GRE配置实例
GRE:Generic Routing Encapsulation 通用路由封装
GRE协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议。
1、Cisco配置
Hongdian2811#conf t //进入配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Hongdian2811(config)#interface tunnel 0 //创建并配置tunnel接口,0为接口号
Hongdian2811(config-if)#ip address 192.168.200.1 255.255.255.0 //配置tunnel接口虚拟IP Hongdian2811(config-if)#tunnel source fastEthernet 0/0 //绑定本地接口,也可为IP地址Hongdian2811(config-if)#tunnel destination 192.168.80.11 //设置对端IP
Hongdian2811(config-if)#no shutdown //up tunnel接口
Hongdian2811(config-if)#exit //回到
confHongdian2811(config)#ip route 192.168.8.0 255.255.255.0 tunnel0 //添加到对端子网的路由,tunnel0也可以是对端虚拟IP 192.168.100.2
Hongdian2811(config)#exit
Hongdian2811#write //保存更改的配置
Hongdian2811#show run //查看系统配置
备注:每一个目录下都可以通过输入?的方式得到当前可执行的指令和配置。Cisco命令行配置非常便利,只要将show run 得到的配置直接粘贴执行,wr保存即可完成。如:Cisco 进入config模式,并且将以下这段配置粘贴执行即可完成上述配置,然后exit退出config 模式并wr保存即可。
interface Tunnel0
ip address 192.168.100.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 192.168.80.11
ip route 192.168.8.0 255.255.255.0 tunnel0
2、宏电路由器配置(H8921)
Local virtual IP:本地虚拟IP,Cisco通过虚拟IP来添加GRE路由(本例中为192.168.100.2)Local physical interface:选择接口,对应与Cisco的tunnel对端IP
Remote virtual IP:对端虚拟IP,对应Cisco tunnel 接口IP
Remote physical IP:对端IP,对应Cisco的tunnel源IP
Remote Subnet:对端子网及掩码
ICMP Params:维持GRE隧道,ICMP的目的地址为对端虚拟IP,如不通则复位GRE进程。
深圳市宏电技术股份有限公司
3、宏电路由器配置(H8921S)
H8921S采用精简的配置方法配置GRE(后续将考虑逐步兼容老版本GRE),简配方式一般用于一对一的方式。
对端外网IP:对应Cisco的tunnel源IP
对端内网IP:对应Cisco的子网,该子网以tunnel接口IP为网关
本地对外接口:选择接口,对应Cisco的对端tunnel对端IP
4、注意事项
GRE配置较为简单,Cisco的GRE配置需要注意的地方是配置完GRE规则之后需要单独配置路由。对于多GRE隧道,则需考虑tunnel接口的虚拟IP规划,一般建议掩码为30,避免tunnel接口虚拟IP占用过多网络中的IP资源。
深圳市宏电技术股份有限公司
IPSEC配置实例之USER-ID篇
为了确保安全性,我们有些时候需要针对不同的终端路由器设置不同的预共享密钥,当终端路由器的IP为固定时很容易解决。但是当终端路由器不固定时就可以通过USER-ID的方式来匹配解决上诉需求。
FQDN:(Fully Qualified Domain Name)
完全合格域名/全称域名,是指主机名加上全路径,如:@Hongdian2811.mfhu
USER-FQDN:一般为e-mail格式,如:user@hongdian
1、Cisco配置
进入Cisco命令行配置
Hongdian2811#conf t //进入配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Hongdian2811(config)#ip domain name mfhu //配置domain name,本端ID设置为FQDN时配置,ID为Address或者为USER-FQDN时可以不配置
Hongdian2811(config)# crypto isakmp enable //启用IKE
Hongdian2811(config)# crypto isakmp policy 10 //创建组策略,可以通过策略号配置多个策略Hongdian2811(config-isakmp)#encryption 3des //设置加密方式
Hongdian2811(config-isakmp)#hash md5 //设置三列算法
Hongdian2811(config-isakmp)#authentication pre-share //设置认证为预共享密钥方式,即PSK Hongdian2811(config-isakmp)#group 2 //设置DH位数,group 2为1024位
Hongdian2811(config-isakmp)#lifetime 3600 //设置IKE SA密钥生存时间,单位为s Hongdian2811(config-isakmp)#exit //回到上一级目录
Hongdian2811(config)#crypto keyring mfhukey //设置密钥串,也即在此对不同的ID配置不同的预共享密钥
Hongdian2811(conf-keyring)#pre-shared-key hostname mfhu@H7921 key 1234
//为mfhu@H7921设置预共享密钥1234
Hongdian2811(conf-keyring)# pre-shared-key hostname mfhu@H8921 key abcd
//为mfhu@H8921设置预共享密钥abcd
Hongdian2811(conf-keyring)# exit
Hongdian2811(config)# crypto isakmp profile mfhu //创建配置文件,可以定义多组对端ID
% A profile is deemed incomplete until it has match identity statements//第一次创建会提示配置未完成,继续完成即可
Hongdian2811(conf-isa-prof)# self-identity user-fqdn mfhu@hongdian //设置本端ID,如果采用FQDN模式配置为self-identity fqdn,全域名配置本端ID格式为:@+”hostname”+”.”+”domain name”,本例Cisco的本端ID为:@Hongdian2811.mfhu;另如果不配置此项,则本端默认以绑定接口的IP地址为协商的userid
深圳市宏电技术股份有限公司
Hongdian2811(conf-isa-prof)# keyring mfhukey //设置配置文件所调用钥匙串,如果不配置则自动匹配是否符合钥匙串中配置,当有多个钥匙串时,建议配置
Hongdian2811(conf-isa-prof)# match identity user-fqdn mfhu@H7921 //设置对端ID,可以设置多组
