H3C-v7版本-ipsec-over-gre配置指导.docxVIP

Ipsec over gre配置 RT1和RT3用环回口来模拟私网上的接口。 它们的封装方式是先封装ipsec，然后在进行gre的封装，所以在ipsec的ACL中要匹配的事两端私网的地址。 报文的封装格式： IP公|gre|ip头|esp头|ip私|date|esp尾 RT1的主要配置： 进入系统试图 H3Csystem-view 配置接口IP [H3C]interface GigabitEthernet 0/0 [H3C-GigabitEthernet0/0]ip 创建环回接口： [H3C-GigabitEthernet0/0]quit [H3C]interface LoopBack 0 [H3C-LoopBack0]ip 创建Tunnel口： [H3C-LoopBack0]quit [H3C]interface Tunnel 0 mode gre [H3C-Tunnel0]ip 指定Tunnel口源接口地址 指定Tunnel口目的端地址 [H3C-Tunnel0] quit 创建访问控制列表 [H3C]acl advanced 3000 [H3C-acl-ipv4-adv-3000]rule 0 permit ip [H3C-acl-ipv4-adv-3000]quit 创建ipsec安全提议tran1 [H3C]ipsec transform-set tran1 指定安全协议的工作模式为隧道模式 [H3C-ipsec-transform-set-tran1]encapsulation-mode tunnel 选择安全协议为esp [H3C-ipsec-transform-set-tran1]protocol esp 加密算法为des [H3C-ipsec-transform-set-tran1]esp encryption-algorithm des-cbc 验证算法为md5 [H3C-ipsec-transform-set-tran1]esp authentication-algorithm md5 [H3C-ipsec-transform-set-tran1]quit 配置ike kaychain，创建ike1 [H3C]ike keychain ike1 配置对端tunnel口的IP和使用的预共享秘钥 [H3C-ike-keychain-ike1]quit 创建ike profile，名称为profile1 [H3C]ike profile profile1 绑定ike keychain [H3C-ike-profile-profile1]keychain ike1 配置本地封装的IP地址 配置对端封装的IP地址 [H3C-ike-profile-profile1]quit 创建一条ike协商方式的ipsec安全策略，序列号为1，名字为policy1 [H3C]ipsec policy policy1 1 isakmp 指定引用ACL3000 [H3C-ipsec-policy-isakmp-policy1-1]security acl 3000 指定引用的ike profile为profile1 [H3C-ipsec-policy-isakmp-policy1-1]ike-profile profile1 指定引用的安全协议为tran1 [H3C-ipsec-policy-isakmp-policy1-1]transform-set tran1 指定对端隧道地址 [H3C-ipsec-policy-isakmp-policy1-1]quit 进入Tunnel0 [H3C]interface Tunnel0 把ipsec策略在Tunnel口生效 [H3C-Tunnel0]ipsec apply policy policy1 在三个路由器之间使用rip路由协议 [H3C]rip [H3C-rip-1]version 2 [H3C-rip-1]undo summary RT2的主要配置： H3Csystem-view [H3C]interface GigabitEthernet 0/0 [H3C-GigabitEthernet0/0]ip [H3C-GigabitEthernet0/0]quit [H3C]interface GigabitEthernet 0/1 [H3C-GigabitEthernet0/1] ip address 21 24 [H3C-GigabitEthernet0/1]quit 配置rip路由协议 [H3C]rip [H3C-rip-1]version 2 [H3C-rip-1]undo summary 2 [H3C-rip-1]network RT3的主要配置： 进入系统试图 H3Csys