北京金桥世纪H3C认证培训全国总代理

H3C MSR系列路由器IPSEC Over GRE功能的配置

2011-11-15 13:40:17互联网

一、组网需求:
RTA和RTB之间建立GRE隧道,RTA和RTB下挂网段间流量走GRE,在GRE中对流量进行加密
设备清单:MSR系列路由器2台

二、组网图:

H3C MSR系列路由器IPSEC Over GRE功能的配置


二、配置步骤:
适用设备和版本:MSR系列、Version 5.20, Beta 1105后所有版本。
RTA配置
 
#
//定义IKE提议,使用IKE必配
ike proposal 1
#
//定义IKE对等体,IKE必配
ike peer rtb
 //使用预设口令身份验证
 pre-shared-key 123
 //对等体的IP地址,注意是GRE Tunnel的地址
 remote-address 1.2.1.2
#
//定义IPSec提议
ipsec proposal rtb
#
//定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy rtb 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer rtb
 //选择安全策略
 proposal rtb
 
 
 //安全ACL
acl number 3000
 rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255
#
interface Ethernet0/0
 port link-mode route
 description connects to RTB
 ip address 1.2.0.1 255.255.255.252
#
interface Ethernet0/1
 port link-mode route
 description connects to 1.0.0.0/24 subnet
 ip address 1.0.0.1 255.255.255.0
#
 

 //定义GRE隧道
interface Tunnel0
 //隧道口地址,用于IKE协商和GRE封装
 ip address 1.2.1.1 255.255.255.252
 source 1.2.0.1
 destination 1.2.0.2
 //蒋IPSec策略绑定到GRE隧道
 ipsec policy rtb
#
 //定义静态路由,可以使用动态路由代替
 ip route-static 2.0.0.0 255.255.255.0 Tunnel0
#
 
 RTB配置
 #
//定义IKE提议,使用IKE必配
ike proposal 1
#
//定义IKE对等体,IKE必配
ike peer rta
 //使用预设口令身份验证
 pre-shared-key 123
 //对等体的IP地址
 remote-address 1.2.1.1
#
//定义IPSec提议
ipsec proposal rta
 
 //定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy rta 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer rta
 //选择安全策略
 proposal rta
#
//安全ACL
acl number 3000
 rule 0 permit ip source 2.0.0.0 0.0.0.255 destination 1.0.0.0 0.0.0.255
#
interface Ethernet0/0
 port link-mode route
 description connects to RTA
 ip address 1.2.0.2 255.255.255.252

 //将安全策略绑定在端口下 
 ipsec policy rta
#
interface Ethernet0/1
 port link-mode route
 description connects to 2.0.0.0/24 subnet
 ip address 2.0.0.1 255.255.255.0
#
//定义GRE隧道
interface Tunnel0
 //隧道口地址,用于IKE协商和GRE封装
 ip address 1.2.1.2 255.255.255.252
 source 1.2.0.2
 destination 1.2.0.1
 将IPSec策略绑定到GRE隧道上
 ipsec policy rta
 //定义静态路由,可以使用动态路由代替 
 ip route-static 1.0.0.0 255.255.255.0 Tunnel0
#
四、配置关键点:
1) 和基本IPSec配置较为相似;
2) IKE Peer的Remote address是对方的GRE隧道口IP地址,不是物理接口地址;
3) IPSec策略绑定到GRE隧道上;
4) 定义静态路由或策略路由将需要加密的流量引入到GRE隧道上;
5) ACL一定不要最后添加一条deny ip的规则,该配置会导致不需要加密的流量被丢弃。
 
 


·[金桥动态]H3CIE+确定开班7月20日 
·[金桥动态]全程金牌讲师讲授,保障顺利考试通过! 
·[优惠活动]华三动态 
·[知识课堂]【H3C技术】配置IS-IS快速收敛 
·[开课时间]3月26日H3C无线网络培训H3CSE-WLAN认证培训脱产班 
·[开课时间]4月6日开班“H3CTE脱产班”构建中小企业网络 


点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息


开班信息

7月26

H3CNE认证

热报中

8月16

H3C-IMC认证

热报中

7月26

H3CNE认证

热报中

7月26

H3CIE+认证

热报中

8月16

H3C-IMC认证

热报中

7月26

H3CNE培训

热报中

7月26

H3CSE认证

热报中

8月16

H3C无线

热报中

7月26

H3CSE培训

热报中

8月16

H3CIMC培训

热报中

8月16

H3C无线培训

热报中

8月31

H3CEAD培训

热报中

8月16

H3CPME认证

热报中

8月16

H3C安全认证

热报中

8月16

H3CIMC培训

热报中

8月16

H3C无线培训

热报中

8月09

H3CEAD培训

热报中

8月16

H3CPME认证

热报中

8月16

H3C安全认证

热报中

8月16

H3CIMC培训

热报中

8月09

H3C无线培训

热报中

8月09

H3CEAD培训

热报中

8月09

H3CPME认证

热报中

8月09

H3C安全认证

热报中

点击咨询开班情况>>

在线咨询