拓扑图如下:
&nb
sp; .1 133.100.1.0/28 .10
Route1-------------Route2
| |
| |
133.100.100.1/28 133. 100.110.1/28
133.200.1.1/28 133.100.210.1/28
有时候你必须在不安全的链路上跑eigrp,ipsec虽然可以提供一定安全,但是它并不能直接承载路由协议,要实现cisco有个办法:在gre隧道上跑路由协议.
当实施gre tunnel时,有以下注意事项.
1.tunnel先,crypto map 后。
2.crypto access-list 要放需跑得路由协议。
3.用loopback地址建ike对等体,及tunnel的源和目的,以保证稳定。
4.mtu得匹配哦。
5.GRE tunnel只有点对点,你必须给每条link配单独的tunnel。
步骤1.标示出要通过tunnel的感兴趣流量。用一个acl匹配感兴趣的流量类型。
R1(config)access-list 101 permit gre host 133.100.100.1 host 133.100.110.1
步骤2.建立一个与gre tunnel共用的isakmp policy
R1(config)#crypto isakmp policy 25
R1(config-isakmp-group)#hash md5
R1(config-isakmp-group)#authentication pre-share
步骤3.因为定义了认证是preshare的,所以需要以下:
R1(config)#crypto isakmp key cisco123 address 133.100.110.1
步骤4.建立一个transform set,以和ipsec共用:
R1(config)#crypto ipsec transform-set ccielab esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#mode transport
步骤5.给ipsec定义crypto map
R1(config)#crypto map GRE 50 ipsec-isakmp
R1(config-crypto-map)#set peer 133.100.110.1
R1(config-crypto-map)#set transform-set ccielab
R1(config-crypto-map)#match address 101
步骤6.因为用了loopback口代替物理口,用以下命令来让ipsec认出接口:
R1(config)#crypto map GRE local-address loopback0
步骤7.建立一个tunnel接口,来定义GRE的两端。
R1(config)#interface tunnel 0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#ip mtu 1440
R1(config-if)#tunnel source loopback 0
R1(config-if)#tunnel destination 133.100.110.1
R1(config-if)#tunnel mode gre ip
步骤8.定义你要应用在gre隧道的crypto map,在以太口和tunnel0做:
R1(config-if)#crypto map GRE
步骤9.在你的tunnel建立之前,你的路由器需要知道对端的目的地址:
R1(config)ip route 133.100.110.0 255.255.255.240 133.100.1.10
步骤10.设定eigrp的验证:
R1(config-if)#ip authentication mode eigrp 234 md5
R1(config-if)#ip authentication key-chain eigrp 234 ccie
转载地址:http://www.net130.com/CMS/Pub/Tech/tech_instance/2005_09_16_66324.htm
