IPSec over GRE隧道

來源:本站原創 VPN 超過2,113 views圍觀 0條評論

實驗背景:

單獨配置基于預共享密鑰的IPSec VPN,可以實現不同站點之間的網絡互聯,但是IPSec工作于網絡層,是不能和NAT一起使用的,否則就會造成數據源和目的地址的混亂;而且不能形成內網之間的路由協議。這就需要將IPSec運行在GRE(tunnel)隧道之上,真實物理接口運行NAT進行網絡地址轉換,這就避免了IPSec VPN和NAT之間的沖突。使用GRE隧道的另外一個好處是可以在各個站點的隧道之間學習路由協議。GRE是通用路由封裝協議,可以實現任意一種網絡層協議在另一種網絡層協議上的封裝。

實驗目的:

1、 在模擬公網上配置OSPF路由協議,在各個站點之間配置EIGRP路由協議。

2、 了解GRE隧道的建立過程

3、 將IPSec VPN應用于GRE隧道之上實現安全的通信

4、 在出口路由器上做NAT實現私有地址到公有地址的轉換

5、 測試各個過程的運行結果

實驗網絡拓撲:

clip_image002[8]

實驗步驟

1. 配置網絡互聯的基本參數

1.1配置R2和R3網絡之間的基本參數,并啟用OSPF路由協議

注意:在R2和R3上各配置了一條默認路由指向兩邊的末梢網絡,這樣公網就可以訪問內網的數據了。

image

image

1.2使用show ip route查看R2和R3是否學習到了OSPF路由條目(OSPF路由條目以O IA顯示)

image

1.3配置私網出口路由R1和R4的基本參數,并配置一條默認路由指向公網

clip_image006[8]

clip_image007[8]

2. 配置GRE隧道,并啟用EIGRP路由協議

2.1在R1和R4上配置tunnel 1,并啟用EIGRP路由協議。注意:只宣告內網網段和tunnel隧道的網段。

clip_image008[8]

clip_image009[8]

2.2使用show ip route查看內網之間學習的EIGRP路由條目(EIGRP的路由條目以D顯示)

image

image

3. 配置IPSec,并將其應用到GRE隧道上

3.1在R1和R4上分別配置IPSec VPN,并應用Crypto MAP到GRE隧道上(Tunnel 1)。

image

image

image

image

image image

4. 測試站點之間的連通性

4.1下面是ping之前和ping之后加密的數據

clip_image014[9]

`$LFS@4Q6HIS0HA4SS[UC}A

5. 配置NAT實現網絡地址轉換

5.1在R1和R4上配置NAT(PAT),將私網地址全部轉換成路由出口公網的IP地址

clip_image016[9]

clip_image017[9]

5.2然后在PC1上分別ping私網的IP地址和公網的IP地址,可以發現ping公網的IP地址都進行了NAT地址轉換,而ping私網的IP地址都經過了隧道加密。

clip_image018[9]

clip_image019[9]

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:IPSec over GRE隧道
本文鏈接:http://www.qdxgqk.live/?p=3043轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