★p2p GRE over IPsec能够支持IP单播,IP组播以及非IP协议的传递功能。
★即使是p2p GRE over IPsec模式,但IPsec部分仍然是LAN-to-LAN ×××,所以您可以选择使用普通LAN-to-LAN ×××或Dynamic LAN-to-LAN ×××(Dy×××),这取决与你的分支场点的IP地址是固定的还是不可预知的,从而选择是配置Static p2p GRE over IPsec还是Dynamic p2p GRE over IPsec。
★在Dynamic p2p GRE over IPsec环境下,必须先从动态IP方向静态IP方发送数据,否则GRE隧道无法建立,×××无法完成。
★因为GRE Tunnel只支持路由器,不支持集中器和PIX以及ASA,所以也就谈不上在PIX和ASA上配置p2p GRE over IPsec了。
★在IOS Release 12.2(13)T之前的版本,Crypto map必须同时应用于物理接口和GRE隧道接口下。
★在IOS Release 12.2(13)T以及之后的版本,Crypto map只在物理接口下应用即可,不需要在GRE隧道接口下应用了。
★p2p GRE over IPsec的IPsec部分和LAN-to-LAN ×××一样,但唯一的区别就是定义的感兴趣流量,定义的感兴趣流量是双方用来建立GRE隧道的公网IP地址,并且协议为GRE,而不是内网网段,因为内网网段是要靠路由协议来传递的。
★通过p2p GRE over IPsec通信的内网流量不会被物理接口的NAT影响,但会受GRE接口NAT的影响。
★一方静态IP和一方动态IP之间建立p2p GRE接口时,如果不配置p2p GRE over IPsec,那么p2p GRE接口是不能工作,毫无用处的。
1.在R1上配置终点为R3的p2p GRE隧道:
r1(config)#interface tunnel 1
r1(config-if)#ip address 1.1.1.1 255.255.255.0
r1(config-if)#tunnel source 12.1.1.1
r1(config-if)#tunnel destination 23.1.1.3
r1(config-if)#exit
#R1到R3的p2p GRE隧道接口号为1,隧道地址为1.1.1.1,隧道的源点为外网接口地址12.1.1.1,隧道的终点为R3的外网接口地址23.1.1.3,隧道起点和终点地址在Internet上是可路由的。
2.在R1上配置普通LAN-to-LAN ×××参数:
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
r1(config)#crypto isakmp key 6 cisco123 address 23.1.1.3
r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
r1(config)#access-list 100 permit gre host 12.1.1.1 host 23.1.1.3
r1(config)#crypto map mymap 1 ipsec-isakmp
r1(config-crypto-map)#set peer 23.1.1.3
r1(config-crypto-map)#set transform-set out
r1(config-crypto-map)#match address 100
r1(config-crypto-map)#exit
#IPsec部分和普通LAN-to-LAN ×××一样,但唯一的区别就是定义的感兴趣流量,定义的感兴趣流量是双方用来建立GRE隧道的公网IP地址,并且协议为GRE,而不是内网网段,因为内网网段是要靠路由协议来传递的。
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#exit
r1(config)#
*Mar 1 00:21:45.171: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1上配置EIGRP:
r1(config)#router eigrp 1
r1(config-router)#no auto-summary
r1(config-router)#network 1.1.1.1 0.0.0.0
r1(config-router)#network 10.1.1.1 0.0.0.0
r1(config-router)#exit
R3上配置EIGRP:
r3(config)#router eigrp 1
r3(config-router)#no auto-summary
r3(config-router)#network 1.1.1.3 0.0.0.0
r3(config-router)#network 192.168.1.3 0.0.0.0
r3(config-router)#exit
修改R1的IPsec Mode改为transport mode:
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#mode transport
清除双方SA:
r1#clear crypto sa
#改变mode后,清除双方SA以便重新连接
查看IPsec Mode:
r1#sh crypto ipsec sa
只有双方都改时,才会改变最终工作的mode,将双方的IPsec Mode改为transport mode后,最终双方工作在了transport mode,在此还需要强烈说明和提醒,只有在p2p GRE over IPsec的情况下,IPsec Mode的工作模式才能是transport mode,否则即使强制改变双方的mode为transport mode,最终双方也会依然工作在Tunnel mode。
在R1上配置NAT:
r1(config)#interface f0/1
r1(config-if)#ip nat inside
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip nat outside
r1(config)#access-list 111 permit ip any any
r1(config)#ip nat inside source list 111 interface f0/0 overload
#在上海公司路由器R1上开启NAT,内网接口F0/1为inside,外网接口F0/0为outside,并且将所有内网流量通过NAT将源IP转换为外网接口F0/0的地址。×××不受接口NAT影响
