GRE OVER IPSEC

 实验五、GRE over IPSec

 

一、实验拓朴： 

二、实验目的：

1、  所有流量通过GRE封装

2、  所有流量被IPSec保护

3、  实现路由协议数据只被GRE封装，用户业务数据被IPSec所保护

 

三、实验配置：

（1）、实现单播通信

RT1#

interface Tunnel1  //设置tunnel通道

 ip address 1.1.1.1 255.255.255.0

 tunnel source 202.103.96.112  //定义tunnel源地址

 tunnel destination 202.103.95.112  //定义tunnel目标地址

keepalive 20 3  //定义keepalive机制

!

interface Ethernet0/0

 ip address 202.103.96.112 255.255.255.0

 half-duplex

!

ip route 0.0.0.0 0.0.0.0 202.103.96.111 

ip route 192.168.2.0 255.255.255.0 tunnel1  //定义细化路由，GRE是基于路由的***

!

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  //定义感兴趣流量（多余配置，便于后面的实现）

!

 

RT2如RT1所配

 

（2）、ospf over GRE，且ospf 流量只被GRE封装，用户业务数据被IPSec保护

RT1#

crypto isakmp policy 1

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key cisco address 202.103.95.112

!

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

 mode transport

!

crypto map cisco 10 ipsec-isakmp

 set peer 202.103.95.112

 set transform-set cisco

 match address 101

!

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

!

interface Tunnel1

 ip address 1.1.1.1 255.255.255.0

 tunnel source 202.103.96.112

 tunnel destination 202.103.95.112

 crypto map cisco

!

interface Ethernet0/0

 ip address 202.103.96.112 255.255.255.0

 half-duplex

!

router ospf 1

 router-id 1.1.1.3

 log-adjacency-changes

 passive-interface Ethernet0/0

 network 1.1.1.1 0.0.0.0 area 0

 network 192.168.1.0 0.0.0.255 area 0

!

ip route 0.0.0.0 0.0.0.0 202.103.96.111

!

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

!

如果所有流量均被IPSec所保护的话，感兴趣流量应定义为：

access-list 101 permit ip host 202.103.96.112 host 202.103.95.112

并将map应用于出站口

 

RT2如RT1配置

 

四、实验调试：

RT1#show ip route

C    202.103.96.0/24 is directly connected, Ethernet0/0

     1.0.0.0/24 is subnetted, 1 subnets

C       1.1.1.0 is directly connected, Tunnel1

C    192.168.1.0/24 is directly connected, Loopback0

S    192.168.2.0/24 is directly connected, Tunnel1

S*   0.0.0.0/0 [1/0] via 202.103.96.111

 

RT1#show ip route

C    202.103.96.0/24 is directly connected, Ethernet0/0

     1.0.0.0/24 is subnetted, 1 subnets

C       1.1.1.0 is directly connected, Tunnel1

C    192.168.1.0/24 is directly connected, Loopback0

     192.168.2.0/32 is subnetted, 1 subnets

O       192.168.2.1 [110/11112] via 1.1.1.2, 00:02:47, Tunnel1

S*   0.0.0.0/0 [1/0] via 202.103.96.111

RT1#

 

五、数据包分析：

（1）、单播通信

所有的流量均被GRE封装，此处用的icmp协议，报文格式为：

新IP头（协议号47）

GRE头

原IP头

上层协议头

Data

新ip头：S：202.103.95.112   D:202.103.96.112

原ip头: S:192.168.2.1   D:192.168.1.1

上层协议头为：icmp 类型为8，代码为0 的请求报文

 

（2）、ospf流量只被GRE封装，用户业务数据被IPSec所保护

业务数据均通过udp传输，封装isakmp头部

报文格式为：

IP头

UDP 头

isakmp头

Data

IP头为set peer的地址：S:202.103.95.112  D:202.103.96.112

UDP源目端口均为500 

Ospf协议数据均被GRE封装传输

封装一个新的ip头以及一个GRE头，实际的ip封装在内部，源ip为1.1.1.2，目标ip为224.0.0.5

转载于:https://blog.51cto.com/liaoyuanchen/1194664