Cisco路由器配置GREoverIPsec-创新互联

创新互联公司制作网站网页找三站合一网站制作公司,专注于网页设计,成都网站设计、成都网站建设,网站设计,企业网站搭建,网站开发,建网站业务,680元做网站,已为上1000家服务,创新互联公司网站建设将一如既往的为我们的客户提供最优质的网站建设、网络营销推广服务!

拓扑图

实验目的：

通过CRE over IPsec的方式实现R1网段：172.16.10.0/24和R2网段：172.17.10.0/24通信加密。

由于IPsec ×××不支持组播，而GRE支持多种协议，所以一般情况下会选择GRE over IPsec。

配置思路：

1. 通过ACL设置感兴趣流

2. 配置IKE第一阶段

3. 配置IKE第二阶段

4. 新建MAP，并应用于接口

5. 设置路由，下一跳为tunnel 0

配置：

R1：

配置接口IP信息

interface Loopback0
 ip address 172.16.10.1 255.255.255.0
 no shu
exit
interface FastEthernet0/0
 ip address 200.1.1.1 255.255.255.0
 no shut
exit
interface Tunnel0
 ip address 1.1.1.1 255.255.255.0
 tunnel source 200.1.1.1
 tunnel destination 200.1.1.2

配置ACL

ip access-list extended ipsec-acl-1
 permit ip host 200.1.1.1 host 200.1.1.2 log
 exit

配置IKE第一阶段

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5
 lifetime 86400
 exit

配置IKE第一阶段密码

crypto isakmp key 6 tommy address 200.1.1.2  //由于是模拟器上操作了，实际路由器可能不需要key后面的6
exit

配置IKE第二阶段

crypto ipsec transform-set SET-1 esp-3des esp-md5-hmac 
mode transport        //注意，当做NAT穿越时，只能使用transport模式
exit

配置MAP

crypto map MAP-1 10 ipsec-isakmp 
 set peer 200.1.1.2
 set transform-set SET-1 
 match address ipsec-acl-1
exit

将MAP应用于接口

interface FastEthernet0/0
 crypto map MAP-1
exit

配置路由

ip route 172.17.10.0 255.255.255.0 1.1.1.2

R2：

配置接口IP信息

interface Loopback0
 ip address 172.17.10.1 255.255.255.0
 no shu
exit
interface FastEthernet0/0
 ip address 200.1.1.2 255.255.255.0
 no shut
exit
interface Tunnel0
 ip address 1.1.1.2 255.255.255.0
 tunnel source 200.1.1.2
 tunnel destination 200.1.1.1

配置ACL

ip access-list extended ipsec-acl-1
 permit ip host 200.1.1.2 host 200.1.1.1 log
 exit

配置IKE第一阶段

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5
 lifetime 86400
 exit

配置IKE第一阶段密码

crypto isakmp key 6 tommy address 200.1.1.1  //由于是模拟器上操作了，实际路由器可能不需要key后面的6
exit

配置IKE第二阶段

crypto ipsec transform-set SET-1 esp-3des esp-md5-hmac 
mode transport
exit

配置MAP

crypto map MAP-1 10 ipsec-isakmp 
 set peer 200.1.1.1
 set transform-set SET-1 
 match address ipsec-acl-1
exit

将MAP应用于接口

interface FastEthernet0/0
 crypto map MAP-1
exit

配置路由

ip route 172.16.10.0 255.255.255.0 1.1.1.1

此时配置完毕。

验证：

ping包

R1#ping 172.17.10.1 source 172.16.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.17.10.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.10.1 
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 62/65/72 ms
R1#

抓包：

路由跟踪：

R1#traceroute 172.17.10.1 source 172.16.10.1
Type escape sequence to abort.
Tracing the route to 172.17.10.1
  1 1.1.1.2 72 msec 68 msec 84 msec
R1#

GRE over IPsec 配置成功。

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

分享题目：Cisco路由器配置GREoverIPsec-创新互联
分享网址：http://bjjierui.cn/article/gdgcp.html