Gre Over Ipsec 总部模板方式_百堂的博客-程序员宅基地

技术标签: 网络  

Gre Over Ipsec 总部模板方式

在这里插入图片描述

1. 需求:

  1. 分支与总部通过gre over ipsec 建立vpn隧道
  2. 分支/总部的ipsec使用野蛮 方式
  3. 总部通过identity fqdn方式识别分支;
  4. 分支与总部通过gre隧道建立ospf邻居,使业务地址能够相互访问

2.地址规划:

  1. 总部:互联网出接口:202.101.12.1/24
    业务地址1:loopback0:192.168.1.1/32
    业务地址2:loopback1:192.168.2.1/32
    业务地址3:loopback2:192.168.3.1/32
    封装gre源地址及ipsec感兴趣流:loopback10:192.168.100.1/32
    tunnel0:172.16.0.2/24
  2. 分支:互联网出接口:202.101.23.1/24
    业务地址1:loopback0:172.16.1.1/32
    业务地址2:loopback1:172.16.2.1/32
    业务地址3:loopback2:172.16.3.1/32
    封装gre源地址及ipsec感兴趣流:loopback10:172.16.100.1/32
    tunnel0:172.16.0.1/24
  3. 互联网设备地址(只配置了地址,无其他配置)
    GE1/0/1: 202.101.12.2/24
    GE1/0/2: 202.101.23.2/24
<zongbu>DIS CU
#
 version 7.1.075, Alpha 7571
#
 sysname zongbu
#
ospf 1
 area 0.0.0.0
  network 172.16.0.2 0.0.0.0
  network 192.168.1.1 0.0.0.0
  network 192.168.2.1 0.0.0.0
  network 192.168.3.1 0.0.0.0
#
 system-working-mode standard
 xbar load-single
 password-recovery enable
 lpu-type f-series
#
vlan 1
#
interface Serial1/0
#
interface Serial2/0
#
interface Serial3/0
#
interface Serial4/0
#
interface NULL0
#
interface LoopBack0
 ip address 192.168.1.1 255.255.255.255
#
interface LoopBack1
 ip address 192.168.2.1 255.255.255.255
#
interface LoopBack2
 ip address 192.168.3.1 255.255.255.255
#
interface LoopBack10
 ip address 192.168.100.1 255.255.255.255
#
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 202.101.12.1 255.255.255.0
 ipsec apply policy h3c
#
interface Tunnel0 mode gre
 ip address 172.16.0.2 255.255.255.0
 source LoopBack10
 destination 172.16.100.1
#
 ip route-static 0.0.0.0 0 202.101.12.2
#
ipsec transform-set 1
 esp encryption-algorithm des-cbc
 esp authentication-algorithm md5
#
ipsec policy-template h3c 1
 transform-set 1
 ike-profile 1
#
ipsec policy h3c 1 isakmp template h3c
#
 ike identity fqdn zongbu
#
ike profile 1
 keychain 1
 exchange-mode aggressive
 match remote identity fqdn fenzhi
 proposal 1
#
ike proposal 1
#
ike keychain 1
 pre-shared-key hostname fenzhi key cipher $c$3$7kk/yfQAz6n59nCpaEO8FfPIppBYmw==
#
return


