拓扑
简介
PS:Center是cisco的设备,有固定的IP,但是Branch端是H3C的设备,没有固定IP,是通过ADSL上网的,而他们需要实现无论什么时候都能访问双方的资源,因为存在VOIP电话。现在问题来了
1 、一端有固定IP,另外一边是动态的,那么两个解决办法,一个是dynamic map,另外一个就是EZVP*了,但是EZVP*必须都是cisco产品,所以这样就没戏了,但是,dynaimc map 只能是Branch先发起流量才能建立VP*
2、需要实现双方都能发起流量,并且隧道一直存在,这样必须是GRE OVER IPSEC了。
解决办法:我们可以在双方各自建立一个环回口,然后tunnel 的源和目的都是各自的环回口 ,然后感兴趣流量就是匹配这个gre的流量,运行动态路由协议,这样就变相的形成了gre over ipsec,因为动态路由协议会发送hello包,就触发了VP*的建立,其实还是Branch先行发起。这个幸亏在平时喜欢琢磨下一些特殊的VP*案例,所以 解决起来不是很难。
Center端的配置
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ccieh3c.com address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto dynamic-map dyl2l 1000
set transform-set trans
!
!
crypto map dyl2l 1000 ipsec-isakmp dynamic dyl2l
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
ip address 172.16.1.1 255.255.255.0
tunnel source Loopback0
tunnel destination 3.3.3.3
ip ospf hello-interval 120
ip mtu 1436
ip tcp adjust-mss 1410
!
interface FastEthernet0
ip address 61.11.xx.xx 255.255.255.248
duplex auto
speed auto
crypto map dyl2l
!
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
network 172.16.1.1 0.0.0.0 area 11
network 192.168.2.0 0.0.0.255 area 11
network 192.168.3.0 0.0.0.255 area 11
!
ip route 0.0.0.0 0.0.0.0 61.11.xx.xx
Branch端的配置 (H3C)
ike peer center
pre-shared-key cipher ccieh3c.com
remote-address 61.11.XX.XX
#
ipsec proposal 1
acl number 3000
rule 0 permit gre source 3.3.3.3 0 destination 1.1.1.1 0
#
ipsec policy center 1000 isakmp
security acl 3000
ike-peer center
proposal 1
#interface Dialer1
link-protocol ppp
ppp pap local-user XXXXXX password simple XXXX
ip address ppp-negotiate
dialer user XXXXX
dialer-group 1
dialer bundle 1
ipsec policy center
mtu 1492
tcp mss 1450
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
interface Tunnel0
ip address 172.16.1.2 255.255.255.0
source LoopBack0
destination 1.1.1.1
ospf timer hello 120
mtu 1436
tcp mss 1410
ospf 1 router-id 3.3.3.3
area 0.0.0.11
network 172.16.1.2 0.0.0.0
network 192.168.3.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 Dialer1
总结
传统的 Gre Over IPSec封装是transport模式, 因为 | 新IP头部| ESP| GRE | 私网IP头部| data
这里封装是 | 新的头部 |ESP |GRE的源目IP | GRE | 私网头部 | data
触发过程:这里注意,无论什么时候都是分部先行发起的,因为总部根本不知道可以和谁连接VP*,分部的OSPF周期性的发送hello包,它是包裹在GRE里面,而GRE的源目是host 3.3.3.3 host 1.1.1.1 ,这里就匹配了感兴趣流量,就直接进行ESP的封装,然后,产生新的头部,源是Branch端的,目的是Center端的IP,到达Center后,Center查看策略是否匹配,然后预共享密钥的地址是和任何人建立,可以通过,感兴趣流量复制Branch端的,这里为镜像,有了感兴趣流量,双方的OSPF就能正常建立了,可以查看刚刚show crypto ipsec sa,ACL的是匹配1.1.1.1 3.3.3.3 47 (协议)
优化
1、这里注意VP*封装后,产生的新的头部,所以一般容易超出MTU的,所以建议修改,这样不会进行分片,不分片的话,节省了路由器的资源。
2、另外就是路由协议的hello包时间,默认是10s,这样是在公网上传输的,并且双方好需要加解密,这样对于带宽的资源消耗和路由器都是个负担,所以建议修改长点。
这些特殊案例不是什么时候都需要的,但是又存在,所以建议大家都了解下封装结构,其实了解了封装结构,就知道怎么去建立一些特殊需求的VP*,也知道路由怎么解决。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