Hongdian2811(conf-isa-prof)# match identity user-fqdn mfhu@H8921
Hongdian2811(conf-isa-prof)#exit
Hongdian2811(config)#crypto isakmp keepalive 30 5 //设置IKE DPD检测间隔和失败次数Hongdian2811(config)#crypto ipsec transform-set x esp-3des esp-md5-hmac //设置IPSEC转换集,并配置IPSEC协商阶段ESP封装的加密和算法
Hongdian2811(cfg-crypto-trans)#mode tunnel //设置IPSEC变换集模式,默认为tunnel模式Hongdian2811(cfg-crypto-trans)#exit
Hongdian2811(config)#crypto dynamic-map y 20 //设置动态加密映射
Hongdian2811(config-crypto-map)#set transform-set x //设置动态加密映射要应用的转换集Hongdian2811(config-crypto-map)#set pfs group2 //启用PFS,并且密钥长度为group 2 Hongdian2811(config-crypto-map)#set isakmp-profile mfhu //设置ike协商配置文件Hongdian2811(config-crypto-map)#match address 104 //为动态加密映射关联ACL(Access List)Hongdian2811(config-crypto-map)#exit
Hongdian2811(config)#crypto map map1 10 ipsec-isakmp dynamic y //在静态加密映射中调用动态加密映射
Hongdian2811(config)#interface fastEthernet 0/0 //进入需要应用IPSEC的接口
Hongdian2811(config-if)#crypto map map1 //应用静态映射
Hongdian2811(config-if)#exit
Hongdian2811(config)#ip nat inside source list 110 interface FastEthernet0/0 overload //配置WAN能上公网
Hongdian2811(config)# access-list 104 permit ip 192.168.88.0 0.0.0.255 192.168.8.0 0.0.0.255 //配置ACL,源地址为192.168.88.0/24目的地址为192.168.8.0/24数据包需经过IPSEC加密Hongdian2811(config)#access-list 110 deny ip 192.168.88.0 0.0.0.255 192.168.8.0 0.0.0.255 //禁止源地址为192.168.88.0/24目的地址为192.168.8.0/24数据包走masq出公网
Hongdian2811(config)#access-list 110 permit ip 192.168.88.0 0.0.0.255 any
//配置192.168.88.0/24能经ip masq上公网
Hongdian2811(config)#exit
Hongdian2811#write //保存更改的配置
Hongdian2811#show run //查看系统配置
备注:每一个目录下都可以通过输入?的方式得到当前可执行的指令和配置。Cisco命令行配置非常便利,只要将show run 得到的配置直接粘贴执行,wr保存即可完成。如:Cisco 进入config模式,并且将以下这段配置粘贴执行即可完成上述配置,然后exit退出config 模式并wr保存即可。
ip domain name mfhu
crypto keyring mfhukey
pre-shared-key hostname mfhu@H7921 key 1234
pre-shared-key hostname mfhu@H8921 key abcd
深圳市宏电技术股份有限公司
crypto isakmp policy 10 encr aes
hash md5 authentication pre-share group 2
lifetime 3600
crypto isakmp profile mfhu keyring mfhukey
self-identity user-fqdn mfhu@hongdian
match identity user-fqdn mfhu@H7921
match identity user-fqdn mfhu@H8921
crypto ipsec transform-set x esp-3des esp-md5-hmac
crypto dynamic-map y 20
set transform-set x
set pfs group2
set isakmp-profile mfhu
match address 104
crypto map map1 10 ipsec-isakmp dynamic y
interface FastEthernet0/0
crypto map map1
ip nat inside source list 110 interface FastEthernet0/0 overload
access-list 104 permit ip 192.168.88.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 110 deny ip 192.168.88.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 110 permit ip 192.168.88.0 0.0.0.255 any
2、宏电路由器配置
基本配置
名称:配置ipsec名称
本地接口:选择ipsec需绑定接口,绑定L2TP/PPTP可实现支持IPSEC OVER L2TP/PPTP,通常情况不绑定可实现L2TP/PPTP/GRE OVER IPSEC
远端IP或域名:ipsec对端的IP地址或域名
第一阶段参数
协商模式:主模式和野蛮模式,一般两端有经过NAT且使用USERID的方式建议野蛮模式认证方式:支持预共享密钥方式认证
深圳市宏电技术股份有限公司
预共享密钥:设置预共享密钥
加密方式:自动或者手动,一般建议自动,则自动协商第一阶段的加密及算法
加密算法:支持3des、aes与md5、sha的两两组合,注意sha仅支持sha-1
DH组标识:与Cisco对应,通常都配置为Group 2,即Group 1024,此处配置为第一阶段IKE 协商的密钥长度
IKE生成时间:IKE密钥交换时间,对应Cisco
的
isakmp lifetime
第二阶段参数
认证加密协议:通常情况下都选择ESP封装,对应Cisco转换集封装选择
加密算法:支持3des、aes与md5、sha的两两组合,注意sha仅支持sha-1
传输方式:支持隧道模式或者传输模式,一般建议设置为自动
本地子网/远端子网:传输模式下不用配置子网,隧道模式下配置的子网需要与Cisco中的ACL严格对应。
本地标识/对端标识:Cisco通常以IP地址和Hostname作为对端唯一标识,宏电路由器不填则默认为以IP地址作为唯一标识,本例则配置为user fqdn形式
完美前向加密:PFS,与Cisco是否开启PFS保持一致
密钥有效时间:对应ipsec sa lifetime
对端检测:DPD检测,需要对端服务器支持,通常情况下配置为Restart。
深圳市宏电技术股份有限公司
发表评论