参考 官方技术文档 -> IPsec配置 -> IPsec配置举例

实验拓扑

配置思路

采用如下思路配置虚拟隧道接口建立GRE over IPSec隧道:

  1. 配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 配置GRE Tunnel接口。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE对等体,定义对等体间IKE协商时的属性。

  5. 配置安全框架,并引用安全提议和IKE对等体。

  6. 在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。

  7. 配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。

配置步骤

1.配置好总部、分部以及internet的物理口地址,以及总部和分部公网互访路由(推荐使用静态路由)

参考拓扑给出的地址规划,此处略

2.两边公网口可以互访后配置GRE Tunnel口,刷上RouterB时注意修改地址和源目

RouterA/B=======================================
interface Tunnel0/0/0
 ip address 192.168.1.1 255.255.255.0 
 tunnel-protocol gre
 source 1.1.1.1
 destination 2.1.1.1

3.分别在RouterA和RouterB上创建IPSec安全提议

RouterA/B=======================================
ipsec proposal tran1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128

4.分别在RouterA和RouterB上配置IKE对等体, 注意RouterB的peerra

RouterA/B=======================================
ike proposal 5
 encryption-algorithm aes-cbc-128
 dh group14

ike peer rb v1
ike-proposal 5
pre-shared-key cipher H3c@123456

5.分别在RouterA和RouterB上创建安全框架,注意RouterB的peerra

RouterA/B=======================================
ipsec profile pro1
 ike-peer rb
 proposal tran1

6.分别在RouterA和RouterB的Tunnel口上应用各自的安全框架

RouterA/B=======================================
interface Tunnel0/0/0
ipsec profile pro1

7.配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口

RouterA=======================================
ip route-static 10.1.2.0 255.255.255.0 Tunnel 0/0/0

RouterB=======================================
ip route-static 10.1.1.0 255.255.255.0 Tunnel 0/0/0

8.检查配置结果,分别在RouterA和RouterB上执行display ike sa会显示所配置的信息,以RouterA为例。

分部PC1 ping和tracert 总部PC2,能通并且是通过隧道口转发数据