The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

[CISCO] Конфигурация GRE через IPSEC с OSPF (cisco tunnel gre ipsec ospf route)


<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>
Ключевые слова: cisco, tunnel, gre, ipsec, ospf, route,  (найти похожие документы)
From: Alexander HunSolo <a.hunsolo@gmail.com.> Newsgroups: http://www.ciscolab.ru/ Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC) Subject: [CISCO] Конфигурация GRE через IPSEC с OSPF Оригинал: http://www.ciscolab.ru/2006/12/04/ipsec_gre_osp.html Как правило, в обычных IPSEC конфигурациях, IPSEC не может переносить протоколы маршрутизации, такие как EIGRP и OSPF или не-IP трафик,например, IPX. Этот документ показывает как осуществить маршрутизацию между двумя сетями, которые используют роутинговый протокол OSPF по зашифрованному каналу связи (IPSEC) при помощи GRE туннеля. Поскольку большинство роутинговых протоколов обмениваются роутинговой информацией по IP multicast, а multicast пакеты не поддерживаются IPSEC, то для выполнения подобной задачи роутинга между различными сетями с использованием динамического протокола маршрутизации, необходимо конфигурировать GRE туннель. Схема сети, показанная на рисунке, состоит из роутера и PIX с каждой стороны. На роутерах OSPF процесс, PIX осуществляет шифрование трафика. На всех PIX работает PIXOS 6.3.5. Конфигурация PIX1 !--- Трафик из inside интерфейса. access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0 ip address outside 10.64.10.16 255.255.255.224 ip address inside 192.168.4.1 255.255.255.0 !--- Не выполняем NAT для GRE трафика. nat (inside) 0 access-list nonat route outside 0.0.0.0 0.0.0.0 10.64.10.1 1 !--- Разрешаем прохождение IPSEC трафика sysopt connection permit-ipsec !--- IPSec конфигурация crypto ipsec transform-set pixset esp-des esp-md5-hmac crypto map pixmap 20 ipsec-isakmp crypto map pixmap 20 match address nonat crypto map pixmap 20 set peer 10.64.10.15 crypto map pixmap 20 set transform-set pixset crypto map pixmap interface outside isakmp enable outside !--- IKE параметры. isakmp key ******** address 10.64.10.15 netmask 255.255.255.255 isakmp identity address isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash md5 isakmp policy 20 group 1 isakmp policy 20 lifetime 3600 Конфигурация PIX2 access-list nonat permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0 ip address outside 10.64.10.15 255.255.255.224 ip address inside 192.168.3.1 255.255.255.0 !--- Не натируем GRE траффик nat (inside) 0 access-list nonat route outside 0.0.0.0 0.0.0.0 10.64.10.1 1 sysopt connection permit-ipsec !--- IPSec параметры. crypto ipsec transform-set pixset esp-des esp-md5-hmac crypto map pixmap 20 ipsec-isakmp crypto map pixmap 20 match address nonat crypto map pixmap 20 set peer 10.64.10.16 crypto map pixmap 20 set transform-set pixset crypto map pixmap interface outside !--- IKE pпараметры. isakmp enable outside isakmp key ******** address 10.64.10.16 netmask 255.255.255.255 isakmp identity address isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash md5 isakmp policy 20 group 1 isakmp policy 20 lifetime 3600 Фрагмент конфигурации роутера R1 interface Loopback0 ip address 20.20.20.20 255.255.255.0 interface Loopback1 ip address 22.22.22.22 255.255.255.0 ! interface Tunnel0 ip address 1.1.1.2 255.255.255.0 !--- Tunnel source. tunnel source Ethernet0/1 !--- Tunnel destination. tunnel destination 192.168.3.2 ! interface Ethernet0/1 ip address 192.168.4.2 255.255.255.0 ! router ospf 22 log-adjacency-changes network 1.1.1.0 0.0.0.255 area 0 network 22.22.22.0 0.0.0.255 area 0 ip route 0.0.0.0 0.0.0.0 192.168.4.1 ip route 10.10.10.0 255.255.255.0 Tunnel0 Конфигурация роутера R2 interface Loopback0 ip address 10.10.10.10 255.255.255.0 ! interface Loopback1 ip address 11.11.11.11 255.255.255.0 ! interface Tunnel0 ip address 1.1.1.1 255.255.255.0 !--- Tunnel source. tunnel source FastEthernet0/1 !--- Tunnel destination. tunnel destination 192.168.4.2 ! interface FastEthernet0/1 ip address 192.168.3.2 255.255.255.0 duplex auto speed auto ! router ospf 11 log-adjacency-changes network 1.1.1.0 0.0.0.255 area 0 network 11.11.11.0 0.0.0.255 area 0 ! ip route 0.0.0.0 0.0.0.0 192.168.3.1 ip route 20.20.20.0 255.255.255.0 Tunnel0 Источник: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml

<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>

Ваш комментарий
Имя:         
E-Mail:      
Заголовок:
Текст:





  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor