思科路由与主机怎么连接上网(网络工程师如何用思科路由器配置GRE Over IPsec)
Posted
篇首语:不知道自己无知,乃是双倍的无知。本文由小常识网(cha138.com)小编为大家整理,主要介绍了思科路由与主机怎么连接上网(网络工程师如何用思科路由器配置GRE Over IPsec)相关的知识,希望对你有一定的参考价值。
思科路由与主机怎么连接上网(网络工程师如何用思科路由器配置GRE Over IPsec)
前面我们分享过在eve模拟器环境下,使用思科路由器配置手工方式的IPsec V-P-N,但现实中往往不是两边站点各只有一个网段,可能会有很多网段,这就需要站点之间跑动态路由协议。但是站点之间通过IPsec V-P-N互联会有个问题:就是没有虚拟隧道接口,无法跑动态路由协议。例如跑OSPF两边无法建立邻居。所以,接下来龙哥通过分享GRE over IPsec V-P-N的配置案例,来了解看看这个问题是如何解决的?
一、拓扑图
2、需求(目的)
1、需要解决两个站点之间跑动态路由协议,能学习到对端路由。
2、需要解决安全性问题,因为使用GRE,是不安全的(明文),所以需要再GRE之下跑IPsec V-P-N解决安全性问题。
3、配置思路
1、搭建好拓扑图环境,标出规划好的IP地址。
2、修改网络设备默认名称、配置好IP地址。
3、配置分公司与总部网关设备的路由,使之互通。(这里使用默认路由)
4、配置GRE,创建虚拟隧道口,配置隧道口IP地址。
5、配置R1、R3的router id、OSPF路由协议。
6、利用ACL配置IPsec 感兴趣流。
7、配置IPsec(这里使用ike)。
8、把IPsec 策略调用到出接口下。
4、配置过程
01、搭建好拓扑图环境,标出规划好的IP地址。
关于eve模拟器如何添加设备,可参考我往期文章:
手把手教你安装eve-ng模拟器,带你遨游网络技术世界!mp.weixin.qq.com
02、修改网络设备默认名称、配置好IP地址。
R1配置(分公司网关设备)
R2(模拟互联网)
R3(模拟公司总部)
03、配置分公司与总部网关设备的路由,使之互通。
分公司的网关和总部网关设备必须能通信,你想想,现网中只要你接入运营商的网络,就能上公网,两个站点肯定能ping通。所以本实验中,用默认路由来实现两端网关设备互通的问题。
在R1配置默认路由:
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
在R3配置默认路由:
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
配置完路由后,测试一下两边站点的连通性:
04、配置GRE,创建虚拟隧道口,配置隧道口IP地址。
我们在两个站点间的网关设备,各起一个GRE的隧道接口,配置同网段IP地址:
在R1配置GRE:
在R3配置GRE:
配置GRE后,可以测试一下 R1和R3的虚拟隧道接口连通性:(此刻,它们就好比是直连一样。)
05、配置R1、R3的router id、OSPF路由协议
R1配置如下:
R3配置如下:
现在,我们来查看一下OSPF 邻居状态如何?以及是否学习到对端的路由了?
R1学习到总部的路由了:
R3学习到分公司的路由了:
现在,我们把tunnel 口 shutdown一下,然后在网关出接口抓包看一下:(这里抓包,龙哥的目的是为了待会配置IPsec V-P-N后再做个对比)
同时,我们也再次学习到了,GRE的协议号是47。
我们可以看到GRE外层的IP,使用的是网关出接口的IP地址。
06、利用ACL配置IPsec 感兴趣流
现在两边站点跑OSPF是通过GRE,包括正常的业务数据也是通过GRE来封装了:
所以,接下来,我们配置感兴趣流,只需匹配GRE的流量就可以了。
在R1配置GRE感兴趣流:
在R3配置GRE感兴趣流:
07、配置IPsec(这里使用ike)
08、把IPsec 策略调用到出接口下。
R1(config)#int e0/0
R1(config-if)#crypto map R1toR3
R1(config)#int e0/0
R1(config-if)#crypto map R1toR3
当IPsec 策略在接口下调用,可以看到日志信息,开始协商了:
因为我的抓包一直是开启着,所以接下来,我直接在R1带源地址继续ping 总部地址,然后再看看报文。
从报文看,我们可以发现,ICMP报文已经被ESP协议封装了,即被IPsec加密了,我们无法看到里面的内容。
而且两边站点OSPF定期发的hello报文,也被加密,我们无法看到真正的内容,所以安全性提高了。
配置IPsec,我们查看OSPF邻居,Full的。
顺便也验证一下其他网段连通性:(都没问题)
看完本期文章您是否有收获了呢?
