《GRE、IPsecVPN》由会员分享,可在线阅读,更多相关《GRE、IPsecVPN(3页珍藏版)》请在金锄头文库上搜索。
1、GRE(Generic Routing Encapsulation) ,支持将一种协议的报文封装在另一种的协议报文中, 可解决异种网络的传输问题,缺点是不安全 GRE 报文结构:EthernetIP GREIp/IPXPayloadR1: interface tunnel 0/0/1 ip add 40.1.1.1 24 tunnel-protocol grekeepalive 默认 5 秒 发送一次 ,如果 3 次未收到对端的消息,则 认为对端端口 down gre-key 123 设置 gre 接口验证,两端的验证必须相同 source 10.1.12.1 destination 10.1
2、.23.2?ip route-sattic 10.1.23.0 24 tunnel 0/0/1查看命令:display interface tunnel 0/0/1 IPSec 不是一个单独的协议,它通过 AH 和 ESP 这两个安全协议来实现 IP 数据报 的安全传 送 IKE 协议提供密钥协商,建立和维护安全联盟 SA 等服务。IPsec VPN 体系结构主要由 AH(Authentication Header) 、ESP(Encapsulation Security Payload)和 IKE(Internet Key Exchange)协议套件组成。1、AH 协议,主要提供的有数据源验
3、证、数据完整性校验和防报文重放功能。然而, 它并不加密所保护的数据报。2、ESP 协议,提供 AH 协议的所有功能外(但其数据完整性校验不包括 IP 头) ,还可 提供对 IP 报文的加密功能。3、IKE 协议,用于自动协商和 ESP 所使用的密码算法。安全联盟定义了 IPSec 对等体间将使用的数据 封装模式、认证和加密算法、密钥等参 数。安全联盟是单向的,两个对等体之间的双向通信,至少需要两个 SA。IPSec VPN 配置步骤:配置步骤: 1、配置网络可达、配置网络可达- 2、配置、配置 ACL 识别兴趣流识别兴趣流 3、创建安全提议、创建安全提议 4、创建安全策略、创建安全策略 5、应
4、用安全策略、应用安全策略建立 SA 有以下两种方式: 1、手工方式 2.、IKE 动态协商方式(1)手工方式配置 IPSec VPN ip route-static 10.1.2.0 24 20.1.1.2 acl 3001 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 quitipsec proposal huawei 创建安全建议,名字为 huawei esp authentication-algorithm sha2-256 quitipsec policy IPSEC 10 manua
5、l 创建安全策略,名字为 IPSEC,方式为手工 security acl 3001 tunnel local 61.0.0.2 tunnel remote 202.96.134.2 sa spi outbound esp 123456 sa spi inbound esp 654321 sa string-key outbound esp cipher AAAA sa string-key inbound esp cipher BBBBint s4/0/0 ipsec policy IPSEC查看命令:查看命令:display ipsec proposaldisplay ipsec policydiplay ipsec sadiplay ipsec statistic esp
