Apakah P2P-GRE dinamik berdasarkan IPsec?

R1(config)#int f0/0

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1( config-if)#no sh

R1(config-if)#exit

R1(config)#int f0/1

R1(config-if)#ip tambah 10.1.1.1 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#ip route 0.0 .0.0 0.0.0.0 12.1.1.2

R3(config)#int f0/0

R3(config-if)#ip add 192.168.1.3 255.255.255.0

R3(config-if)#exit

R3(config)#int f0/1

R3(config-if) #ip address dhcp

R3(config-if)#no sh

R3(config-if)#exit

R3(config)#int loopback 0

R3(config-if)#ip add 3.3.3.3 255.255.255.255

R3(config-if)#exit

Nota: Pada antara muka F0/1 R3 disambungkan ke Internet Dayakan DHCP untuk mendapatkan alamat secara dinamik, jadi alamat IP pada F0/1 tidak diketahui lebih awal, dan buat Loopback 0 (alamat 3.3.3.3/32) sebagai alamat sumber terowong GRE p2p tempatan.

(1) Konfigurasikan terowong GRE p2p pada R1 dengan titik akhir ialah R3:

R1(config)#terowong antara muka 1

R1(config-if)#ip alamat 1.1.1.1 255.255.255.0

R1(config-if)#sumber terowong 12.1.1.1

R1(config-if)#destinasi terowong 3.3.3.3

R1 ( config-if)#exit

R1(config)#ip route 3.3.3.3 255.255.255.255 12.1.1.2

Penjelasan: Nombor antara muka terowong p2p GRE dari R1 hingga R3 ialah 1, dan alamat terowong ialah 1.1.1.1, titik sumber terowong ialah alamat antara muka rangkaian luaran 12.1.1.1, dan titik akhir terowong ialah alamat antara muka Loopback 0 bagi R3 3.3.3.3 Walaupun alamat hujung terowong adalah tidak boleh dialihkan di Internet, laluan statik mesti ditulis Point 3.3.3.3/32 ke pintu keluar Internet anda sendiri kerana ini adalah peraturan konfigurasi.

R3(config)#int tunnel 3

R3(config-if)#alamat ip 1.1.1.3 255.255.255.0

R3(config-if)#sumber terowong loopback 0

R3(config-if)#destinasi terowong 12.1.1.1

R3(config-if)#exit

Penerangan: antara muka terowong p2p GRE dari R3 ke R1 Nombornya ialah 3, alamat terowong ialah 1.1.1.3, titik sumber terowong ialah alamat antara muka Loopback 0 3.3.3.3, dan titik akhir terowong ialah alamat antara muka rangkaian luaran R1 12.1.1.1.

R1(config)#dasar crypto isakmp 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#pra-kongsi pengesahan

R1(config-isakmp)#kumpulan 2

R1(config-isakmp)#keluar

R1(config )#crypto isakmp key 0 cisco123 address 0.0.0.0 0.0.0.0

R1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

R1(cfg-crypto -trans)#keluar

R1(config)#crypto dynamic-map ddd 10

R1(config-crypto-map)#set transform-set ccie

R1( config-crypto-map)#exit

R1(config)#crypto map mymap 10 ipsec-isakmp dynamic ddd

R1(config)#crypto map mymap local-address fastEthernet 0/0

R1(config)#

R1(config)#int f0/0

R1(config-if)#crypto map mymap

R1(config -jika)#keluar

*1 Mac 00:32:44.307: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP HIDUP

R1(config)#

Penerangan: statik Konfigurasi sisi IP R1 sedikit berbeza daripada LAN-ke-LAN Dinamik ××× kerana terdapat perintah tambahan "peta kripto mymap local-address fastEthernet 0/0" kerana versi IOS yang digunakan dalam persekitaran eksperimen ini ialah lebih tinggi daripada 12.2 (13)T, jadi peta Kripto hanya boleh digunakan pada antara muka fizikal dan tidak perlu digunakan pada antara muka terowong GRE.

R3(config)#dasar crypto isakmp 1

R3(config-isakmp)#encryption 3des

R3(config-isakmp)#hash sha

R3(config-isakmp)#pra-kongsi pengesahan

R3(config-isakmp)#kumpulan 2

R3(config-isakmp)#keluar

R3 (config)#crypto isakmp key 0 cisco123 address 12.1.1.1

R3(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

R3(cfg-crypto- trans)#exit

R3(config)#access-list 100 permit gre host 3.3.3.3 hos 12.1.1.1 R3(config)#

R3(config)#crypto map l2l 1 ipsec -isakmp

R3(config-crypto-map)#set peer 12.1.1.1

R3(config-crypto-map)#set transform-set ccie

R3( config-crypto-map)#match address 100

R3(config-crypto-map)#exit

R3(config)#crypto map l2l local-address f0/1

R3(config)#int f0/1

R3(config-if)#crypto map l2l

R3(config-if)#

*Mac 1 00 :32:58.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP DIHIDUPKAN

R3(config-if)#

Penerangan: Sisi IP dinamik R3 dan konfigurasi dan LAN-ke-LAN biasa × Perbezaan sedikit ×× ialah terdapat perintah tambahan "crypto map l2l local-address f0/1". antara muka fizikal. Hanya gunakannya dan tidak perlu menggunakannya di bawah antara muka terowong GRE.

Nota: Tidak kira bagaimana trafik dihantar, ISAKMP SA tidak boleh diwujudkan, kerana dalam persekitaran Dynamic p2p GRE over IPsec, data mesti dihantar daripada IP dinamik ke bahagian IP statik terlebih dahulu, jika tidak, terowong GRE tidak dapat diwujudkan, ××× Tidak dapat diselesaikan.

Konfigurasikan protokol penghalaan dinamik

Atas ialah kandungan terperinci Apakah P2P-GRE dinamik berdasarkan IPsec?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!