实验过程:
GRE OVER IPSEC ***:可以用在公司于公司之间的安全连接,在***的隧道内可以支持传递动态路由协议的更新报文等。
第一步:配置各路由器使它们各自直连能通和能用SDM登录
要注意的问题是,配置http server
R1(config)#ip route 0.0.0.0 0.0.0.0 e0/0
R3(config)#ip route 0.0.0.0 0.0.0.0 e2/0
R3(config)#ip http server
R3(config)#ip http au loc
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config)# username admin privilege 15 secret admin
//R1上的配置与之相符
第二步:用SDM软件登上路由器进行配置
这里的下一步有个备用GRE,我们不选择直接下一步
下图默认下一步:
下图默认下一步:
下图为配置通道间的路由协议,与R1连接R2和R2连接R3的接口地址没有关系
下图是将配置发送到路由器上:
//上面我们没有配置静态路由,通过测试后提示到路由检查失败,这个算是正常
//通道失败的原因是对端没有配置
下图为R3上配置结果,我们配置了路由,R1上也配置通道,所以下图为开启
R3配置与上面的相符
第三步:测试
这里其中的控制列表,请注意,这个列表中的gre可以为ip
access-list 100 remark SDM_ACL Category=4
access-list 100 permit gre host 23.0.0.3 host 12.0.0.1
用SDM做的为隧道,
封装如下。
而传输模式如下:
它们封装时的包是不相同的。
第四步:我们手动修改模式
R1(config)# crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#mode transport
第五步:测试一次
R1#sh crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 168
2001 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 167 0
R1#sh cry en conn active
ID Interface IP-Address State Algorithm Encrypt Decrypt
6 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 0 180
Ethernet0/0 12.0.0.1 set HMAC_SHA+3DES_56_C 177 0
//用SDM配置GRE over IPSEC *** 后面的包加密数量在增加,这是因为ospf的包也被加密了。
THE END