eigrp和ospf的管理距离分别是多少 ospf over gre

转载

mob64ca14082604 2024-05-09 20:39:35

文章标签 网络网络协议安全华为 IPSec 文章分类 云原生云计算

eigrp和ospf的管理距离分别是多少 ospf over gre_网络

拓扑背景

A公司由于业务扩展在某地区成立临时的市场部，现需要将市场部网络接入总部OSPF进行互访

知识回顾

1、OSPF为三层IGP协议，且OSPF的邻居建立通过交互HELLO包，HELLO包通过组播地址224.0.0.5传输。

2、ipsec VPN与GRE同为三层VPN，但是ipsec VPN只支持单播报文的传输，不支持组播；GRE虽然支持组播但是由于是公网环境，本身只是一个明文传输协议，安全性太低，所以我们为GRE打上ipsec安全框架保证数据的安全性。

注意：ISIS虽然也是常用的IGP协议，但是ISIS属于二层数据链路层无法通过GRE传输HELLO包建立邻居。

配置思路

底层配置略过（接口地址、公网互通、VLAN等）

1、首先起GRE隧道，写静态路由将流量引入GRE

2、起IPSEC安全框架

3、防火墙策略放通，注意要将GRE隧道接口tunnel口加入安全区域并放行，如有协议要求需要放通ESP、UDP、GRE协议

4、在tunnel口起OSPF，查看协议是否正常建立邻居，注意隧道下起的OSPF邻居为P2P模式，因为GRE是点到点的隧道协议。

配置开始

1、起GRE隧道

FW1上：

interface Tunnel0
ip address 172.16.0.1 255.255.255.0 //双方隧道地址为同一网段互联地址
tunnel-protocol gre
source 12.0.0.1 //源地址物理接口地址
destination 23.0.0.3 //目的地址对端物理接口地址
service-manage ping permit //开PING协议方便测试

ip route-static 10.0.20.0 255.255.255.0 172.16.0.2 //静态路由将流量引入GRE隧道

FW3上：

interface Tunnel0
ip address 172.16.0.2 255.255.255.0
tunnel-protocol gre
source 23.0.0.3
destination 12.0.0.1
service-manage ping permit

ip route-static 10.0.10.0 255.255.255.0 172.16.0.1

2、起IPSEC安全框架

FW1上：

ipsec proposal 1 //ipsec安全提案
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

许多命令是默认的，命令敲上去不显示，可最后查看ipsec安全提案

eigrp和ospf的管理距离分别是多少 ospf over gre_IPSec_02

ike proposal 1 // IKE提案
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256

ike peer 1 //IKE PEER 配置
undo version 2
pre-shared-key huawei@123
ike-proposal 1
remote-address 23.0.0.3 //对端物理地址，不可填GRE隧道地址

ipsec profile FW1 //不同于配置IPSEC VPN 此处只需要配置ipsec摘要信息，无需配置ipsec策略
ike-peer 1
proposal 1

注意：如若配置ipsec VPN时，ipsec policy需要指定本地物理地址。

interface Tunnel0 //GRE接口下执行ipsec安全框架

ipsec profile FW1

FW3上配置与FW1类似略过