ipsec over gre

所有测试中的路由均使用默认路由指向对方的tunnel地址

 

R1全局模式下配置

interface Tunnel1

 ip address 10.10.10.1 255.255.255.252

 tunnel source GigaEthernet0/3

 tunnel destination 10.10.12.2

 

crypto isakmp key 123456 10.10.10.2 255.255.255.255  //设置与对端的预共享秘钥

 

crypto isakmp policy 1    //第一阶段加密

 encryption des

 hash md5

 group 1

 authentication pre-share

 

crypto ipsec transform-set p2   //第二阶段加密

 transform-type esp-des

 

ip access-list extended ipsecacl        //创建访问列表

 permit ip 1.1.1.1 255.255.255.255 2.2.2.2 255.255.255.255   //对从1.1.1.1去2.2.2.2的流量进行加密

的

crypto map map 1 ipsec-isakmp

 set peer 10.10.10.2            //配置对等体，对端tunnel的IP地址

 set transform-set p2                         //采用P2的加密算法

 match address ipsecacl         //匹配访问列表

 

interface Tunnel1

 crypto map map             //应用crypto策略

 

 

R2全局模式下配置

interface Tunnel1

 ip address 10.10.10.2 255.255.255.252

 tunnel source GigaEthernet0/3

 tunnel destination 10.10.12.1

 

crypto isakmp key 123456 10.10.10.1 255.255.255.255  //设置与对端的预共享秘钥

 

crypto isakmp policy 1    //第一阶段加密

 encryption des

 hash md5

 group 1

 authentication pre-share

 

crypto ipsec transform-set p2   //第二阶段加密

 transform-type esp-des

 

ip access-list extended ipsecacl        //创建访问列表

 permit ip 2.2.2.2 255.255.255.255 1.1.1.1 255.255.255.255   //对2.2.2.2去1.1.1.1的流量进行加密

的

crypto map map 1 ipsec-isakmp

 set peer 10.10.10.1            //配置对等体，对端tunnel的IP地址

 set transform-set p2                         //采用P2的加密算法

 match address ipsecacl        //匹配访问列表

 

interface Tunnel1

 crypto map map             //应用crypto策略

 

 

配置成功状态

 

 

 

抓包测试

RT1 ping 2.2.2.2 –i 1.1.1.1

Ping 192.168.2.1 –i 192.168.1.1

这里只加密了扩展访问列表中的数据