本文继上文继续讨论gre over ipsec,上次我们是在两站点之间先建立IPSec连接(transport方式),然后再IPSec连接上再建立gre隧道,进行加密通信;本次我们换种方式来配置与上文相同的效果。这里我们用到了cisco路由器ipsec配置的一个技术:profile。


==============================R0配置==============================

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 3600

crypto isakmp key 1234 address 192.168.8.1

!

!

crypto ipsec transform-set 1 esp-3des esp-md5-hmac

mode transport

!

crypto ipsec profile 1                           //本文的精髓,配置Profile来代替map

set transform-set 1

set pfs group2

!

interface Tunnel1

ip address 192.168.10.1 255.255.255.0

tunnel source 192.168.1.1

tunnel destination 192.168.8.1

tunnel protection ipsec profile 1

!

interface Serial1/0

ip address 192.168.1.1 255.255.255.0

serial restart-delay 0


R0的路由:

Router#show ip route


C    192.168.10.0/24 is directly connected, Tunnel1

C    192.168.1.0/24 is directly connected, Serial1/0

S*   0.0.0.0/0 is directly connected, Serial1/0

===========================================================================

   

============================R2配置===============================

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 3600

crypto isakmp key 1234 address 192.168.1.1

!

!

crypto ipsec transform-set 1 esp-3des esp-md5-hmac

mode transport

!

crypto ipsec profile 1

set transform-set 1

set pfs group2

!

interface Tunnel1

ip address 192.168.10.2 255.255.255.0

tunnel source 192.168.8.1

tunnel destination 192.168.1.1

tunnel protection ipsec profile 1

!

interface Serial1/0

ip address 192.168.8.1 255.255.255.0

serial restart-delay 0


R2的路由:

Router#show ip route


C    192.168.8.0/24 is directly connected, Serial1/0

C    192.168.10.0/24 is directly connected, Tunnel1

S*   0.0.0.0/0 is directly connected, Serial1/0

=================================================================


看到这里,我们在R0和R2的配置中没有看到map,在接口上也没有看到map的加载,这与我们传统的ipsec的连接不一致,而且R0和R2的配置中均没有看到感兴趣流的配置,这与我们配置的传统的ipsec配置不一致。

现在来看配置,首先我们在完成一系列的ipsec配置后(第一阶段参数,预共享密钥,第二段加密测试等),按流程应该配置map并将map运用到接口上;本处就以profile来代替。“Profile”中只有两个参数“pfs”和“transport”,但并没有感兴趣流和加密接口。我们再看gre隧道的配置跟以往的配置的区别“tunnel protection ipsec profile 1”,顾名思义就是在gre隧道上配置ipsec保护,保护的具体策略就是profile1.

就因为在gre接口上我们配置了ipsec保护,我们就可以确定建立ipsec的两个站点:tunnel source和tunnel destination(就相当于在source和destination上配置了map);加密的感兴趣流就是tunnel source和tunnel destination之间的gre通信,而且仅仅是gre通信。

通过一个简单的profile,我们就完成了整个的gre overipsec,该方法目前是非常流行的一种配置,被广泛使用!


在完成配置之后,我们在R0上进行ping 192.168.10.2的操作,查看是否能够pint通,及两者之间的通信是否已经被加密。

Router#ping 192.168.10.2


Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/36/96 ms

可以ping成功,我们再来看两者之间的加密:

通信已被加密,我们的gre over ipsec建立成功!