IPsec over GRE VPN 实验

实验拓扑

注：如无特别说明，描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备，R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备，以此类推；另外，同一网段中，IP 地址的主机位为其设备编号，如 R3 的 g0/0 接口若在 192.168.1.0/24 网段，则其 IP 地址为 192.168.1.3/24，以此类推

实验需求

1. 按照图示配置 IP 地址，R1 和 R3 配置 Loopback0 口模拟业务网段
2. R1 和 R3 上配置默认路由连通公网
3. R1 和 R3 上配置 IPsec over GRE VPN 来连通两端内网
4. R1 和 R3 配置 OSPF 来传递内网路由

实验解法

1. 配置 IP 地址部分略

2. 配置默认路由部分略

3. R1 和 R3 上配置 IPsec over GRE VPN 来连通两端内网

   步骤 1：在 R1 上创建 GRE Tunnel 口，配置源和目的地址为本地和对端的公网 IP 地址

   步骤 2：在 R1 上创建感兴趣流，源和目的是本端和对端私网地址网段

   步骤 3：在 R1 上创建 IKE 提议，使用默认配置即可

   步骤 4：在 R1 上创建 IKE 预共享密钥，使用对端 Tunnel 口地址标识身份

   [R1]ike keychain r3
   [R1-ike-keychain-r3]pre-shared-key address 10.1.1.3 key simple 123456
   

   步骤 5：在 R1 上创建 IKE 模板，匹配地址为 Tunnel 口地址

   [R1]ike profile r3
   [R1-ike-profile-r3]proposal 1
   [R1-ike-profile-r3]keychain r3
   [R1-ike-profile-r3]local-identity address 10.1.1.1
   [R1-ike-profile-r3]match remote identity address 10.1.1.3
   

   步骤 6：在 R1 上创建 IPsec 转换集

   步骤 7：在 R1 上创建 IPsec 策略，调用上述配置，配置对端地址为对端 Tunnel 口地址

   [R1]ipsec policy r3 1 isakmp 
   [R1-ipsec-policy-isakmp-r3-1]security acl 3000
   [R1-ipsec-policy-isakmp-r3-1]transform-set r3
   [R1-ipsec-policy-isakmp-r3-1]ike-profile r3
   [R1-ipsec-policy-isakmp-r3-1]remote-address 10.1.1.3
   

   步骤 8：在 Tunnel 口下发 IPsec 策略

   [R1-Tunnel0]ipsec apply policy r3
   

   步骤 9：在 R3 上配置 IPsec over GRE VPN，配置方法与 R1 一致，把 IP 地址对调即可

4. R1 和 R3 配置 OSPF 来传递内网路由

   注意：R1 和 R3 上配置 OSPF 宣告业务网段和 Tunnel 口所在网段即可

   效果测试：R1 使用业务网段口为源地址 Ping R3 的业务网段，可以 Ping 通，并且成功建立了 IKE SA 和 IPsec SA

   [R1]display ike sa 
       Connection-ID   Remote                Flag         DOI    
       ------------------------------------------------------------------
       1               10.1.1.3              RD           IPsec  
   Flags:
   RD--READY RL--REPLACED FD-FADING RK-REKEY
   

   [R1]display ipsec sa
       -------------------------------
   Interface: Tunnel0
       -------------------------------
   
       -----------------------------
   IPsec policy: r3
   Sequence number: 1
   Mode: ISAKMP
       -----------------------------
       Tunnel id: 0
       Encapsulation mode: tunnel
       Perfect Forward Secrecy: 
       Inside VPN: 
       Extended Sequence Numbers enable: N
       Traffic Flow Confidentiality enable: N
       Path MTU: 1404
       Tunnel:
           local  address: 10.1.1.1
           remote address: 10.1.1.3
       Flow:
           sour addr: 192.168.1.0/255.255.255.0  port: 0  protocol: ip
           dest addr: 192.168.2.0/255.255.255.0  port: 0  protocol: ip
   
       [Inbound ESP SAs]
        SPI: 1293064055 (0x4d129777)
       Connection ID: 4294967296
       Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
       SA duration (kilobytes/sec): 1843200/3600
       SA remaining duration (kilobytes/sec): 1843199/3457
       Max received sequence-number: 4
       Anti-replay check enable: Y
       Anti-replay window size: 64
       UDP encapsulation used for NAT traversal: N
       Status: Active
   
       [Outbound ESP SAs]
       SPI: 270203743 (0x101afb5f)
       Connection ID: 4294967297
       Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
       SA duration (kilobytes/sec): 1843200/3600
       SA remaining duration (kilobytes/sec): 1843199/3457
       Max sent sequence-number: 4
       UDP encapsulation used for NAT traversal: N
       Status: Active