是开启的
因此应当始终遵循的是:在IPSEC架构中,这些流量必须被ACL放行。 ACL语句示例如:
per udp host 1.1.1.1 host 2.2.2.2 eq 500 per esp host 1.1.1.1 host 2.2.2.2 per gre host 1.1.1.1 host 2.2.2.2
在路由器上如果NAT-T被关闭,使用cry ipsec nat-tans udp-encaps命令开启
在此例中,有三个问题需要处理: 1、WAN是IP骨干网,GRE使用IPX300 2、两端运行动态路由协议,需要相互学习 3、端点之间流量需要被保护
配置要点:
1、两端配置GRE隧道,很简单,使用tunnel虚拟接口,指定源和目的端,以处理IP和IPX的问题。 2、将虚拟接口IP地址通告到动态路由协议中,动态路由协议将通过TUNNEL网络学习到对端的路由。 3、配置IPSEC,这里很简单,cry acl只需要保护TUNNRL流量即可。在一个点到点的连接中, IPSEC使用传输模式
4、记得在外部接口允许IPSEC和GRE的流量
基本配置:提示,上面是一个标准拓扑,在实验中我做了简化,这里密钥WAN中的设备存在,两端的WAN接口是处在同一网段的。 R1:
crypto isakmp policy 10 authentication pre-share group 2
crypto isakmp key cisco123 address 192.1.1.2 ! !
crypto ipsec transform-set cisco esp-des esp-sha-hmac !
crypto map mymap 10 ipsec-isakmp set peer 192.1.1.2 set transform-set cisco match address 101
!interface Loopback0
ip address 192.168.1.1 255.255.255.0 !
interface Tunnel0
ip address 193.1.1.1 255.255.255.0 tunnel source 192.1.1.1 tunnel destination 192.1.1.2
配置TUNNEL !
interface FastEthernet0/0
ip address 192.1.1.1 255.255.255.0 duplex half crypto map mymap
router ospf 1
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0 network 193.1.1.0 0.0.0.255 area 1 !
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
access-list 101 permit gre host 192.1.1.1 host 192.1.1.2
注意:这里的ACL既不是私有网络,也不是GRE通告的网络,而是WAN接口! ! R2:
crypto isakmp policy 10 authentication pre-share group 2
crypto isakmp key cisco123 address 192.1.1.1
crypto ipsec transform-set cisco esp-des esp-sha-hmac !
crypto map mymap 10 ipsec-isakmp set peer 192.1.1.1 set transform-set cisco match address 101
interface Tunnel0
ip address 193.1.1.2 255.255.255.0 tunnel source 192.1.1.2 tunnel destination 192.1.1.1 !
interface FastEthernet0/0
ip address 192.1.1.2 255.255.255.0 duplex half crypto map mymap
interface FastEthernet2/0 ip address 10.1.1.2 255.255.255.0 duplex half
!
router ospf 1
no log-adjacency-changes network 10.1.1.0 0.0.0.255 area 1 network 193.1.1.0 0.0.0.255 area 1 !
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
access-list 101 permit gre host 192.1.1.2 host 192.1.1.1
R2#sh ip rou
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, FastEthernet2/0 C 193.1.1.0/24 is directly connected, Tunnel0 C 192.1.1.0/24 is directly connected, FastEthernet0/0 192.168.1.0/32 is subnetted, 1 subnets
O IA 192.168.1.1 [110/11112] via 193.1.1.1, 00:48:05, Tunnel0 S* 0.0.0.0/0 is directly connected, FastEthernet0/0
检查R2路由表,得到R1的内部网络路由,通过TUNNEL学习到。但是并不学习到WAN的路由,因为在OSPF中不需要通告WAN接口的路由条目。
这里有个关键的地方:
CRY ACL的解析:为什么不像普通的IPSEC,目标网络和源网络都设置成为私有网络呢?它是怎么来保护私有网络?这里的ACL设置为WAN的端点,WAN也需要保护吗?难道GRE想和WAN去私底下约会? 当CRY ACL被触发的时候,它调用TUNNEL(因为TUNNEL的源和目标设置的是WAN端点),TUNNEL接下来调用OSPF进程里面的私有网络,最终私有网络得到保护,GRE同样保护OSPF的组播流如HELL包,也就是说,不像普通的单播的IPSEC,当有单播数据流(如两端私有用户通话使用单播)的时候才触发VPN,这里的VPN总是被触发的,因为它要处理多播流量如OSPF每10S一次的HELLO包 为解释这一点,请看下面的DEBUG信息,我先检查了R1上的加密会话是存在的,然后我试图清除会话(我们知道,在RRI的HSRP冗余情况下是不会有数据包被发送的,需要用户手动重新发起连接),这里会是什么情况呢?
相关推荐:
loading