در این پست ما میخواهیم سنارویی که در ادامه عکس آن را قرار داده ایم را در GNS3 پیاده سازی کنیم. در این سناریو ما IPsec را بر روی GRE Tunnel فعال سازی کنیم.
آموزش اجرای سناریو IPsec بر روی GRE Tunnel
سناریوی ما به شکل زیر است:
قبل از این که دستورات زیر را در روتر خود اجرا کنید، باید اول به روتر های خود IP داده باشید سپس Tunnel میزنیم و IPsec را بر روی آنها فعال می کنیم.
دستورات مورد نیاز در روتر اول:
R1#conf t
R1(config)#int s3/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#ip route 192.168.2.0 255.255.255.0 s3/0
R1(config)#int tunnel 100
*Nov 11 17:27:13.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel100, changed state to down
R1(config-if)#tunnel source s3/0
R1(config-if)#tunnel destination 192.168.2.1
R1(config-if)#
*Nov 11 17:27:49.931: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel100, changed state to upd
R1(config-if)#ip add 10.10.10.1 255.255.255.252
R1(config-if)#
R1(config-if)#
R1(config-if)#
R1(config-if)#do ping 10.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/54/60 ms
R1(config-if)#exit
R1(config)#router eigrp 10
R1(config-router)#
R1(config-router)#no au
R1(config-router)#network 10.10.10.1 0.0.0.0
R1(config-router)#network 172.16.1.1. 0.0.0.0
*Nov 11 17:31:18.127: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.2 (Tunnel100) is up: new adjacency
R1(config-router)#exit
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#
R1(config-isakmp)#hash sha
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#
R1(config-isakmp)#group 5
R1(config-isakmp)#
R1(config-isakmp)#
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 CBTNET add 192.168.2.1
R1(config)#crypto ipsec transform-set CR esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#access-list 110 permit GRE any any
R1(config)#crypto map MAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#
R1(config-crypto-map)#set peer 192.168.2.1
R1(config-crypto-map)#
R1(config-crypto-map)#set transform-set CR
R1(config-crypto-map)#match address 110
R1(config-crypto-map)#
R1(config-crypto-map)#
R1(config-crypto-map)#exit
R1(config)#int s3/0
R1(config-if)#
R1(config-if)#crypto map MAP
R1(config-if)#
R1(config-if)#
*Nov 11 17:36:23.795: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
دستورات مورد نیاز در روتر دوم:
R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)# R2(config)# R2(config)#int s3/0 R2(config-if)# R2(config-if)# R2(config-if)#no sh *Nov 11 17:19:13.263: %LINK-3-UPDOWN: Interface Serial3/0, changed state to up *Nov 11 17:19:14.271: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial3/0, changed state to up R2(config-if)#ip add 192.168.1.2 255.255.255.0 R2(config-if)#no sh R2(config-if)#ip add 192.168.2.2 255.255.255.0
دستورات مورد نیاز در روتر سوم:
R3(config)#int s3/0
R3(config)#no sh
R3(config)#ip add 192.168.2.1 255.255.255.0
R3(config)#
R3(config)#ip route 192.168.1.0 255.255.255.0 s3/0
R3(config)#int tunnel 100
*Nov 11 17:28:21.051: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel100, changed state to down
R3(config-if)#tunnel source s3/0
R3(config-if)#tunnel destination 192.168.1.1
*Nov 11 17:28:50.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel100, changed state to up
چون هر دو سر تانل آی پی گرفته است آپ می شود
R3(config-if)#ip add 10.10.10.2 255.255.255.252
R3(config-if)#do ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/68/84 ms
R3(config-if)#exit
R3(config)#
R3(config)#
R3(config)#router eigrp 10
R3(config-router)#
R3(config-router)#no au
R3(config-router)#
R3(config-router)#network 10.10.10.2 0.0.0.0
R3(config-router)#network 172.16.2.1 0.0.0.0
*Nov 11 17:31:18.159: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.1 (Tunnel100) is up: new adjacency
R3(config-router)#
*Nov 11 17:36:38.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.1 (Tunnel100) is down: holding time expired
R3(config-router)#exit
R3(config)#
R3(config)#crypto isakmp enable
R3(config)#
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#
R3(config-isakmp)#hash sha
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#
R3(config-isakmp)#
R3(config-isakmp)#group 5
R3(config-isakmp)#
R3(config-isakmp)#
R3(config-isakmp)#
R3(config-isakmp)#exit
R3(config)#
R3(config)#crypto isakmp key 0 CBTNET add 192.168.1.1
R3(config)#
R3(config)#
R3(config)#crypto ipsec transform-set CR esp-3des esp-sha-hmac
R3(cfg-crypto-trans)#exit
R3(config)#
R3(config)#access-list 110 permit GRE any any
R3(config)#
R3(config)#crypto map MAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
آن را مشخص نکنیم غیر فعال است peerتازمانی که
R3(config-crypto-map)#
R3(config-crypto-map)#
R3(config-crypto-map)#set peer 192.168.1.1
R3(config-crypto-map)#set transform-set CR
R3(config-crypto-map)#
R3(config-crypto-map)#
R3(config-crypto-map)#match add 110
R3(config-crypto-map)#
R3(config-crypto-map)#
R3(config-crypto-map)#
R3(config-crypto-map)#exit
R3(config)#
R3(config)#
R3(config)#int s3/0
R3(config-if)#
R3(config-if)#crypto map MAP
R3(config-if)#
R3(config-if)#
R3(config-if)#
*Nov 11 17:41:26.863: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#
*Nov 11 17:41:32.131: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.1 (Tunnel100) is up: new adjacency
R3(config-if)#
R3(config-if)#
R3(config-if)#exit
R3(config)#
R3(config)#^Z
R3#
*Nov 11 17:41:59.963: %SYS-5-CONFIG_I: Configured from console by console
R3#show crypto ipsec SA
interface: Serial3/0
Crypto map tag: MAP, local addr 192.168.2.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
current_peer 192.168.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 11, #pkts encrypt: 11, #pkts digest: 11
#pkts decaps: 11, #pkts decrypt: 11, #pkts verify: 11
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial3/0
current outbound spi: 0x1D5C89F7(492603895)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x1860ABCC(408988620)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, sibling_flags 80000046, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4526244/3559)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1D5C89F7(492603895)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, sibling_flags 80000046, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4526244/3559)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
R3#ping 172.16.1.1 source 172.16.2.1
شما میتوانید با دستور show ببینید که IPsec فعال شده است یا خیر.
گیگ بوی مرجع مقالات و نرم افزارهای شبکه
منبع
arashbabaei
