GRE over IPsecVPN配置

最新推荐文章于 2025-03-09 12:54:42 发布

2203727

最新推荐文章于 2025-03-09 12:54:42 发布

阅读量255

点赞数 2

分类专栏： cisco_test 文章标签：网络智能路由器

本文链接：https://blog.youkuaiyun.com/qh_3727/article/details/143571272

版权

cisco_test 专栏收录该内容

7 篇文章

订阅专栏

拓扑图：

在三个路由器上面配置OSPF路由，实现基本的通信（略）

1. 配置ACL 和 NAT ：

- 总公司：

R1(config)#ip access-list extended 100 
R1(config-ext-nacl)#10 permit ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)#exit

R1(config)#ip nat pool pat-pool 58.1.1.1 58.1.1.1 netmask 255.255.255.0

R1(config)#ip nat inside source list 100 pool pat-pool overload 

R1(config)#int f0/0
R1(config-if)#ip nat inside 
R1(config-if)#int s0/3/0
R1(config-if)#ip nat outside 
R1(config-if)#exit

- 分公司：

R3(config)#ip access-list extended 100
R3(config-ext-nacl)#10 permit ip 192.168.100.0 0.0.0.255 any

R3(config)#ip nat pool pat-pool 108.1.1.2 108.1.1.2 netmask 255.255.255.0
R3(config)#ip nat inside source list 100 pool pat-pool overload 

R3(config)#int f0/0
R3(config-if)#ip nat inside 
R3(config-if)#int s0/3/0
R3(config-if)#ip nat outside 
R3(config-if)#exit

2. 配置GRE隧道：

总公司配置 GRE vpn:

R1(config)#int tunnel 1

R1(config-if)#ip add 10.1.1.1 255.255.255.252

R1(config-if)#tunnel source serial 0/3/0
R1(config-if)#tunnel destination 108.1.1.2
R1(config-if)#exit

分公司配置 GRE vpn:

R3(config)#interface tunnel 1

R3(config-if)#ip add 10.1.1.2 255.255.255.252

R3(config-if)#tunnel source serial 0/3/0
R3(config-if)#tunnel destination 58.1.1.1
R3(config-if)#exit

3. 配置默认路由

总公司 - 默认路由：

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
# 或者也可以使用静态路由：
/* ### ip route 192.168.100.0 255.255.255.0 10.1.1.2 */

分公司 - 默认路由：

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
# 或者也可以使用静态路由：
/* ### ip route 192.168.10.0 255.255.255.0 10.1.1.1 */

4. 配置IPsecVPN

总公司 - IPsec：

R1(config)#crypto isakmp enable 

R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha 
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit

R1(config)#crypto isakmp key ccie address 108.1.1.2

R1(config)#crypto ipsec transform-set gs12 esp-aes 256 esp-sha-hmac 

R1(config)#access-list 180 permit gre host 58.1.1.1 host 108.1.1.2 

R1(config)#crypto map vpnmap 2 ipsec-isakmp 
R1(config-crypto-map)#match address 180
R1(config-crypto-map)#set peer 108.1.1.2
R1(config-crypto-map)#set transform-set gs12
R1(config-crypto-map)#exit

R1(config)#int s0/3/0
R1(config-if)#crypto map vpnmap
R1(config-if)#exit

分公司 - IPsec：

R3(config)#  crypto isakmp enable 

R3(config)#crypto isakmp policy 1

R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha 
R3(config-isakmp)#authentication pre-share 
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 86400
R3(config-isakmp)#exit

R3(config)#crypto isakmp key ccie address 58.1.1.1

R3(config)#crypto ipsec transform-set gs12 esp-aes 256 esp-sha-hmac 

R3(config)#access-list 180 permit gre host 108.1.1.2 host 58.1.1.1

R3(config)#crypto map vpnmap 2 ipsec-isakmp 
R3(config-crypto-map)#match address 180
R3(config-crypto-map)#set peer 58.1.1.1
R3(config-crypto-map)#set transform-set gs12
R3(config-crypto-map)#exit

R3(config)#int s0/3/0
R3(config-if)#crypto map vpnmap
R3(config-if)#exit