实验五 IPSEC OVER GRE
(IPSEC封装在里 GRE封装在外)(没啥用,学习了撞上接口的crypto map后用其他地址进行加密封装的思路)
IPSEC OVER GRE大概这么玩
先建立GRE tunnel,将环回口lo 0 和lo 10都从gre口发布互相发布 在tunnel 0口调用crypto map 感兴趣流依然为1.1.1.1 to 2.2.2.2 加密点改为11.1.1.1到22.2.2.2 更新源也要改
crypto map cisco local-address 11.1.1.1
我用1.1.1.1去ping对方的2.2.2.2
先查路由表
2.2.2.2是从tunnel 0学过来的,因此下一跳走tunnel 0,会撞上crypto map 符合感兴趣流,进行加密。这时加密后结构
然后查路由
22.2.2.2是从gre 过来的 再走GRE口,封装后如下
再查路由,从F0/0口就出去了。
实验六 GRE OVER IPSEC
有点类似SVTI,可以解决感兴趣流复杂、动态路由协议、组播等通过VPN传输的问题
其实没啥难的 建立GRE interface Tunnel0
ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3
建立SITE TO SITE VPN 第一阶段
crypto isakmp policy 10 authentication pre-share
crypto isakmp key cisco address 202.100.2.3
第二阶段
crypto ipsec transform-set cisco esp-des esp-md5-hmac !
crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn
只不过感兴趣流改为了GRE建立的源目IP ip access-list extended vpn
permit ip host 202.100.1.1 host 202.100.2.3 然后通过GRE学路由神马的就可以了。。。。 有一点可以优化的 原始数据
经过GRE封装
经过IPSER VPN加密封装
发现封装了两遍同样的源目IP,在转换及将mode改为mode transport
能省去一个IP头部的20个字节,优化了一些