一、GRE 通用路由封装
1.GRE配置
- 需要保证路由(公网路由)可达。
- 建立GRE隧道(tunnel口–逻辑三层接口) 隧道两端tunnel地址需要在同一个网段
- 互相学习路由-----1.动态路由协议 2.静态 如果你和公网的路由协议一样的话,宣告的进程要和公网进程不一样,别忘了宣告tunnel所在的网段地址。
Tunnel口配置 —1.地址(私网地址) 2.封装–GRE 3.隧道源地址 4.隧道目的地址—公网地址
GRE安全性较低
?
?
二、IPSEC 框架性的安全协议
1.认证头AH
?
?
2.ESP封装
手动配置ipsec vpn—不建议使用
前提条件是路由可达(加密点之间的路由可达—公网路由可达)
配置流程:
1.定义要保护的数据流—acl
2.配置ipsec安全提议
3.配置安全策略
4.讲ipsec安全策略调用到接口—物理口
?
?
三、IKE—互联网密钥交换协议
1.IKEV1 第一阶段建立IKE SA
野蛮模式可以支持地址不固定----例如NAT PPPOE NAT-T
?
2.第二阶段建立ipsec SA —主模式,三条信息
?
3.使用IKE方式动态协商建立Ipsec vpn配置:(6个步骤)
1. 第一步:定义需要保护的数据流
2. 第二步:配置ipsec的安全提议
3. 第三步:定义IKE安全提议(可以不用定义,因为有默认的)
[AR2]dis ike proposal
Number of IKE Proposals: 1
IKE Proposal: Default
Authentication method : pre-shared
Authentication algorithm : SHA1
Encryption algorithm : DES-CBC
DH group : MODP-768
SA duration : 86400
PRF : PRF-HMAC-SHA
4. 第四步:配置IKE对等体
ike peer spua v1
pre-shared-key simple huawei
remote-address 10.0.13.3
5.配置安全策略
ipsec policy cisco 10 isakmp
security acl 3999
ike-peer spub
proposal huawei
6.接口调用安全策略
缺点 私网之间无法跑动态路由协议