需求:
通过配置A、B两台路由器的GRE over IPSec,实现两地内网网段互通。
说明:
1、所有设备使用默认HCL模拟器配置。
2、使用的是路由器做的。
3、类型是Gre over IPSec。
4、以上只介绍了A路由器的Gre over IPSec主体配置,B设备与A相同写法,acl和ike、IPSec policy里面的IP地址反过来写就行。
5、必须确保A、B两端的内网PC可以ping通“ISP”设备左右两个接口的IP,也就是两端内网PC可以“正常上网”(必要前提)。
拓扑:
实验步骤(可跟做):
1、配置Gre隧道
interface Tunnel10 mode gre
ip address 5.5.5.5 255.255.255.0
source 1.1.1.1
destination 2.2.2.1
2、配置一个访问控制列表3000,定义由子网1.1.1.0/24去子网2.2.2.0/24的数据流,封装GRE数据流。
acl advanced 3000
rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
3、配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换。
acl advanced 3001
rule 0 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
rule 1 permit ip
4、创建一条IKE提议1,指定IKE提议使用的认证算法、加密算法。
ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5
5、创建并配置IKE keychain,名称为RTA,配置对端IP地址为2.2.2.1,配置预共享密钥。
ike keychain RTA
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c33xHsrm5lw7KJa0ahmRrPr0olZWVXYyhhO7Aa/
6、创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.1.1.1,对端地址为对端公网接口地址2.2.2.1,调用之前配置IKE提议1
ike profile RTA
keychain RTA
local-identity address 1.1.1.1
match remote identity address 2.2.2.1 255.255.255.0
proposal 1
7、配置IPsec安全提议1,指定ESP协议采用的加密算法、认证算法类型。
ipsec transform-set 1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
8、创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.2.2.1,引用之前创建的ACL3000,引用之前创建的IKE profile RTA,引用之前的IPSec安全提议1
ipsec policy RTA 1 isakmp
transform-set 1
security acl 3000
remote-address 2.2.2.1
ike-profile RTA
9、设置外网口做NAT转换的时候关联ACL 3001,并将IPSec安全策略RTA应用在外网接口
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 1.1.1.1 255.255.255.0
nat outbound 3001
ipsec apply policy RTA
10、配置到对端内网的路由,下一跳抛给Gre隧道。
ip route-static 172.16.20.0 24 Tunnel10 description ipSec to B-lan
测试结果:
A、B两地局点内网网段成功互通。
题外话:HCL模拟器更新到现在任然有些许bug,比如配置dhcp或者路由、PC配置IP地址或者dhcp获取IP,往往不重启HCL里面的虚拟设备,是不生效的,有时候往往需要关闭再重开两道三次,才能正常up端口,或者让pc使用dhcp获取IP,不过好在还可以忍受。。。因为重启虚拟设备花不了很多时间。