[CISCO] Конфигурация GRE через IPSEC с OSPF (cisco tunnel gre ipsec ospf route)
Ключевые слова: cisco, tunnel, gre, ipsec, ospf, route, (найти похожие документы)
From: Alexander HunSolo <a.hunsolo@gmail.com.>
Newsgroups: http://www.ciscolab.ru/
Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC)
Subject: [CISCO] Конфигурация GRE через IPSEC с OSPF
Оригинал: http://www.ciscolab.ru/2006/12/04/ipsec_gre_osp.html
Как правило, в обычных IPSEC конфигурациях, IPSEC не может
переносить протоколы маршрутизации, такие как EIGRP и OSPF или не-IP
трафик,например, IPX. Этот документ показывает как осуществить
маршрутизацию между двумя сетями, которые используют роутинговый
протокол OSPF по зашифрованному каналу связи (IPSEC) при помощи GRE
туннеля.
Поскольку большинство роутинговых протоколов обмениваются роутинговой
информацией по IP multicast, а multicast пакеты не поддерживаются
IPSEC, то для выполнения подобной задачи роутинга между различными
сетями с использованием динамического протокола маршрутизации,
необходимо конфигурировать GRE туннель.
Схема сети, показанная на рисунке, состоит из роутера и PIX с каждой
стороны. На роутерах OSPF процесс, PIX осуществляет шифрование
трафика. На всех PIX работает PIXOS 6.3.5.
Конфигурация PIX1
!--- Трафик из inside интерфейса.
access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0
ip address outside 10.64.10.16 255.255.255.224
ip address inside 192.168.4.1 255.255.255.0
!--- Не выполняем NAT для GRE трафика.
nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
!--- Разрешаем прохождение IPSEC трафика
sysopt connection permit-ipsec
!--- IPSec конфигурация
crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.15
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside
isakmp enable outside
!--- IKE параметры.
isakmp key ******** address 10.64.10.15 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
Конфигурация PIX2
access-list nonat permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0
ip address outside 10.64.10.15 255.255.255.224
ip address inside 192.168.3.1 255.255.255.0
!--- Не натируем GRE траффик
nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
sysopt connection permit-ipsec
!--- IPSec параметры.
crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.16
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside
!--- IKE pпараметры.
isakmp enable outside
isakmp key ******** address 10.64.10.16 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
Фрагмент конфигурации роутера R1
interface Loopback0
ip address 20.20.20.20 255.255.255.0
interface Loopback1
ip address 22.22.22.22 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
!--- Tunnel source.
tunnel source Ethernet0/1
!--- Tunnel destination.
tunnel destination 192.168.3.2
!
interface Ethernet0/1
ip address 192.168.4.2 255.255.255.0
!
router ospf 22
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 22.22.22.0 0.0.0.255 area 0
ip route 0.0.0.0 0.0.0.0 192.168.4.1
ip route 10.10.10.0 255.255.255.0 Tunnel0
Конфигурация роутера R2
interface Loopback0
ip address 10.10.10.10 255.255.255.0
!
interface Loopback1
ip address 11.11.11.11 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
!--- Tunnel source.
tunnel source FastEthernet0/1
!--- Tunnel destination.
tunnel destination 192.168.4.2
!
interface FastEthernet0/1
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto
!
router ospf 11
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 11.11.11.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 192.168.3.1
ip route 20.20.20.0 255.255.255.0 Tunnel0
Источник: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml