| 实验难度 | 3 |
| 实验复杂度 | 3 |
目录
一、实验原理
GRE技术可以实现两个办事处的内网之间的数据通信,但是GRE协议有一个弊端,那就是它不具备数据加密特性。当需要在公网中传输机密性的数据时,若被有心人抓包进行分析,这些明文的数据就很容易被分析出来,所以它不是一个安全的协议。IPSec它可以实现数据的机密性传输,但是它的弊端之一就是无法进行多播更新(比如OSPF/RIP/EIGRP之类都是使用多播地址更新的),这样的话,它就无法在保证数据机密性的同时保证内网之间的路由更新。那能不能把GRE与IPSec的特性综合起来,使得不同地方的内网之间可以相互通信又可以保证数据的机密性?
答案是可以的,我们可以把所有的IPSec数据封装在GRE中,这样每个IPSec的报文就可以通过GRE协议来传输。当然也可以把GRE的数据封装在IPSec,下一章将会介绍IPSec over GRE。
二、实验拓扑
三、实验步骤
1.如图搭建网络拓扑;
2.初始化设备,配置相应的IP地址,测试直连网络的连通性;
3.在R1与R3上配置默认路由,使得它们可以相互通信;
4.配置GRE,通信网络为10.1.1.0/24;
5.配置IPSec,采用3des加密算法,MD5哈希数据,预共享方式验证;
6.配置EIGRP协议,使得公司总部与公司分部可以相互通信。
四、实验过程
1.如图搭建网络拓扑;
略。
2.初始化设备,配置相应的IP地址,测试直连网络的连通性;
略。
3.在R1与R3上配置默认路由,使得它们可以相互通信;
4.配置GRE,通信网络为10.1.1.0/24;
R1:
R3:
效果:
R1与R3的GRE隧道IP地址可以通信
5.配置IPSec,采用3des加密算法,MD5哈希数据,预共享方式验证;
(1)R1:
(3)R3:
6.配置EIGRP协议,使得公司总部与公司分部可以相互通信。
R1:
R3:
效果:
(1)公司总部与分部的内网都有彼此的路由
(2)内网互通
(3)抓包发现,路由更新的数据包都是采用ESP(IPSec)方式封装的
代码解析:
R1(config)#access-list 100 permit gre host 100.1.1.1 host 200.1.1.1 //配置ACL100,匹配主机100.1.1.1到主机200.1.1.1的GRE流量
总结
采用GRE over IPSec技术是把GRE的数据封装在IPSec中,简单地说,就是GRE使用IPSec的报头来传输数据,所有的GRE数据在出口设备处都会经过IPSec的加密处理,在到达远程路由器的入口时会被IPSec进行解密处理,这样就实现了两个内网之间的机密性传输。本章节的内容就是把GRE与IPSec的技术综合起来使用,以达到公司内网之间机密性传输,难度不算高。好了,我们在下一个章节再见,加油!