The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

[CISCO] Конфигурация GRE через IPSEC с OSPF (cisco tunnel gre ipsec ospf route)


<< Предыдущая ИНДЕКС Правка src / Печать Следующая >> 
Ключевые слова: cisco, tunnel, gre, ipsec, ospf, route,  (найти похожие документы)

From: Alexander HunSolo <a.hunsolo@gmail.com.>
Newsgroups: http://www.ciscolab.ru/
Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC)
Subject: [CISCO] Конфигурация GRE через IPSEC с OSPF

Оригинал: http://www.ciscolab.ru/2006/12/04/ipsec_gre_osp.html

   Как правило, в обычных IPSEC конфигурациях, IPSEC не может
   переносить протоколы маршрутизации, такие как EIGRP и OSPF или не-IP
   трафик,например, IPX. Этот документ показывает как осуществить
   маршрутизацию между двумя сетями, которые используют роутинговый
   протокол OSPF по зашифрованному каналу связи (IPSEC) при помощи GRE
   туннеля.



   Поскольку большинство роутинговых протоколов обмениваются роутинговой
   информацией по IP multicast, а multicast пакеты не поддерживаются
   IPSEC, то  для выполнения подобной задачи роутинга между различными
   сетями с использованием динамического протокола маршрутизации,
   необходимо конфигурировать GRE туннель.

   Схема сети, показанная на рисунке, состоит из роутера и PIX с каждой
   стороны. На роутерах OSPF процесс, PIX осуществляет шифрование
   трафика. На всех PIX работает PIXOS 6.3.5.

   Конфигурация PIX1


   !--- Трафик из inside интерфейса.
   access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0
   ip address outside 10.64.10.16 255.255.255.224
   ip address inside 192.168.4.1 255.255.255.0

   !--- Не выполняем NAT для GRE трафика.
   nat (inside) 0 access-list nonat
   route outside 0.0.0.0 0.0.0.0 10.64.10.1 1

   !--- Разрешаем прохождение IPSEC трафика
   sysopt connection permit-ipsec

   !--- IPSec конфигурация
   crypto ipsec transform-set pixset esp-des esp-md5-hmac
   crypto map pixmap 20 ipsec-isakmp
   crypto map pixmap 20 match address nonat
   crypto map pixmap 20 set peer 10.64.10.15
   crypto map pixmap 20 set transform-set pixset
   crypto map pixmap interface outside
   isakmp enable outside

   !--- IKE параметры.
   isakmp key ******** address 10.64.10.15 netmask 255.255.255.255
   isakmp identity address
   isakmp policy 20 authentication pre-share
   isakmp policy 20 encryption des
   isakmp policy 20 hash md5
   isakmp policy 20 group 1
   isakmp policy 20 lifetime 3600




   Конфигурация PIX2


   access-list nonat permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0
   ip address outside 10.64.10.15 255.255.255.224
   ip address inside 192.168.3.1 255.255.255.0

   !--- Не натируем GRE траффик
   nat (inside) 0 access-list nonat
   route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
   sysopt connection permit-ipsec

   !--- IPSec параметры.
   crypto ipsec transform-set pixset esp-des esp-md5-hmac
   crypto map pixmap 20 ipsec-isakmp
   crypto map pixmap 20 match address nonat
   crypto map pixmap 20 set peer 10.64.10.16
   crypto map pixmap 20 set transform-set pixset
   crypto map pixmap interface outside

   !--- IKE pпараметры.
   isakmp enable outside
   isakmp key ******** address 10.64.10.16 netmask 255.255.255.255
   isakmp identity address
   isakmp policy 20 authentication pre-share
   isakmp policy 20 encryption des
   isakmp policy 20 hash md5
   isakmp policy 20 group 1
   isakmp policy 20 lifetime 3600




   Фрагмент конфигурации роутера R1


   interface Loopback0
   ip address 20.20.20.20 255.255.255.0
   interface Loopback1
   ip address 22.22.22.22 255.255.255.0
   !
   interface Tunnel0
   ip address 1.1.1.2 255.255.255.0

   !--- Tunnel source.
   tunnel source Ethernet0/1

   !--- Tunnel destination.
   tunnel destination 192.168.3.2
   !
   interface Ethernet0/1
   ip address 192.168.4.2 255.255.255.0
   !
   router ospf 22
   log-adjacency-changes
   network 1.1.1.0 0.0.0.255 area 0
   network 22.22.22.0 0.0.0.255 area 0
   ip route 0.0.0.0 0.0.0.0 192.168.4.1
   ip route 10.10.10.0 255.255.255.0 Tunnel0
   Конфигурация роутера R2
   interface Loopback0
   ip address 10.10.10.10 255.255.255.0
   !
   interface Loopback1
   ip address 11.11.11.11 255.255.255.0
   !
   interface Tunnel0
   ip address 1.1.1.1 255.255.255.0

   !--- Tunnel source.
   tunnel source FastEthernet0/1

   !--- Tunnel destination.
   tunnel destination 192.168.4.2
   !
   interface FastEthernet0/1
   ip address 192.168.3.2 255.255.255.0
   duplex auto
   speed auto
   !
   router ospf 11
   log-adjacency-changes
   network 1.1.1.0 0.0.0.255 area 0
   network 11.11.11.0 0.0.0.255 area 0
   !
   ip route 0.0.0.0 0.0.0.0 192.168.3.1
   ip route 20.20.20.0 255.255.255.0 Tunnel0




   Источник: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml

<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру