使用路由器构建 GRE over IPsec VPN
【实验名称】
使用路由器构建 GRE over IPsec VPN
【实验目的】
学习配置站点到站点(Site-to-Site)的 GRE over IPsec VPN,加深对 GRE 与 IPsec 的理解。
【背景描述】
假设北京的某公司在上海开了新的分公司,分公司要远程访问总公司的各种网络资源,例如:CRM 系统、FTP 服务器等。在 Internet 上传输数据本身存在安全隐患,这家公司希望通过 IPsec VPN 技术实现数据的安全传输。由于总公司和分公司之间需要共享路由信息,所以还要使用 GRE。
【需求分析】
需求: 解决上海分公司和北京总公司之间通过 Internet 进行路由信息共享和信息安全传输的问题
分析: IPsec VPN 技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在 Internet 网络传输的安全性,是目前最安全、使用最广泛的 VPN 技术。GRE 支持对组播和广播数据的封装,可用于封装路由协议报文。因此我们可以通过建立GRE over
IPsec VPN 的加密隧道,实现分公司和总公司之间的路由信息共享和信息安全传输。
【实验拓扑】
【实验设备】 路由器 3 台 PC 2 台
【预备知识】 网络基础知识
路由协议基础知识 VPN
10
基础知识网络安全基础知识 GRE 工作原理 IPsec 工作原理 IKE 工作原理
【实验原理】
GRE(Generic Routing Encapsulation,通用路由封装)协议是一个隧道协议,使用 IP
协议号 47。GRE 通常用来构建站点到站点的 VPN 隧道,它最大的优点是可以对多种协议、多种类型的报文进行封装,并在隧道中传输。但是 GRE 不提供对数据的保护(例如加密),它只提供简单的隧道验证功能。
IPsec(IP security,IP 安全性)的主要作用是为 IP 数据通信提供安全服务。IPsec 不是一个单独协议,它是一套完整的体系框架,包括 AH、ESP 和 IKE 三个协议。IPsec 使用了多种加密算法、散列算法、密钥交换方法等为 IP 数据流提供安全性,它可以提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。
但是由于 IPsec 不能够对组播报文进行封装,所以通常的路由协议报文无法在 IPsec 隧道中传输。这时我们可以结合使用 GRE 与 IPsec,利用 GRE 对用户数据和路由协议报文进行隧道封装,然后使用 IPsec 来保护 GRE 隧道的安全,即 GRE over IPsec VPN。
【实验步骤】
第一步:配置 Internet 路由器 R3
R3#configure terminal
R3(config)#interface fastEthernet 1/0
R3(config-if)#ip address 1.1.1.2 255.255.255.252 R3(config-if)#exit
R3(config)#interface fastEthernet 1/1
R3(config-if)#ip address 2.2.2.2 255.255.255.252 R3(config-if)#exit
第二步:配置 R1 与 R2 的 Internet 连通性
R1#configure terminal
R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 1.1.1.1 255.255.255.252 R1(config-if)#exit
R1(config)#interface fastEthernet 1/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
R2#configure terminal
R2(config)#interface fastEthernet f1/1
R2(config-if)#ip address 2.2.2.1 255.255.255.252 R2(config-if)#exit
11
R2(config)#interface fastEthernet 1/0
R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.2
第三步:配置 R1 的 GRE 隧道
R1(config)#interface tunnel1
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#tunnel source fastEthernet1/0 !配置隧道的源接口或源地址 R1(config-if)#tunnel destination 2.2.2.1 !配置隧道的目的地址 R1(config-if)#tunnel key 1234567 !配置隧道验证密钥 R1(config-if)#exit
第四步:在 R1 上启用 RIPv2 路由协议
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 10.0.0.0 !在 GRE 隧道接口启用 RIPv2 R1(config-router)#network 192.168.1.0 !在内部接口启用 RIPv2 R1(config-router)#exit
第五步:配置 R2 的 GRE 隧道
R2(config)#interface tunnel1
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#tunnel source fastEthernet1/1 !配置隧道的源接口或源地址 R2(config-if)#tunnel destination 1.1.1.1 !配置隧道的目的地址 R2(config-if)#tunnel key 1234567 !配置隧道验证密钥 R2(config-if)#exit
第六步:在 R2 上启用 RIPv2 路由协议
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.0.0.0 !在 GRE 隧道接口启用 RIPv2 R2(config-router)#network 192.168.2.0 !在内部接口启用 RIPv2 R2(config-router)#exit
第七步:配置 R1 的 IKE 参数
R1(config)#crypto isakmp policy 1 !创建 IKE 策略 R1(isakmp-policy)#encryption 3des !使用 3DES 加密算法 R1(isakmp-policy)#authentication pre-share !使用预共享密钥验证方式 R1(isakmp-policy)#hash sha !使用 SHA-1 算列算法
12
R1(isakmp-policy)#group 2 !使用 DH 组 2 R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 0 1234567 address 2.2.2.1 !配置预共享密钥第八步:配置 R1 的 IPsec 参数
R1(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac !配置 IPsec 转换集,使用 ESP 协议,3DES 算法和 SHA-1 散列算法 R1(cfg-crypto-trans)#mode transport !配置 IPsec 工作模式为传输模式 R1(cfg-crypto-trans)#exit
R1(config)#access-list 100 permit 47 host 1.1.1.1 host 2.2.2.1 !配置加密访问控制列表,使用 GRE 协议(47)作为触发流量 R1(config)#crypto map to_r2 1 ipsec-isakmp !配置 IPsec 加密映射 R1(config-crypto-map)#match address 100 !引用加密访问控制列表 R1(config-crypto-map)#set transform-set 3des_sha !引用 IPsec 转换集 R1(config-crypto-map)#set peer 2.2.2.1 !配置 IPsec 对等体地址 R1(config-crypto-map)#exit
R1(config)#interface fastEthernet1/0
R1(config-if)#crypto map to_r2 !将 IPsec 加密映射应用到接口 R1(config-if)#exit
第九步:配置 R2 的 IKE 参数
R2(config)#crypto isakmp policy 1 R2(isakmp-policy)#encryption 3des
R2(isakmp-policy)#authentication pre-share R2(isakmp-policy)#hash sha R2(isakmp-policy)#group 2 R2(isakmp-policy)#exit
R2(config)#crypto isakmp key 0 1234567 address 1.1.1.1
第十步:配置 R2 的 IPsec 参数
R2(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac
R2(cfg-crypto-trans)#mode transport !配置 IPsec 工作模式为传输模式 R2(cfg-crypto-trans)#exit
R2(config)#access-list 100 permit 47 host 2.2.2.1 host 1.1.1.1 !配置加密访问控制列表,使用 GRE 协议(47)作为触发流量 R2(config)#crypto map to_r1 1 ipsec-isakmp R2(config-crypto-map)#match address 100
R2(config-crypto-map)#set transform-set 3des_sha R2(config-crypto-map)#set peer 1.1.1.1 R2(config-crypto-map)#exit
R2(config)#interface fastEthernet1/0 R2(config-if)#crypto map to_r1 R2(config-if)#exit
13
相关推荐:
loading