配置IPSec策略,包括定义需要保护的数据流、配置IKE安全提议、配置keychain、配置profile、配置IPSec安全提议; 在接口上应用IPSec策略。 配置注意事项 配置GRE over IPSec时,与单独配置GRE、IPSec没有大的区别,唯一需要注意的地方是,通过ACL定义需要保护的数据流时,源地址与目的地址不能再配置为总部、分支的私网地址,而是...
ip route-static 192.168.2.0 24 Tunnel0 保护流是Gre的源、目的地址 acl advanced 3000 rule 0 permit gre source 1.1.1.1 0 destination 2.2.2.1 0 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 # ipsec policy 1 1 isakmp transform-set tran1 secu...
IPsec的RFC协议规范提到(IPsec:RFC2401-互联网协议的安全架构),IPsec定义了两种类型的SA:传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟,也是我们前面使用Windows系统测试的场景(Windows和H3C VSR对接IPsec VPN);隧道模式SA是两个安全网关之间的安全联盟,我们之前测试的设备对接大多是安全网关之间隧道模式的IPsec...
1.配置GRE,封装私网之间流量 2.配置路由OSPF,学习私网路由 3.配置NAT,使私网用户可以访问公网资源 4.配置IPSec,加密GRE封装的流量 RTA配置 [RTA]dis cu # ike peer rtb pre-shared-key simple aabbcc remote-address2.2.2.2\\指定对端Site公网IP # ipsec proposal pro esp authentication-algorithm sha1 esp...
内网Cisco路由器与云端H3C路由器建立GRE over IPsec,最终实现Tunnel接口互通; 为内网与云端运行动态路由协议(RIP、OSPF、ISIS、BGP)建立基础。 二、拓扑 image.png 拓扑中Cisco VPN路由器为旁挂到核心交换机部署,接口IP为私网IP; 如拓扑所示,Cisco VPN路由器访问互联网需经过两道NAT转换; ...
1 、一端有固定IP,另外一边是动态的,那么两个解决办法,一个是dynamic map,另外一个就是EZVPN了,但是EZVPN必须都是cisco产品,所以这样就没戏了,但是,dynaimc map 只能是Branch先发起流量才能建立VPN 2、需要实现双方都能发起流量,并且隧道一直存在,这样必须是GRE OVER IPSEC了。
3 GRE over IPSec配置举例 3.1 组网需求 设备A和设备 B之间建立GRE隧道Tunnel0,Tunnel0的网段为172.16.1.0/24。另外,我们还需要在GRE隧道上运行动态路由协议OSPF,使设备 A和设备 B彼此通过动态路由协议学习到对方站点身后网络路由(1.1.1.0/24和2.2.2.0/24)。最后配置IPSec VPN,以对两个站点间的GRE流量进行加密。
两台设备点对点建立GRE over IPsec VPN,是可以建立成功,并能运行一段时间,几分钟~十几分钟,然后就断开。 断开后, 华为路由器查看 display ipsec sa 发现还可以发包,但是不能收到包 H3C debug发现 重点是 无效的SPI, 不能找到SA by SP, SP mode is 3. 找华为开case查过,没特别的报错信息,说是华三这边的...
所以,必须使用一种技术来承载组播与广播包,这就是我们的Generic Routing Encapsulation (GRE),也就是我们常用的tunnel,它算是一个典型的VPN隧道技术,只是没有任何安全性可言,所以出现了GRE Over IPsec。SVTI技术是cisco 12.4推出的一个feature,让IPsec有一个静态的接口,这样就不需要借助任何协议,就可单独完成动态...
3)配置IPSec VPN # 配置IKE keychain。 [DeviceA] ike keychain keychain1 [DeviceA-ike-keychain-keychain1] pre-shared-key address202.115.24.50255.255.255.0key simple123# 创建ACL3000,定义需要IPsec保护的数据流。 [DeviceA] acl number3000[DeviceA-acl-adv-3000] rule0permit gre source202.115.22.480...