WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

HCIE培训(Datacom)理论学习重点笔记-GRE OVER IPSEC

发布日期:2023-06-07 浏览次数:1157 来源:崔志鹏

HCIE培训(Datacom)理论学习重点笔记-GRE OVER IPSEC

WOLFLAB网络技术实验室1.jpg

WOLFLAB官方微信:17316362402,关注【WOLF-LAB】实验室,了解华为认证HCIE培训课程Datacom技术学习!

客服有免费HCIA培训视频可免费领取!


HCIE培训(Datacom)理论学习-GRE:

缺点:不安全, 无认证无加密;

优点:支持多协议,支持IP组播,配置简单容易理解;

 

HCIE培训(Datacom)理论学习-IPsec VPN:

缺点:只支持IPv4单播;

优点:可以对数据进行加密;

此时合二为一:GRE OVER IPSEC,GRE在内,IPSEC在外

第一种方法:ACL方式

图片1(19).png

第一步:正常配置GRE

[AR1-Tunnel0/0/0]dis this

[V200R003C00]

#

interface Tunnel0/0/0

 ip address 1.1.13.1 255.255.255.0 

 tunnel-protocol gre

 source 1.1.12.1

 destination 1.1.23.3

 

[AR1]ip route-static 192.168.2.0 24 1.1.13.3

[AR3]ip route-static 192.168.1.0 24 1.1.13.1

 

第二步:修改感兴趣流

[AR1-acl-adv-3000]dis this 

[V200R003C00]

#

acl number 3000  

 rule 5 permit ip source 1.1.12.1 0 destination 1.1.23.3 0 

[AR3-acl-adv-3000]dis this 

[V200R003C00]

#

acl number 3000  

 rule 5 permit ip source 1.1.23.3 0 destination 1.1.12.1 0 

特点:

①需要定义感兴趣流;

②IPSEC policy调用在物理接口;

 

第二种方法:路由的方式

第一步:配置第一阶段

ike proposal 10

#

ike peer AR3 v1                  //无需配置远程地址,因为tunnel接口上有

 pre-shared-key simple huawei

 ike-proposal 10

 

第二步:配置第二阶段

ipsec proposal wolf

 

第三步:配置ipsec的模板:之前是配置ipsec的策略

[AR1-ipsec-profile-wolf]DIS THIS

[V200R003C00]

#

ipsec profile wolf

 ike-peer AR3

 proposal wolf

 

第四步:tunnel接口上应用

[AR1-Tunnel0/0/0]dis this

interface Tunnel0/0/0

 ipsec profile wolf

 

NAT结合IPSEC VPN:

假设AR2有一个8.8.8.8接口地址,此时PC1访问PC2走IPSEC加密,访问internet走NAT

[AR1-acl-basic-2000]dis this 

[V200R003C00]

#

acl number 2000  

 rule 5 permit 

 

[AR1-GigabitEthernet0/0/0]dis this

[V200R003C00]

#

interface GigabitEthernet0/0/0

 ip address 1.1.12.1 255.255.255.0 

 nat outbound 2000


https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

华为认证HCIE培训课程Datacom方向学习,每月循环开班,联系客服预约免费试听!

返回目录
在线咨询