《greoveripsec原理和配置》由会员分享,可在线阅读,更多相关《greoveripsec原理和配置(3页珍藏版)》请在金锄头文库上搜索。
1、greoveripsec这里首先补充一下知识吧:1 Ipsec中有2种封装模式:一种是隧道模式,一种是传输模式;当我们使用GREOVERipsec时,如果使用隧道模式的话,会多封装20个字节的ESP头部,其与GRE添加而头部ip完全相同,故而,在GREoveripsecB,建议使用传输模式。(主要是通讯点和传输点之间的关系)2 配置greoveripsec的时候,可以选择两种的方法,这里都会介绍和给出配置,建议使用第二种方法。3 .第二种配置GREoveEPsecfi勺方式:profileProfile可以看做是GREtunnel中的一种保护机制,在使用pro巾le时,无需配置感兴趣流,无需s
2、etpeer,如下操作即可:第一种方法:R1:!hostnameR1!cryptoisakmppolicy10hashmd5authenticationpre-sharegroup2!cryptoipsectransform-setmytransesp-3desesp-md5-hmacmodetransport!cryptomapmymap10ipsec-isakmpsettransform-setmytransmatchaddressVPNinterfaceTunnel0tunnelsourceFastEthernet0/0tunnelkey123!interfaceLoopback10!i
3、nterfaceFastEthernet0/0duplexautospeedautocryptomapmymap!routerospf1log-adjacency-changes!ipaccess-listextendedVPN!EndR2配置:hostnameR2!interfaceLoopback0!interfaceFastEthernet0/0duplexautospeedauto!interfaceFastEthernet1/0duplexautospeedauto!EndR3配置:hostnameR3!cryptoisakmppolicy10hashmd5authenticatio
4、npre-sharegroup2!cryptoipsectransform-setmytransesp-3desesp-md5-hmacmodetransport!cryptomapmymap10ipsec-isakmpsettransform-setmytransmatchaddressVPN!interfaceTunnel0tunnelsourceFastEthernet0/0tunnelkey123!interfaceLoopback10!interfaceFastEthernet0/0duplexautospeedautocryptomapmymaprouterospf1log-adj
5、acency-changes!noiphttpservernoiphttpsecure-server!ipaccess-listextendedVPN!End第二种方法:在1实验中的基础上,删徐mymap,access-listVPNfc接口上删徐map的应用。然后:1 创建profilecryptoipsecprofilevpnProsettransform-setmytrans2 在tunnel接口上应用interfaceTunnel0tunnelprotectionipsecprofilevpnProR1和R2都做相同的配置实验须然简单,但是还是要知道原理的。原理解析:R1上pingR3
6、:1 .查路由表转发2 .口,要GR田装。3 .Tunnel0口的tunneldestination是0/0出去。4 .在F0/0下有一个map,map内面绑定的ipaccess-listVPN条件从5 .满足,所以要ipsec封装再出去。6 .全过程,tunnel-f0/0-ipsec封装-出去如果是用profile,那么路由又是怎么走的昵?profile没有map,没有ipaccess-listVPNR1上pingR3:1. 查路由,走tunnel。,要GREM装。2. Tunnel。上有profile,所以凡是走tunnel。的数据都要保护。tunneldestination是IPSEC寸装。3. 从F0/0出去