<fenzhi>dis cu
#
 version 7.1.075, Alpha 7571
#
 sysname fenzhi
#
ospf 1
 area 0.0.0.0
  network 172.16.0.1 0.0.0.0
  network 172.16.1.1 0.0.0.0
  network 172.16.2.1 0.0.0.0
  network 172.16.3.1 0.0.0.0
#
 system-working-mode standard
 xbar load-single
 password-recovery enable
 lpu-type f-series
#
vlan 1
#
interface Serial1/0
#
interface Serial2/0
#
interface Serial3/0
#
interface Serial4/0
#
interface NULL0
#
interface LoopBack0
 ip address 172.16.1.1 255.255.255.255
#
interface LoopBack1
 ip address 172.16.2.1 255.255.255.255
#
interface LoopBack2
 ip address 172.16.3.1 255.255.255.255
#
interface LoopBack10
 ip address 172.16.100.1 255.255.255.255
#
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
#
interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
 ip address 202.101.23.1 255.255.255.0
 ipsec apply policy h3c
#
interface Tunnel0 mode gre
 ip address 172.16.0.1 255.255.255.0
 source LoopBack10
 destination 192.168.100.1
#
 ip route-static 0.0.0.0 0 202.101.23.2
#
acl advanced 3001
 rule 0 permit ip source 172.16.100.1 0 destination 192.168.100.1 0
#
ipsec transform-set 1
 esp encryption-algorithm des-cbc
 esp authentication-algorithm md5
#
ipsec policy h3c 1 isakmp
 transform-set 1
 security acl 3001
 remote-address 202.101.12.1
 ike-profile 1
#
 ike identity fqdn fenzhi
#
ike profile 1
 keychain 1
 exchange-mode aggressive
 match remote identity address 202.101.12.1 255.255.255.255
 proposal 1
#
ike proposal 1
#
ike keychain 1
 pre-shared-key address 202.101.12.1 255.255.255.255 key cipher $c$3$bOHL2BUp7yZ+0qZu05BDkgzYviZvlg==
#
return
<fenzhi>

实验效果

<fenzhi> ping -a 172.16.100.1 192.168.100.1
Ping 192.168.100.1 (192.168.100.1) from 172.16.100.1: 56 data bytes, press CTRL_C to break
56 bytes from 192.168.100.1: icmp_seq=0 ttl=255 time=10.047 ms
56 bytes from 192.168.100.1: icmp_seq=1 ttl=255 time=5.858 ms
56 bytes from 192.168.100.1: icmp_seq=2 ttl=255 time=6.080 ms
56 bytes from 192.168.100.1: icmp_seq=3 ttl=255 time=7.908 ms
56 bytes from 192.168.100.1: icmp_seq=4 ttl=255 time=29.482 ms

--- Ping statistics for 192.168.100.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 5.858/11.875/29.482/8.932 ms
<fenzhi>%Mar 31 20:25:02:569 2020 fenzhi PING/6/PING_STATISTICS: Ping statistics for 192.168.100.1: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 5.858/11.875/29.482/8.932 ms.
dis ike sa
    Connection-ID   Remote                Flag         DOI
------------------------------------------------------------------
    2               202.101.12.1          RD           IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
<fenzhi>dis ipsec sa b
-----------------------------------------------------------------------------
Interface/Global          Dst Address       SPI         Protocol    Status
-----------------------------------------------------------------------------
GE0/1                     202.101.12.1      1662037039  ESP         Active
GE0/1                     202.101.23.1      389085293   ESP         Active
<fenzhi>dis ip int b
*down: administratively down
(s): spoofing  (l): loopback
Interface                Physical Protocol IP Address      Description
GE0/0                    down     down     --              --
GE0/1                    up       up       202.101.23.1    --
GE0/2                    down     down     --              --
GE5/0                    down     down     --              --
GE5/1                    down     down     --              --
GE6/0                    down     down     --              --
GE6/1                    down     down     --              --
Loop0                    up       up(s)    172.16.1.1      --
Loop1                    up       up(s)    172.16.2.1      --
Loop2                    up       up(s)    172.16.3.1      --
Loop10                   up       up(s)    172.16.100.1    --
Ser1/0                   down     down     --              --
Ser2/0                   down     down     --              --
Ser3/0                   down     down     --              --
Ser4/0                   down     down     --              --
Tun0                     up       up       172.16.0.1      --
<fenzhi> ping 172.16.0.2
Ping 172.16.0.2 (172.16.0.2): 56 data bytes, press CTRL_C to break
56 bytes from 172.16.0.2: icmp_seq=0 ttl=255 time=13.957 ms
56 bytes from 172.16.0.2: icmp_seq=1 ttl=255 time=6.789 ms
56 bytes from 172.16.0.2: icmp_seq=2 ttl=255 time=5.508 ms
56 bytes from 172.16.0.2: icmp_seq=3 ttl=255 time=7.195 ms
56 bytes from 172.16.0.2: icmp_seq=4 ttl=255 time=5.275 ms

