【×××系列五】multipoint Gre Over Ipsec 配置详解
routerios版本为:
版本不同所以命令结果显示稍有差异,但是部署***的效果是一致的。
The first way
1.配置 network
shanghai-------internet------nanjing
|
wuxi
(1)路由互通,配置默认路由
ip route 0.0.0.0 0.0.0.0 200.0.10.1
ip route 0.0.0.0 0.0.0.0 200.0.20.1
ip roue 0.0.0.0 0.0.0.0 200.0.30.1
200.0.10.1、200.0.20.1、200.0.30.1为模拟internet的wan接口地址,也即是默认网关地址。
(2)路由互通之后,配置tunnel口才能up,否则即使之后配置的动态路由协议也是不能uptunnel口的,这点很重要。
2.配置 interface tunnel
这里创建了两个tunnel,分别与对端建立连接;这与单个gre就是很大的区别之一。
3.配置 crypto isakmp policy
这里的配置主要涉及加密的各项参数,各个peer上面一定要是一致的,否则就会发生***协商故障。
主要参数为:
hash
authentication
group
encryption
4.配置 crypto isakmp key
这里配置各个peer之间的预共享密钥,也是各个peer之间必须一致,否者就会造成认证错误;因为连接多个站点所以peer地址这里配置为0.0.0.0 0.0.0.0 表示为任意地址。
5.配置 crypto ipsec transform-set
配置ipsec 的转换集,主要用于加密数据,也是一样要求各个peer之间一定要一致;
在ipsec中有两种加密方式a、AH(认证头) b、ESP(封装)
这里我们使用esp方式,加密格式为des;
***中对称加密技术有三种 a、des b、3des c、aes
***中散列函数技术有两种 a、md5 b、sha
这里我们使用md5函数;
ipsec有两种传输模式 a、传输模式(transport) b、隧道模式(tunnel)
因为我们已经使用了gre技术,所以这里我们只用transport模式。
6.配置 interesting traffic
与单个的gre ipsec ***相似,创建感兴趣流,加密流量。
这里创建了两个acl,分别匹配tunnel0 和tunnel1,都是加密shanghai到nanjing和shanghai到wuxi的流量。
7.配置 crypto map
这里创建一个加密映射组,包含两个子句,分别匹配nanjing和wuxi,除了转换集是一样的,其余参数都是不同的,这个也很重要,不能输错参数,可以把名字设定成容易识别的,方便区分和排错。
8.show result
这里已经配置完成了,可以看到各个站点之间的路由已经互通,建立邻接关系。
查看路由表可以再hub 站点看到全站路由,所以配置GRE是成功的。
这里查看*** 第一阶段加密情况,各站点已经建立***隧道。
在hub上查看加解密数据包情况,可以看到已经建了两个***连接,而且加解密数据包情况正常。
两个分支站点加解密数据也是正常
查看*** 隧道建立状况,status 是up-active,所以是成功的。
--------------------------------------------------------------------------
--------------------------------------------------------------------------
The secondary way
1.配置 network
略
2.配置 interface tunnel
创建一个tunnel口,配置tunnel 接口之间的密钥为123(tunnel key 为选配参数,看自己情况而定),但是tunnel key 各个站点之间必须一致,否则造成tunnel 不通。
配置优化参数 ip mtu、delay这些一般都是完整配置之后所做的事情,这里先略带讲一下。
ip mtu :ip数据包最大传输单元,一般设定为1400
delay:延迟,一般视应用情况而定
3.配置 crypto isakmp policy
配置isakmp 策略
4.配置 crypto keyring
配置密钥环
5.配置 crypto isakmp profile
关联密钥环和peer,因为连接多个站点所以也是用0.0.0.0 0.0.0.0 表示任意站点。
6.配置 crypto ipsec transform-set
配置转换集,因为创建gre隧道,所以模式也选为传输模式。
7.配置 crypto ipsec profile
配置ipsec profile 关联 转换集和isakmp-profile。
8.配置 ip nhrp and mgre
这里有两个关键参数是与first way 截然不同的配置命令,也是最重要的命令。
mgre(多点gre)和nhrp(下一跳解析协议)
mgre支持一个hub(中心站点)同时连接多个spoken(分支站点),建立***隧道;支持hub(中心站点)为静态ip,各个spoken(分支站点)可以使用动态的ip。
nhrp主要作用是为Address Mapping (地址映像) 跟Resolution (地址解析) 以方便Hub了解与Spoke之间下层Layer 2/3的实体地址与Tunnel Destination的动态地址。
主要命令:
ip nhrp authentication //配置nhrp 认证密钥
ip nhrp network-id //配置nhrp 网络序号
ip nhrp map //配置nhrp 映射,主要是对中心站点的tunnel ip 与 中心站点外网口ip的映射关系
ip nhrp nhs //分支站点上需配置,映射中心站点的tunnel ip
9.tunnel protection ipsec profile
此命令主要是在tunnel口启用ipsec,作用与crypto map类似。
10.show result
查看各个站点之间*** 状态,都是up-active,部署***成功。
抓包分析,站点之间的数据已经被esp加密,所以实施***是成功的。
---------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
结束语:
这两种配置的不同之处在于:
1)first way可以说是一种策略模式的×××,只有符合感兴趣流,才进行加密,而secondary way可以说是路由模式×××,只要我们通过路由,将流量引入隧道,这些流量都会进行加密.
2)first way需要在GRE隧道经过的物理接口上配置加密映射(crypto map),而secondary way就不需要加密映射了,方法二的映射是通过自己学习的,这样可以减少命令行的配置条目.
3)first way只有在有流量需要保护才会建立SA,而secondary way即使没有流量也会建立SA.
4)first way可以在隧道接口上配置GRE存活机制(keepalive),而secondary way不支持GRE存活机制.