R1:

R1(config)#int e0/0
R1(config-if)#ip add 10.1.1.1 255.255.2555.0
R1(config-if)#no sh

R1(config-if)#int l0
R1(config-if)#ip add 1.1.1.1 255.255.255.0

FW1:

pixfirewall(config)# int e0
pixfirewall(config-if)# ip add 10.1.1.10 255.255.255.0
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no sh

pixfirewall(config-if)# int e1
pixfirewall(config-if)# ip add 202.100.1.10 255.255.255.0
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# no sh

R2:

R2(config)#INT E0/0
R2(config-if)#ip add 202.100.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int e0/1
R2(config-if)#ip add 202.100.2.2 255.255.255.0
R2(config-if)#no sh

R3:

R3(config)#int e0/0
R3(config-if)#ip add 202.100.2.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#ip add 3.3
R3(config-if)#ip add 3.3.3.3 255.255.255.0
R3(config-if)#no sh


3.路由配置:

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10
pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 202.100.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.100.2.2


4.防火墙NAT及策略配置:

pixfirewall(config)#  access-list 10 permit ip 10.1.1.0 255.255.255.0 any
pixfirewall(config)# nat (inside) 1 access-list 10
pixfirewall(config)# global (outside) 1 interface
pixfirewall(config)# static (inside,outside) 202.100.1.101 10.1.1.1


pixfirewall(config)# access-list outside extended permit icmp any any
pixfirewall(config)# access-list outside extended permit gre host 202.100.2.3 host 202.100.1.101
pixfirewall(config-if)# access-group outside in interface outside

5.GRE及动态路由配置

R1:

R1(config)#int tunnel 0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#tunnel source ethernet 0/0
R1(config-if)#tunnel destination 202.100.2.3

R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 1.1.1.0 0.0.0.255 a 0
R1(config-router)#network 172.16.1.0 0.0.0.255 a 0
R1(config-router)#network 192.168.0.0 0.0.0.255 a 0

R3:

R3(config)#int tunnel 0
R3(config-if)#ip add 192.168.0.3 255.255.255.0
R3(config-if)#tunnel source ethernet 0/0
R3(config-if)#tunnel destination 202.100.1.101


R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 3.3.3.0 0.0.0.255 a 0
R3(config-router)#network 172.16.3.0 0.0.0.255 a 0
R3(config-router)#network 192.168.0.0 0.0.0.255 a 0

如果没有问题的话,ospf邻居能够成建立。

6.***配置

R1:

A.配置感兴趣流

R1(config)#ip access-list extended ***
R1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255

B.第一阶段策略:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#group 2
R1(config-isakmp)#ha md
R1(config-isakmp)#en de
R1(config-isakmp)#au pr
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco add 3.3.3.3

C.第二阶段策略:
R1(config)#crypto ipsec transform-set transet esp-des esp-md5-hmac

D.配置Crypto MAP:
R1(config)#crypto map crymap 10 ipsec-isakmp
R1(config-crypto-map)#set peer 202.100.2.3
R1(config-crypto-map)#set transform-set transet
R1(config-crypto-map)#match address ***
R1(config)#crypto map crymap local-address loopback 0

E.tunnel接口应用MAP:
R1(config)#int tunnel 0
R1(config-if)#crypto map crymap

R3:

A.配置感兴趣流

R3(config)#ip access-list extended ***
R3(config-ext-nacl)#permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255

B.第一阶段策略:
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption de
R3(config-isakmp)#ha md
R3(config-isakmp)#gr 2
R3(config-isakmp)#au pr
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco add 1.1.1.1

C.第二阶段策略:
R3(config)#crypto ipsec transform-set transet esp-des esp-md5-hmac

D.配置Crypto MAP:
R3(config)#crypto map crymap 10 ipsec-isakmp
R3(config-crypto-map)#set peer 1.1.1.1
R3(config-crypto-map)#set transform-set transet
R3(config-crypto-map)#match address ***