相关参考
思科路由器连接电脑(网络工程实例(Cisco路由设备详解实例))
路由器配置基础一、基本设置方式一般来说,可以用5种方式来设置路由器:1.Console口接终端或运行终端仿真软件的微机;2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;3.通过Ethernet上的TFTP服务器...
思科ap与路由桥接(网络工程实例(Cisco路由设备详解实例))
路由器配置基础一、基本设置方式一般来说,可以用5种方式来设置路由器:1.Console口接终端或运行终端仿真软件的微机;2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;3.通过Ethernet上的TFTP服务器...
查看路由器接口信息的命令是(「思科网络实验001例」配置接口IPv4地址并查看状态信息)
实验目标学习并掌握在思科路由器上配置IPv4地址,使用ping命令测试连通性。实验难度★★☆☆☆☆☆☆☆实验拓扑实验任务任务1:配置两台路由器的主机名。任务2:配置路由器接口的IP地址。任务3:使用合适的命令检查以下...
思科2811路由器接口类(Cisco 基于应用的策略路由配置)
...于应用的策略路由的配置方法。实验环境1、Cisco思科2811路由器2台;实验参考拓扑实验内容例:该公司有两条上网的线路,并有两种应用:HTTP和Telnet,为了保证Telnet线路的稳定性,对网络进行应用区别,一种应用使用一条线路。...
思科三层交换机静态路由配置命令(软考之网络工程师考试知识点)
1、常用的虚拟存储器由主存-辅存两级存储器组成2、中断向量可提供中断程序的入口地址3、DMA工作方式下,在主存与外设之间建立直接的数据通信。4、PERT不能清晰秒速各个任务之间的并行情况,甘特图不能清晰描述各个问题之...
思科路由器配置教程(从零开始教你配置H3C路由器,经典干货了)
从零开始教你配置华为3COM路由器经过几十年的发展,从最初的只有四个节点的ARPANET发展到现今无处不在的Internet,计算机网络已经深入到了我们生活当中。随着计算机网络规模的爆炸性增长,作为连接设备的路由器也变得更加...
思科交换机设置静态路由(学习时间到Cisco 静态路由配置)
1。静态路由:是指用户或网络管理员手工配置的路由信息。当网络拓扑结构或链路状态发生改变时,需要网络管理员手工配置静态路由信息。相比较动态路由协议,静态路由无需频繁的交换各自的路由表,配置简单,比较适合...
思科无线路由器配置(cisco路由器常用配置命令(建议收藏))
cisco路由器常用配置命令(建议收藏)1,路由器口令设置:router>enable进入特权模式router#configterminal进入全局配置模式router(config)#hostname设置交换机的主机名router(config)#enablesecretxxx设置特权加密口令router(config)#enablepasswordxxb设置特...
思科路由器怎么设置多个端口连接(Windows server DHCP服务器为多个VLAN分配IP地址)
网络拓扑一、DHCP服务器配置(Windows2008)1、在DHCP服务器上建立三个作用域2、DHCP服务器路由设定在不同的IP地址段的路由选项设定对应VLAN的网关地址,那么不同VLAN就可以得到相应的IP二、核心交换机配置(三层交换为Cisco3560)1...
思科路由器设置图解(简单拨号网络的配置PPPOE+DHCP+NAT配置——CISCO篇)
实验拓扑拓扑说明:R1模拟营运商PPPOEServer路由器R2模拟用户PPPOEClient路由器实验要求:R1配置PPPOE认证方式为CHAP,账号密码均为ciscoR2通过PPPOE拨号链接ISP,并作为DHCPServer为PC分配地址在R2进行NAT转换,使PC可以访问外网配置清单:1...