参考 官方技术文档 -> IPsec配置 -> IPsec配置举例

实验拓扑

配置思路

采用如下思路配置虚拟隧道接口建立IPSec over GRE隧道:

  1. 配置物理接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 配置GRE Tunnel接口。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE对等体,定义对等体间IKE协商时的属性。

  5. 配置安全框架,并引用安全提议和IKE对等体。

  6. 配置IPSec Tunnel接口,将IPSec Tunnel的源接口配置为GRE Tunnel接口;且IPSec Tunnel的目的地址的路由必须从GRE Tunnel接口出去。

  7. 在IPSec Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。

  8. 配置IPSec Tunnel接口的转发路由,将需要IPSec保护的数据流引到IPSec Tunnel接口。

配置步骤

前五个配置步骤和GRE over IPsec一致,参考 GREoverIPsec篇

6.分别在RouterA和RouterB上创建IPSec tunnel接口,其中IPSec tunnel接口的source为GRE tunnel口,且IPSec Tunnel的目的地址的路由必须从GRE Tunnel接口出去。在RouterB上注意修改地址和目的

RouterA/B=======================================
interface Tunnel0/0/1
 ip address 192.168.2.1 255.255.255.0 
 tunnel-protocol ipsec
 source Tunnel0/0/0
 destination 192.168.1.2

7.在IPSec tunnel接口上应用各自的安全框架

RouterA/B=======================================
interface Tunnel0/0/1
ipsec profile pro1

8.配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口

RouterA=======================================
ip route-static 10.1.2.0 255.255.255.0 tunnel 0/0/1 

RouterB=======================================
ip route-static 10.1.1.0 255.255.255.0 tunnel 0/0/1

9.检查配置结果,配置成功后,分别在RouterA和RouterB上执行display ike sa会显示所配置的信息,以RouterA为例

eNSP存在bug,不能显现出正确结果。