Ipsec vpn连接模型---GRE模型

范堡 发布于 2009/05/05 15:52
阅读 834
收藏 0

今天终于完成项目实施方案的初稿了,所以就有时间写了最近几个实验的总结。
在ipsec中应用GRE是为了使隧道能传输组播和广播,但还有一点,也许很多人没有注意到,使用GRE over ipsec的星型架构,可以极大地简化vpn的设计。所有的用户数据流都被封装到隧道中。但在配置的时候需要注意一些细节的东西,往往这些东西才是成败的关键,这篇文章也是着重讲述这些细节的。更进一步说是关于ipsec星型架构GRE模型配置中的细节问题。
Ipsec星型架构GRE模型(比较绕口,暂时就先这么叫吧)有三种连接方式:1、用静态协议 2、用动态协议---tunnel借用接口ip 3、用动态路由协议---给tunnel配置接口ip。或许叫3种配置方式更确切些。一下就来分别说明这三种方式
这里着重讲2和3
拓扑图如下
 

Tunnel的线画的不太确切,知道什么意思就行了。
一、 用静态协议配置GRE over ipsec
用静态路由连接hub和spoke的配置比较简单,需要注意的是双方路由的配置:到对方被保护网段的下一跳是tunnel接口,还有就是ACL的配置

R2的配置

hostname client-R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys

!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set cisco esp-3des esp-sha-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp 
 set peer 1.1.1.1
 set transform-set cisco 
 match address 101
!
!
!
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 tunnel source 172.16.2.1
 tunnel destination 1.1.1.1
!
interface FastEthernet0/0
 ip address 172.16.2.1 255.255.255.0
 duplex auto
 no sh
 speed auto
 crypto map vpn
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/1
 no ip address
 shutdown 
 duplex auto
 speed auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!         
interface Serial2/4
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/5
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/6
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/7
 no ip address
 shutdown
 serial restart-delay 0
!
ip forward-protocol nd
ip route 1.1.1.0 255.255.255.0 172.16.2.2
ip route 4.4.4.4 255.255.255.255 Tunnel0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
access-list 101 permit gre host 172.16.2.1 host 1.1.1.1
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
gatekeeper
 shutdown 
!
!
line con 0
 logging synchronous
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login
!
!
end

client-R2#

R3的配置:
hostname client-GW
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
!
!         
!
!
!
!
!
!
!
!
!
!
!
!
!
!

!
!
!
!
interface FastEthernet1/0
!
interface FastEthernet1/1
 no switchport
 no sh
 ip address 1.1.1.2 255.255.255.0
!
interface FastEthernet1/2
 no switchport
 no sh
 ip address 172.16.1.2 255.255.255.0
!
interface FastEthernet1/3
 no switchport
 no sh
 ip address 172.16.2.2 255.255.255.0
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
 no ip address
!
ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 FastEthernet1/1
!
!
!
!
!
!         
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
!
!
end

client-GW#

R4的配置:
server-GW#sh run
Building configuration...

Current configuration : 2523 bytes
!
upgrade fpd auto
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname server-GW
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys

!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 172.16.1.1
crypto isakmp key cisco address 172.16.2.1
!
!
crypto ipsec transform-set cisco esp-3des esp-sha-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp 
 set peer 172.16.1.1
 set transform-set cisco 
 match address 101
crypto map vpn 20 ipsec-isakmp 
 set peer 172.16.2.1
 set transform-set cisco 
 match address 102
!
!
!
!
!
!
!
interface Loopback0
 ip address 4.4.4.4 255.255.255.0
!
interface Tunnel0
 ip unnumbered FastEthernet1/0
 tunnel source 1.1.1.1
 tunnel destination 172.16.1.1
!
interface Tunnel1
 ip unnumbered FastEthernet1/0
 tunnel source 1.1.1.1
 tunnel destination 172.16.2.1
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 no sh
 speed auto
!
interface FastEthernet1/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 no sh
 speed auto
 crypto map vpn
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/4
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/5
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/6
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/7
 no ip address
 shutdown
 serial restart-delay 0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet1/1
ip route 2.2.2.2 255.255.255.255 Tunnel1
ip route 5.5.5.5 255.255.255.255 Tunnel0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
access-list 101 permit gre host 1.1.1.1 host 172.16.1.1
access-list 102 permit gre host 1.1.1.1 host 172.16.2.1
!
!
!
!
!         
!
control-plane
!
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 logging synchronous
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login
!
!
end       

server-GW#

R5的配置:
client-R5#sho run
Building configuration...

Current configuration : 2159 bytes
!
upgrade fpd auto
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname client-R5
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys

!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set cisco esp-3des esp-sha-hmac 
 mode transport
!
crypto map vpn 10 ipsec-isakmp 
 set peer 1.1.1.1
 set transform-set cisco 
 match address 101
!
!
!
!
!
!
!
interface Loopback0
 ip address 5.5.5.5 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 tunnel source 172.16.1.1
 tunnel destination 1.1.1.1
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 no sh
 speed auto
 crypto map vpn
!
interface FastEthernet1/1
 no ip address
 shutdown 
 duplex auto
 speed auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!         
interface Serial2/4
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/5
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/6
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/7
 no ip address
 shutdown
 serial restart-delay 0
!
ip forward-protocol nd
ip route 1.1.1.0 255.255.255.0 172.16.1.2
ip route 4.4.4.4 255.255.255.255 Tunnel0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
access-list 101 permit gre host 172.16.1.1 host 1.1.1.1
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
gatekeeper
 shutdown 
!
!
line con 0
 logging synchronous
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login
!
!
end

client-R5#
静态路由的配置比较简单,这里就不多说了配置完后看一下加密流量就可以了,还可以配置tunnel的keepalive来增强可用性。








加载中
返回顶部
顶部