--- Ping statistics for 172.16.0.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 5.275/7.745/13.957/3.191 ms
%Mar 31 20:25:20:918 2020 fenzhi PING/6/PING_STATISTICS: Ping statistics for 172.16.0.2: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 5.275/7.745/13.957/3.191 ms.
<fenzhi>dis ospf peer

         OSPF Process 1 with Router ID 172.16.100.1
               Neighbor Brief Information

 Area: 0.0.0.0
 Router ID       Address         Pri Dead-Time  State             Interface
 192.168.100.1   172.16.0.2      1   35         Full/ -           Tun0
<fenzhi>dis ip rout
<fenzhi>dis ip routing-table

Destinations : 24       Routes : 24

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/0          Static  60  0           202.101.23.2    GE0/1
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
172.16.0.0/24      Direct  0   0           172.16.0.1      Tun0
172.16.0.0/32      Direct  0   0           172.16.0.1      Tun0
172.16.0.1/32      Direct  0   0           127.0.0.1       InLoop0
172.16.0.255/32    Direct  0   0           172.16.0.1      Tun0
172.16.1.1/32      Direct  0   0           127.0.0.1       InLoop0
172.16.2.1/32      Direct  0   0           127.0.0.1       InLoop0
172.16.3.1/32      Direct  0   0           127.0.0.1       InLoop0
172.16.100.1/32    Direct  0   0           127.0.0.1       InLoop0
192.168.1.1/32     O_INTRA 10  1562        172.16.0.2      Tun0
192.168.2.1/32     O_INTRA 10  1562        172.16.0.2      Tun0
192.168.3.1/32     O_INTRA 10  1562        172.16.0.2      Tun0
202.101.23.0/24    Direct  0   0           202.101.23.1    GE0/1
202.101.23.0/32    Direct  0   0           202.101.23.1    GE0/1
202.101.23.1/32    Direct  0   0           127.0.0.1       InLoop0
202.101.23.255/32  Direct  0   0           202.101.23.1    GE0/1
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
<fenzhi>

如果gre的tunnel口之间运行了rip,那么需要在总部和分支上分别添加一条静态路由
总部:ip route-static 192.168.100.1 32 202.101.23.2

分支:ip route-static 172.16.100.1 32 202.101.12.2

原因:分支:rip中通告tunnel口地址172.16.0.0时,把源地址:172.16.100.1 也通告了,这样总部通过rip学到的目的地172.16.100.1的路由,由于最长掩码匹配,会把这条rip的路由放进路由表,下一跳为tunnel口,通过tunnel口加密,还是会用环回口172.16.100.1封装,这样就会进入一个死循环;
简图
同理总部那边也是如此;

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42609714/article/details/105230477

智能推荐

nginx与Apache的对比以及优缺点_不负韶光的博客-程序员宅基地

今天准备较详细的对比一下apache httpd与nginx两个web服务器的异同点、优缺点。由于我并不是做web开发的,所以有什么理解错误还请指出,想要了解它们是因为工作中有时候会用到它,有系统中用到了nginx+apache。本文绝大多数资料都是摘抄网上,自己做的只就是整合网上零散的资源然后加上自己的一点见解。简单的说apache httpd和nginx都是web服务器,但两者适应的场景不同,...

简单快速诊断Windows服务器是否中毒或被入侵_weixin_33975951的博客-程序员宅基地

本期分享专家:五贤,搞过开发,玩过小机、AIX,目前在阿里云从事云产品技术支持,专注于云计算相关的系统运维。奉行“上天给了人两只手,两只眼,而只有一张嘴。就是要让我们多动手,多观察,少耍嘴皮。”对于云上业务,Windows 服务器中毒或被入侵的案例很多。Windows 系统中毒或被入侵后,可能会导致系统报错、系统进程 CPU 或内存使用异常、...

