CCNP实验：GRE隧道流量的IPSEC加密

会计考友

　由于IPSEC只支持对单播流量的加密，所以我们使用GRE隧道可以将广播、组播包封装在一个单播包中，再用IPSEC进行加密。
3 X! e, k0 S' m7 Z　　在进行IPSEC配置前应首先配置好GRE隧道，下面是R1上的GRE隧道配置：
　　R1：
4 z* N8 F" s7 a  k0 u; b; o　　interface tunnel0
8 Y7 q3 y( N- p) j* u/ {% t1 E　　ip address 192.168.3.1 255.255.255.0
　　tunnel source s1/1
　　tunnel destination 192.1.1.20
　　exit
# w: v2 [3 O4 o; S* I* c　　interface s1/1
　　ip address 192.1.1.40 255.255.255.0
) C! b- D. X* J) l1 W8 D! C　　ip access-group perimeter in
+ r. g9 ]6 A0 ^8 `" W8 e7 z' E& h3 ^7 M1 @　　exit
　　interface lo0
　　ip address 192.168.1.1 255.255.255.0
) r# T0 ~! v( F) ]5 o. p$ T1 r　　exit
　　ip route 0.0.0.0 0.0.0.0 192.1.1.20
　　!在这里我将总公司内部的骨干网络设为Area0,隧道部分和分公司内部网络设为Area1
　　router ospf 1
　　network 192.168.1.0 0.0.0.255 area 0
　　network 192.168.3.0 0.0.0.255 area 1
$ D! {& y) [1 S8 I　　exit

会计考友

</p>　　ip access-list extended perimeter
) ~8 I6 q: I8 M4 \3 l7 Z) L0 U: S　　permit udp host 192.1.1.20 host 192.1.1.40 eq 500
: c' m1 u3 C, s2 t$ U. @$ o　　permit esp host 193.1.1.20 host 192.1.1.40
7 H  R' R! J4 Z7 P- G5 }/ m9 h　　permit gre host 193.1.1.20 host 192.1.1.40
- Z, M" N3 b$ G　　deny ip any any
& c- n0 D3 P- j# X. ?　　exit
9 |; [4 s1 Q' T　　R2：
" d% m- b# E, d+ m; @% X　　interface tunnel0
1 c( O# v% T- I$ i, G8 I! {1 F' ~+ B　　ip address 192.168.3.2 255.255.255.0
8 J! N  l5 S' }" n% \　　tunnel source s1/0
+ M. k2 ^! i# k9 k　　tunnel destination 192.1.1.40
" o" |3 n* s* l, b, f　　exit
　　interface s1/0
7 Q. q% [8 B# k# k/ d; j8 I　　ip address 192.1.1.20 255.255.255.0
　　ip access-group perimeter in
　　exit
　　interface lo0
+ `6 `7 y5 [( C　　ip address 192.168.2.1 255.255.255.0
; H+ g0 Q' W( O3 a" R, ]　　exit
　　ip route 0.0.0.0 0.0.0.0 192.1.1.40
- i: E+ T) F9 t8 x1 y: h" T　　router ospf 1
　　network 192.168.2.0 0.0.0.255 area 1
3 P1 {. l4 r& T: ]; t　　network 192.168.3.0 0.0.0.255 area 1
  o5 f% V" o- r! d8 k* M7 E　　exit
8 Q. y; n8 W) d! l& T: I4 ], n1 [& X　　ip access-list extended perimeter
　　permit udp host 192.1.1.40 host 192.1.1.20 eq 500
: f: r! V1 g* o8 F9 |& g0 x/ S　　permit esp host 192.1.1.40 host 192.1.1.20
　　permit gre host 192.1.1.40 host 192.1.1.20
　　deny ip any any
　　exit
* F* v% J, i' I! ^2 @　　GRE隧道建立好后，就可以进行IPSEC配置了：
　　R1上的配置：
　　crypto isakmp enable
" V1 Q) A$ N  {/ p  ~# W2 t　　crypto isakmp identity address
4 R' m( Y  O' `! I" m. T9 J) Q　　crypto isakmp policy 10
8 J" U: Z  t, M0 p2 W1 k0 M  o
　　encryption aes

会计考友

</p>　　authentication pre-share
1 l$ B/ b. `) R/ ?　　group 2
　　hash sha
$ r# q& @+ E  I* R) V( b; x　　exit
　　crypto isakmp key cisco123 address 192.1.1.20 no-xauth
* l0 E7 |2 P2 j3 [4 Y3 R. w/ D% s　　!IPSEC只对进入GRE隧道的流量进行加密
; |/ W4 I0 q9 {9 H+ _; E0 x  W1 F　　ip access-list extended ToR2
　　permit gre host 192.1.1.40 host 192.1.1.20
　　exit
　　!这里的GRE隧道是点对点模式的，所以传输集应使用传输模式
　　crypto ipsec transform-set trans esp-aes esp-sha-hmac
9 }% C# n. N, x5 k1 l　　mode transport
8 @: F" \7 J8 x2 o　　exit
. F% e9 Q+ A& a* D* r2 W" r/ t　　crypto map mymap 10 ipsec-isakmp
/ M. M  a4 G! Y5 Q6 d: r$ }) ~+ I; T: K　　match address ToR2
　　set transform-set trans
* @# E6 h- f7 b: n& v+ M　　set peer 192.1.1.20
( E9 z+ v4 X; e" h) o) y　　exit
　　interface s1/1
3 y" G' D% x: X) \/ N　　crypto map mymap
5 _" b& K0 k7 m4 W　　exit
; ?+ N  A5 Q% `# q( G; f　　!最后别忘记删除测试隧道时建立的流量：
　　ip access-list extended perimeter
9 S6 @. f# I' n: r6 V% V　　no permit gre host 192.1.1.20 host 192.1.1.40