三九宝宝网宝宝百科宝宝知识

CCNP实验:GRE隧道流量的IPSEC加密

11月05日 编辑 39baobao.com

[隧道喷射混凝土施工的质量控制措施]摘要:介绍了施工原材料的控制与喷射击混凝土配合比的设计要点及加强养护的措施。关键词:喷射混凝土;回弹率和粉尘率;质盆控制0、前言随着科学技术的发展,大量的新材料、新工艺...+阅读

由于IPSEC只支持对单播流量的加密,所以我们使用GRE隧道可以将广播、组播包封装在一个单播包中,再用IPSEC进行加密。

在进行IPSEC配置前应首先配置好GRE隧道,下面是R1上的GRE隧道配置:

R1:

interface tunnel0

ip address 192.168.3.1 255.255.255.0

tunnel source s1/1

tunnel destination 192.1.1.20

exit

interface s1/1

ip address 192.1.1.40 255.255.255.0

ip access-group perimeter in

exit

interface lo0

ip address 192.168.1.1 255.255.255.0

exit

ip route 0.0.0.0 0.0.0.0 192.1.1.20

!在这里我将总公司内部的骨干网络设为Area0,隧道部分和分公司内部网络设为Area1

router ospf 1

work 192.168.1.0 0.0.0.255 area 0

work 192.168.3.0 0.0.0.255 area 1

exit

ip access-list extended perimeter

permit udp host 192.1.1.20 host 192.1.1.40 eq 500

permit esp host 193.1.1.20 host 192.1.1.40

permit gre host 193.1.1.20 host 192.1.1.40

deny ip any any

exit

R2:

interface tunnel0

ip address 192.168.3.2 255.255.255.0

tunnel source s1/0

tunnel destination 192.1.1.40

exit

interface s1/0

ip address 192.1.1.20 255.255.255.0

ip access-group perimeter in

exit

interface lo0

ip address 192.168.2.1 255.255.255.0

exit

ip route 0.0.0.0 0.0.0.0 192.1.1.40

router ospf 1

work 192.168.2.0 0.0.0.255 area 1

work 192.168.3.0 0.0.0.255 area 1

exit

ip access-list extended perimeter

permit udp host 192.1.1.40 host 192.1.1.20 eq 500

permit esp host 192.1.1.40 host 192.1.1.20

permit gre host 192.1.1.40 host 192.1.1.20

deny ip any any

exit

GRE隧道建立好后,就可以进行IPSEC配置了:

R1上的配置:

crypto isakmp enable

crypto isakmp identity address

crypto isakmp policy 10

encryption aes

authentication pre-share

group 2

hash sha

exit

crypto isakmp key cisco123 address 192.1.1.20 no-xauth

!IPSEC只对进入GRE隧道的流量进行加密

ip access-list extended ToR2

permit gre host 192.1.1.40 host 192.1.1.20

exit

!这里的GRE隧道是点对点模式的,所以传输集应使用传输模式

crypto ipsec transform-set trans esp-aes esp-sha-hmac

mode transport

exit

crypto map mymap 10 ipsec-isakmp

match address ToR2

set transform-set trans

set peer 192.1.1.20

exit

interface s1/1

crypto map mymap

exit

!最后别忘记删除测试隧道时建立的流量:

ip access-list extended perimeter

no per

mit gre host 192.1.1.20 host 192.1.1.40

R2上的配置:

crypto isakmp enable

crypto isakmp identity address

crypto isakmp policy 10

encryption aes

authentication pre-share

group 2

hash sha

exit

crypto isakmp key cisco123 address 192.1.1.40 no-xauth

ip access-list extended ToR1

permit gre host 192.1.1.20 host 192.1.1.40

exit

crypto ipsec transform-set trans esp-aes esp-sha-hmac

mode transport

exit

crypto map mymap 10 ipsec-isakmp

match address ToR1

set transform-set trans

set peer 192.1.1.40

exit

interface s1/0

crypto map mymap

exit

ip access-list extended perimeter

no permit gre host 192.1.1.40 host 192.1.1.20

测试实验结果:

r1&emspsh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.1.1.20 to work 0.0.0.0

C 192.1.1.0/24 is directly connected, Serial1/1

C 192.168.1.0/24 is directly connected, Loopback0

192.168.2.0/32 is subted, 1 subs

O 192.168.2.1 [110/11112] via 192.168.3.2, 00:00:17, Tunnel0

C 192.168.3.0/24 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.1.1.20

R1上ping PC2:

r1&emspping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/g/max = 36/56/84 ms

PC1上ping PC2:

r1&emspping 192.168.2.1 source lo0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/g/max = 36/55/104 ms

可以看到不管是从PC1到PC2的流量还是R1到PC2的流量,只要通过隧道,都会被IPSEC封装加密,所以都能PING通PC2!

以下为关联文档:

隧道衬砌质量检测与雷达探测技术应用隧道施工中的地质、水文情况复杂,不可预见因素较多,且其主体部分为隐蔽工程,工程质量检测较为困难。衬砌施工质量的检测是隧道工程质量控制的重要环节。衬砌施工完成后,以常规手...

浅析隧道衬砌混凝土裂缝的原因随着公路建设的不断发展,高等级公路的投资也越来越多,标准也越来越高,这样一来山区公路的各种结构物也相继增多,隧道工程所占的比例也逐步增大。隧道二次衬砌施工普遍采用整体式...

世界海底隧道工程概况日本是较早修建海底隧道的国家。20世纪40年代修建的关门海峡隧道是世界上最早的海峡隧道。二战后,日本曾一度停止了连接海峡的建设。1954年在本州、北海道之间的津轻海峡,因台...

地铁隧道下穿卵石流塑层如何处理隧道断面上部为卵石流塑层,中部为强风化岩石,下部为中风化岩层。隧道施工过程中遇到如下问题:超前支护采用小导管压1:0.45水泥浆处理。这种地质施工时肯定要进行爆破,开挖过程中,...

当今国内外盾构隧道防水技术比较谈1、总体上分为现场浇筑法和预制安装法 (1)就地浇筑法 就地浇筑法是在桥位处搭设支架,在支架上浇筑桥体混凝土,达到强度后拆除模板、支架。 就地浇筑法无需预制场地,而且不需要大...

地铁隧道埋暗挖法施工工艺对地层变形的影响浅埋暗挖法的应用1987年北京地铁首次采用暗挖法建成了复兴门车站折返线工程,由于其灵活多变、适用复杂多变的地层及隧道断面结构、设备简单、不干扰交通及周边环境等众多优点...

胃造瘘术隧道[适应证] 1.食管癌不能手术切除者,可作为一种减轻症状的手术。估计生存期长于3个月者,可行永久性胃造瘘术;生存期短于3个月者,则行暂时性胃造瘘术。 2.食管良性狭窄病人,可行暂时...

微软认证:教你使用U盘加密启动Windows系统你对电脑安全性要求高么?是不是要告诉我你启用密码了?你应该知道,密码是可以解码破解的。那何不在电脑启动期间再多加一层保护呢?本文将教会你使用U盘来“加密”(其实是一道坎)启...

思科认证:NETGEAR无线路由器加密技巧随着时代的进步,越来越多的人组建家庭无线网络,方便在家办公,而无线网络的安全问题,也越来越受到人们的关注。当前,在安全配置方面众多的Wi-Fi网络产品也并不总是事半功倍。下面,...

推荐阅读
图文推荐