MSRv5-v7ipsecvpn各种案例.docx

MSR-G2系列路由器?IPSEC OVER GRE功能的典型配置 ? 一、组网需求 RT1和RT3之间建立GRE隧道，RT1和RT3下挂网段间流量走GRE，在GRE中对流量进行加密 设备清单：MSR G2路由器2台、交换机1台 ? 二、组网图 三、配置步骤 设备版本： RT1:Release 0007P04 RT3:Release 0007P03 ? RT1配置 ? 配置RT1的外网口地址????????????? [RT1]int g0/0? [RT1-GigabitEthernet0/0]ip add 12.1.1.1 24 [RT1-GigabitEthernet0/0]qu ? 配置环回口模拟内网用户 [RT1]int lo 0 [RT1-LoopBack0]ip add 1.1.1.1 24 [RT1-LoopBack0]qu ? 配置tunnel0口，模式选择gre [RT1]int Tunnel 0 mode gre [RT1-Tunnel0]ip add 10.1.1.1 24 [RT1-Tunnel0]source 12.1.1.1 [RT1-Tunnel0]qu ? 配置静态路由，RT1出去的流量下一跳指向12.1.1.2 [RT1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 ? 配置静态路由，RT1下面终端访问RT3下面终端的流量下一跳指向tunnel0口 [RT1]ip route-static 3.3.3.3 32 Tunnel 0 ? 配置安全ACL，保护两侧内网用户 [RT1]acl number 3000 [RT1-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 3.3.3.3 0 [RT1-acl-adv-3000]qu ? 配置Ike钥匙链，地址为对端tunnel口地址，密码为sun [RT1]ike keychain 1 [RT1-ike-keychain-1]pre-shared-key address 10.1.1.2 key simple sun [RT1-ike-keychain-1]qu ? 配置IPSEC提议，加密算法使用3des-cbc,认证算法使用MD5 [RT1]ipsec transform-set 123 [RT1-ipsec-transform-set-123]esp authentication-algorithm md5 [RT1-ipsec-transform-set-123]esp encryption-algorithm 3des-cbc [RT1-ipsec-transform-set-123]qu ? 配置IPSEC策略，调用安全ACL、IPSEC提议、指定对端地址为对端tunnel口地址 [RT1]ipsec policy 123 1 isakmp [RT1-ipsec-policy-isakmp-123-1] transform-set 123 [RT1-ipsec-policy-isakmp-123-1] security acl 3000 [RT1-ipsec-policy-isakmp-123-1] remote-address 10.1.1.2 [RT1-ipsec-policy-isakmp-123-1]qu ? 在tunnel0接口下调用IPSEC策略 [RT1]int Tunnel 0 mode gre [RT1-Tunnel0] ipsec apply policy 123 ? RT3配置 ? 配置RT3的外网口地址? [RT3] int g0/0 [RT3-GigabitEthernet0/0]ip add 23.1.1.3 24 [RT3-GigabitEthernet0/0]qu ? 配置环回口模拟内网用户 [RT3]interface LoopBack0 [RT3-LoopBack0] ip address 3.3.3.3 32 [RT3-LoopBack0]qu ? 配置tunnel0口，模式选择gre [RT3]interface Tunnel0 mode gre [RT3-Tunnel0] ip address 10.1.1.2 255.255.255.0 [RT3-Tunnel0] source 23.1.1.3 [RT3-Tunnel0] destination 12.1.1.1 [RT3-Tunnel0]qu ? ???置静态路由，RT1出去的流量下一跳指向23.1.1.2 [RT3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 ? 配置静态路由，RT3下面终端访问RT1下