IP SEC VPN实验笔记(2)

实验五 IPSEC OVER GRE

(IPSEC封装在里 GRE封装在外)(没啥用，学习了撞上接口的crypto map后用其他地址进行加密封装的思路)

IPSEC OVER GRE大概这么玩

先建立GRE tunnel，将环回口lo 0 和lo 10都从gre口发布互相发布 在tunnel 0口调用crypto map 感兴趣流依然为1.1.1.1 to 2.2.2.2 加密点改为11.1.1.1到22.2.2.2 更新源也要改

crypto map cisco local-address 11.1.1.1

我用1.1.1.1去ping对方的2.2.2.2

先查路由表

2.2.2.2是从tunnel 0学过来的，因此下一跳走tunnel 0，会撞上crypto map 符合感兴趣流，进行加密。这时加密后结构

然后查路由

22.2.2.2是从gre 过来的 再走GRE口，封装后如下

再查路由，从F0/0口就出去了。

实验六 GRE OVER IPSEC

有点类似SVTI，可以解决感兴趣流复杂、动态路由协议、组播等通过VPN传输的问题

其实没啥难的 建立GRE interface Tunnel0

ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3

建立SITE TO SITE VPN 第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 202.100.2.3

第二阶段

crypto ipsec transform-set cisco esp-des esp-md5-hmac !

crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn

只不过感兴趣流改为了GRE建立的源目IP ip access-list extended vpn

permit ip host 202.100.1.1 host 202.100.2.3 然后通过GRE学路由神马的就可以了。。。。 有一点可以优化的 原始数据

经过GRE封装

经过IPSER VPN加密封装

发现封装了两遍同样的源目IP，在转换及将mode改为mode transport

能省去一个IP头部的20个字节，优化了一些

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库IP SEC VPN实验笔记(2)在线全文阅读。