E.tunnel接口应用MAP:
R3(config)#int tunnel 0
R3(config-if)#crypto map crymap

H3C IPsec over GRE VPN 实验
M建的博客
10-11 1055
配置 IPsec over GRE VPN 来连通两端内网
CCIE-GRE over IPsec
fa_nei_kuang_tu的博客
09-03 513
2021.9..3 眼中虽有千万物,唯有此女扰心神 技术背景 传统的L2L IPSec VPN 只能靠静态路由的方式来构建所需路由条目. 当内部网络比较复杂的时候, 仍然使用静态路由的方式来部署是不实际的. 我们需要一种可以在两个内部网络之间直接运行动态路由协议的方法. 因此在两个内部网络之间需要一条虚拟的链路连接, 即GRE 隧道. 在隧道建立成功以后, 再通过IPSec 加密传输的数据来保证安全. 形成了 GRE over IPSec VPN. GRE (G
IPSEC over GRE 同时NAT-T
weixin_33747129的博客
11-27 583
一.拓扑图: 二.基本接口配置: A.R1: int e0/0 ip add 10.1.1.1 255.255.2555.0 no sh int l0 ip add 1.1.1.1 255.255.255.0B.FW1: int e0 ip add 10.1.1.10 255.255.255.0 nameif inside...
GRE over IPsec
weixin_34087301的博客
11-02 122
----------------------------------上海分公司----------------------------------R6(config)#interface fastEthernet 0/0R6(config-if)#ip address 172.17.10.20 255.255.255.0R6(config-if)#no shR6(config...
华为GRE_OVER_IPSEC
weixin_34111790的博客
09-25 296
配置如下[AR1]dispcur[V200R003C00]#sysnameAR1#snmp-agentlocal-engineid800007DB03000000000000snmp-agent#clocktimezoneIndianStandardTimeminus05:13:20clockdaylight-saving-timeDay...
GRE over IPSEC 同时NAT-T(PAT)
weixin_34126557的博客
04-18 129
1.拓扑图:   2.基本接口配置 R1: R1(config)#int e0/0 R1(config-if)#ip add 10.1.1.1 255.255.2555.0 R1(config-if)#no sh R1(config-if)#int l0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 FW1: ...
Vyos IPsec Server 对接 Huawei 路由器 IPsec Client(GRE Over IPsec
taylorgogo
06-02 472
Vyos Static IP IPSec Server Huawei Dynamic IP IPSec Client配置模板
CentOS下实现GRE over IPsec
Arcticking
09-25 3031
本文IPsec部分参考 sqzhao 的CSDN 博客 ,原文地址请点击:https://blog.csdn.net/sqzhao/article/details/76093994?utm_source=copy   一、方案背景     两台centos7服务器构建安全的VPN通道实现内网互通,IPsec接收端需要有弹性IP且安全组放通发起端的UDP500和UDP4500端口。 二、IP规...
两台出口路由器之间GREOVERIPSEC+NAT+OSPF.pdf
12-02
两台出口路由器之间GREOVERIPSEC+NAT+OSPF.pdf
使用Jmeter报错“java version is too low to run Jmeter”
最新发布
weixin_60157049的博客
08-04 1262
Jmeter3.x版本需要java1.8.x以上版本兼容。
centos7搭建gre over ipsec环境
wh_computers的博客
05-24 1443
为了学习ipsec协议,现在需要构造ipsec流量,这里是用ipsec协议封装gre协议 A over B 表示B是底层,A是上层,所以ipsec报文头在gre协议头前面 搭建ipsec环境之前需要先搭建gre环境,参考教程centos7搭建GRE隧道进行通信 根据gre协议搭建教程,两台服务器已经可以通过隧道进行通信,现在只需要对ip层进行加密即可 环境搭建 1.两台服务器都需要做的准备工作 # 1.安装ipsec yum install libreswan # 2.初始化 ipsec i
IPsecNAT穿越详解
热门推荐
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
IPSec NAT穿越原理
qq_32044265的博客
11-30 3437
IPSec 隧道的两个网关上同时开启 NAT 穿越功能(对应命令行 nat traversal)。开启 NAT 穿越功能后,当需要穿越 NAT 设备时, ESP 报文会被封装在一个 UDP 头中,源和目的端口号均是 4500。
5. 详解: IPsec 穿越 NAT 之道
weixin_38387929的博客
06-05 5556
1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议分为AH及ESP,封装模式分为传输模式及隧道模式,也知道由于NAT会对IP头进行修改导致AH协议下的IPsec不能穿越NAT。 那么ESP协议能不能穿越NAT?ESP协议对数据进行完整性检查,不包括外部的IP头,IP地址转换不会破坏ESP的Hash值。但ESP报文中TCP/UDP的端口已经加密无法修改,所以对于同时转换端口及IP地址的NAT来说,ESP无法穿越NAT。如果NAT只转换I
IPSec OVER GRE 穿越 NAT
weixin_33932129的博客
06-24 562
http://www.worlduc.com/UploadFiles/BlogFile/23/724970/ipsec%20over%20gre%20穿越%20nat.swf 转载于:https://blog.51cto.com/fatal/595366
JMeter安装遇到的问题
weixin_30363817的博客
02-03 1353
1、Java版本太老 错误信息: Error: Java version is too low to run JMeter. Needs at least Java >= 1.8.0. 解决方法: 安装Java8 2、找不到Java路径 错误信息: Not able to find Java executable or version. Please check your Ja...
关于Jmeter安装时遇到的问题记录
weixin_30755709的博客
06-06 689
1、首先,Jmeter安装时,需要jDK环境,通过命令验证jdk环境。 2、在jdk环境具备的情况下,在Jmeter官网下载了最新版本的Jmeter5.1.1.设置环境 变量。在计算机-属性-高级系统设置-环境变量。新建系统环境变量,变量名“JMATER_HOME”,值是下载的jmeter路径。 在系统变量中配置classpath路径:%JMETER_HOME%\lib\ext\...
GRE over IPsecIPsec over GRE的区别
05-01
GRE over IPsecIPsec over GRE都是将GRE和IPsec两种协议结合使用的技术,但它们的实现方式有所不同。 - GRE over IPsec:GRE在IPsec协议的封装下进行传输。这种技术可以提供GRE协议的优点,如多协议支持和路由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值