CCIE
当前位置:网站首页>CCIE
CCNA特殊实例:Cisco与H3C建立“Gre Over IPsec“
发布日期:2019-06-10 13:51:04 发布者:
    Center是cisco的设备,有固定的IP,但是Branch端是H3C的设备,没有固定IP,是通过ADSL上网的,而他们需要实现无论什么时候都能访问双方的资源,因为存在VOIP电话。现在问题来了

    1 、一端有固定IP,另外一边是动态的,那么两个解决办法,一个是dynamic map,另外一个就是EZVPN了,但是EZVPN必须都是cisco产品,所以这样就没戏了,但是,dynaimc map 只能是Branch先发起流量才能建立VPN

    2、需要实现双方都能发起流量,并且隧道一直存在,这样必须是GRE OVER IPSEC了。

    解决办法:我们可以在双方各自建立一个环回口,然后tunnel 的源和目的都是各自的环回口 ,然后感兴趣流量就是匹配这个gre的流量,运行动态路由协议,这样就变相的形成了gre over ipsec,因为动态路由协议会发送hello包,就触发了VPN的建立,其实还是Branch先行发起。 这个幸亏在平时喜欢琢磨下一些特殊的VPN案例,所以 解决起来不是很难。

    Center端的配置

    crypto isakmp policy 10

    authentication pre-share

    crypto isakmp key ccieh3c.com address 0.0.0.0 0.0.0.0

    !

    !

    crypto ipsec transform-set trans esp-des esp-md5-hmac

    !

    crypto dynamic-map dyl2l 1000

    set transform-set trans

    !

    !

    crypto map dyl2l 1000 ipsec-isakmp dynamic dyl2l

    !

    interface Loopback0

    ip address 1.1.1.1 255.255.255.255

    !

    interface Tunnel0

    ip address 172.16.1.1 255.255.255.0

    tunnel source Loopback0

    tunnel destination 3.3.3.3

    ip ospf hello-interval 120

    ip mtu 1436

    ip tcp adjust-mss 1410

    !

    interface FastEthernet0

    ip address 61.11.xx.xx 255.255.255.248

    duplex auto

    speed auto

    crypto map dyl2l

    !

    !

    router ospf 1

    router-id 1.1.1.1

    log-adjacency-changes

    network 172.16.1.1 0.0.0.0 area 11

    network 192.168.2.0 0.0.0.255 area 11

    network 192.168.3.0 0.0.0.255 area 11

    !

    ip route 0.0.0.0 0.0.0.0 61.11.xx.xx

    Branch端的配置 (H3C)

    ike peer center

    pre-shared-key cipher ccieh3c.com

    remote-address 61.11.XX.XX

    #

    ipsec proposal 1

    acl number 3000

    rule 0 permit gre source 3.3.3.3 0 destination 1.1.1.1 0

    #

    ipsec policy center 1000 isakmp

    security acl 3000

    ike-peer center

    proposal 1

    #interface Dialer1

    link-protocol ppp

    ppp pap local-user XXXXXX password simple XXXX

    ip address ppp-negotiate

    dialer user XXXXX

    dialer-group 1

    dialer bundle 1

    ipsec policy center

    mtu 1492

    tcp mss 1450

    interface LoopBack0

    ip address 3.3.3.3 255.255.255.255

    interface Tunnel0

    ip address 172.16.1.2 255.255.255.0

    source LoopBack0

    destination 1.1.1.1

    ospf timer hello 120

    mtu 1436

    tcp mss 1410

    ospf 1 router-id 3.3.3.3

    area 0.0.0.11

    network 172.16.1.2 0.0.0.0

    network 192.168.3.0 0.0.0.255

    #

    ip route-static 0.0.0.0 0.0.0.0 Dialer1

    总结

    传统的 Gre Over IPSec封装是transport模式, 因为 | 新IP头部| ESP| GRE | 私网IP头部| data

    这里封装是 | 新的头部 |ESP |GRE的源目IP | GRE | 私网头部 | data

    触发过程:这里注意,无论什么时候都是分部先行发起的,因为总部根本不知道可以和谁连接VPN,分部的OSPF周期性的发送hello包,它是包裹在GRE里面,而GRE的源目是host 3.3.3.3 host 1.1.1.1 ,这里就匹配了感兴趣流量,就直接进行ESP的封装,然后,产生新的头部,源是Branch端的,目的是Center端的IP,到达Center后,Center查看策略是否匹配,然后预共享密钥的地址是和任何人建立,可以通过,感兴趣流量复制Branch端的,这里为镜像,有了感兴趣流量,双方的OSPF就能正常建立了,可以查看刚刚show crypto ipsec sa,ACL的是匹配1.1.1.1 3.3.3.3 47 (协议)

微信