每日一句:
We are all in the gutter, but some of us arelooking at the stars.
我们都生活在阴沟里,但仍有人仰望星空。
——————奥斯卡*王尔德

实验拓扑:

gre实验 gre实验室_安全

要求:

公司1和公司2之间通过GRE隧道传输192.168.10.0/24 和 192.168.20.0/24数据流

实验分析:

使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:
1、可以使用IPsec来加密隧道进行传输,称为IPsec over GRE
2、加密数据流后从隧道传输,称为GRE over IPsec
下面将配置一个简单的IPsec over GRE实验

第一步配置路由器ip地址:

R1:
GigabitEthernet0/0/0 192.168.10.1/24

R2:
GigabitEthernet0/0/0 192.168.10.2/24
GigabitEthernet0/0/1 1.1.1.2/24

R3:
GigabitEthernet0/0/0 1.1.1.3/24
GigabitEthernet0/0/1 2.2.2.3/24

R4:
GigabitEthernet0/0/0 2.2.2.4/24
GigabitEthernet0/0/1 192.168.20.4/24

R5:
GigabitEthernet0/0/0 192.168.20.5/24

第二步,在R2和R4配置默认路由
R2:

ip route-static 0.0.0.0 0.0.0.0 1.1.1.3

R4:

ip route-static 0.0.0.0 0.0.0.0 2.2.2.3

我们来测试下公网的连通性哈

gre实验 gre实验室_接口_02

两端配置GRE vpn 隧道实现内网连通性:

R2:

interface Tunnel0/0/1                 //进入tunne 0隧道
 destination 2.2.2.4                    /隧道的源地址既 实际发送报文的接口IP地址
  **//注意 有可能打成  description ,大家细心千万要注意**
 ip address 192.168.1.1 255.255.255.0         //隧道ip
 tunnel-protocol gre                   //  封装的协议   
 source 1.1.1.2                          //设置gre本端 ,本端公网地址

R4:

interface Tunnel0/0/0                 //进入tunne 0隧道
 destination 1.1.1.2                   //设置gre对端 ,必须是对端公网地址
 ip address 192.168.1.2 255.255.255.0         //隧道ip
 tunnel-protocol gre                   //  封装的协议   
 source 2.2.2.4                        //设置gre本端 ,本端公网地址
[zc-r4]display interface Tunnel 0/0/0         //查看tun 0接口信息

gre实验 gre实验室_网络_03

检查隧道ip的连通性:

ping 2.2.2.4

gre实验 gre实验室_接口_04

配置路由:

静态或ospf,rip等,该实验使用ospf路由的方式引流到gre隧道中(两端都要配置 (静态路由有点绕哈哈哈 ,就ospf把)
R2:

[zc-r2-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.10.0 0.0.0.255

R4:

[zc-r4-ospf-1]display this 
[V200R003C00]
#
ospf 1 router-id 4.4.4.4 
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.20.0 0.0.0.255

R1:

ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 192.168.10.0 0.0.0.255

R5:

ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 192.168.20.0 0.0.0.255

gre实验 gre实验室_安全_05

这时候发现它走的隧道

gre安全机制

GRE隧道的安全性,可以对GRE隧道两端进行端到端校验或者设置GRE隧道的识别关键字,通过这种安全机制防止错误识别、接收其它地方来的报文。
使能GRE隧道的校验和功能
[AR2-Tunnel0/0/1]gre checksum
配置GRE隧道的识别关键字
如果在隧道两端的Tunnel接口配置识别关键字,则必须指定相同的识别关键字;或隧道两端都不配置此命令。如果使用plain选项,识别关键字将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将识别关键字加密保存。

[AR2-Tunnel0/0/1]gre key 5201314
1.4.2 GRE的Keepalive检测功能
使用Keepalive功能可以周期地发送Keepalive探测报文给对端,及时检测隧道连通性。若对端可达,则本端会收到对端的回应报文;否则,收不到对端的回应报文,关闭隧道连接。
Keepalive功能是单向的,只要在隧道一端配置Keepalive,该端就具备Keepalive功能,而不要求隧道对端也具备该功能。为了使隧道两端都能检测对端是否可达,建议在隧道两端都使Keepalive功能

[AR2-Tunnel0/0/1]keepalive period 5 retry-times 3
 #配置5s发送一次,重试次数3次,通过在接口下disp keepalive packets count命令可查看发送了多少个keepalive报文