深入理解JVM --- 垃圾收集算法终章_JavaEdge.的博客-程序员宅基地

大部分的Java对象只存活一小段时间,而存活下来的小部分Java对象则会存活很长一段时间pmd中Java对象生命周期的直方图,红色的表示被逃逸分析优化掉的对象之所以要提到这个假设,是因为它造就了Java虚拟机的分代回收思想就是将堆空间划分为两代,分别叫做新生代和老年代新生代用来存储新建的对象当对象存活时间够长时,则将其移动到老年代Java虚拟机可以给不同代使用不同的回收算法对...

UCOS-II 简介(经典教程序)_wenlifu71022的博客-程序员宅基地

 所 谓嵌入式系统是以应用为中心,以计算机技术为基础,软硬件可裁减,从而能够适应实际应用中对功能、可靠性、成本、体积、功耗等严格要求的专用计算机系统。 它一般由嵌入式微处理器、外围硬件设备、嵌入式操作系统以及用户的应用软件等四个部分组成,用于实现对其他设备的控制、监视或管理等功能。在大型嵌入式应 用系统中,为了使嵌入式开发更方便、快捷,需要具备一种稳定、安全的软件模块集合,用以管理存储器分配、

【PBOC卡片交易日志分析】流程_Amy_92的博客-程序员宅基地

卡片的交易流程在PBOC3.0规范 第4部分中有完整交易的流程图:这里只进行脱机数据认证部分的举例分析:SDA, DDA, fDDA. 非接q交易默认GPO响应不返回AFL,支持新的online ODA的卡片需要设置正确的DF61(第7位ODA支持位)和9F68(最后一个byte第6位)SDA:DDA:fDDA:

随便推点

Python selenium自动化测试框架入门--登录测试实例_测试小刘啊的博客-程序员宅基地

本文为Python自动化测试框架基础入门篇,主要帮助会写基本selenium测试代码又没有规划的同仁。本文应用到POM模型、selenium、unittest框架、configparser配置文件、smtplib邮件发送、HTMLTestRunner测试报告模块结合登录案例实现简单自动化测试框架项目主要包括以下几个部分conif.ini 放置配置文件例如:myunit.py文件放置的...

nslookup工具的使用方法(转)_weixin_34192816的博客-程序员宅基地

为什么80%的码农都做不了架构师?&gt;&gt;&gt; ...

cordova学习一 环境搭建_jack_wjys的博客-程序员宅基地

环境(个人版本):   node.js     v6.9.5  cordova   6.5.0  jdk            1.8.0_661.1node.js/npm安装         安装node.js的作用是为了使用和他一起存在的npm, NPM(node package manager),通常称为node包管理器。顾名思义,它的主要功能就是管理node包,包括:安装、

New features in XenServer 7.2_weixin_33694172的博客-程序员宅基地

New features in XenServer 7.2 reference from    https://www.citrix.com/products/xenserver/whats-new.html  Extending XenApp&amp;amp;XenDesktop IntegrationXenServer 7.2 extends alignment withXenApp and XenD...

直流电机工作原理释义_英雄的小白的博客-程序员宅基地

一般电机转速(几千到几万rmp)比较快,需要在电机后面引入减速器例如:电机输出10000r/min 但是我们需要500r/min的转速,那么就需要1:20传动比的减速器。减速器的作用(传动比)1.降低电机速度2.提高输出扭矩减速器的分类齿轮减速器:体积较小,传递扭矩大,但是有一定的回程间隙。蜗杆减速器:具有反向自锁功能,体积较大,传动效率不高,精度不高行星齿轮减速器(精密传动):结构比较紧凑,回程间隙小、精度较高,使用寿命很长,额定输出扭矩可以做的很大,但价格略贵。...

JPA:Repeated column in mapping for entity_qq_38941327的博客-程序员宅基地

坑:这个来自新建实体类(New-..JPA entities from tables)大概会造成三种错误:一种是①标题这种,一种大意是②至少要有一个非只读的列(大意关键词non-read only,There should be one non-read-only mapping defined for the primary key field),还有一个大意是③update错误之类的。...

推荐文章

热门文章

相关标签