Конфигурация GRE через IPSEC с OSPF

Как правило, в обычных IPSEC конфигурациях, IPSEC не может переносить протоколы маршрутизации, такие как EIGRP и OSPF или не-IP трафик,например, IPX. Этот документ показывает как осуществить маршрутизацию между двумя сетями, которые используют роутинговый протокол OSPF по зашифрованному каналу связи (IPSEC) при помощи GRE туннеля.
alt


Поскольку большинство роутинговых протоколов обмениваются роутинговой информацией по IP multicast, а multicast пакеты не поддерживаются IPSEC, то для выполнения подобной задачи роутинга между различными сетями с использованием динамического протокола маршрутизации, необходимо конфигурировать GRE туннель.

Схема сети, показанная на рисунке, состоит из роутера и PIX с каждой стороны. На роутерах OSPF процесс, PIX осуществляет шифрование трафика. На всех PIX работает PIXOS 6.3.5.

Конфигурация PIX1

<!--code1-->
<!--ecode1-->
!--- Трафик из inside интерфейса.

access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0
ip address outside 10.64.10.16 255.255.255.224
ip address inside 192.168.4.1 255.255.255.0

!--- Не выполняем NAT для GRE трафика.

nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1

!--- Разрешаем прохождение IPSEC трафика

sysopt connection permit-ipsec

!--- IPSec конфигурация

crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.15
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside
isakmp enable outside

!--- IKE параметры.

isakmp key ******** address 10.64.10.15 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
<!--code2-->
<!--ecode2-->

Конфигурация PIX2
<!--code1-->
<!--ecode1-->
access-list nonat permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0
ip address outside 10.64.10.15 255.255.255.224
ip address inside 192.168.3.1 255.255.255.0

!--- Не натируем GRE траффик

nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
sysopt connection permit-ipsec

!--- IPSec параметры.

crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.16
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside

!--- IKE pпараметры.

isakmp enable outside
isakmp key ******** address 10.64.10.16 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
<!--code2-->
<!--ecode2-->

Фрагмент конфигурации роутера R1
<!--code1-->
<!--ecode1-->
interface Loopback0
ip address 20.20.20.20 255.255.255.0
interface Loopback1
ip address 22.22.22.22 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.2 255.255.255.0

!--- Tunnel source.
tunnel source Ethernet0/1

!--- Tunnel destination.
tunnel destination 192.168.3.2
!
interface Ethernet0/1
ip address 192.168.4.2 255.255.255.0
!
router ospf 22
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 22.22.22.0 0.0.0.255 area 0
ip route 0.0.0.0 0.0.0.0 192.168.4.1
ip route 10.10.10.0 255.255.255.0 Tunnel0
<!--code2-->
<!--ecode2-->

Конфигурация роутера R2
<!--code1-->
<!--ecode1-->
interface Loopback0
ip address 10.10.10.10 255.255.255.0
!
interface Loopback1
ip address 11.11.11.11 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.0

!--- Tunnel source.
tunnel source FastEthernet0/1

!--- Tunnel destination.
tunnel destination 192.168.4.2
!
interface FastEthernet0/1
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto
!
router ospf 11
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 11.11.11.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 192.168.3.1
ip route 20.20.20.0 255.255.255.0 Tunnel0
<!--code2-->
<!--ecode2-->
Источник: http://www.cisco.com/en/US/tech/tk583/tk37...0800a43f6.shtml

Источник: www.ciscolab.ru



Опубликовал admin
16 Май, Среда 2007г.



Программирование для чайников.