企業(yè)安全應用學習其實很簡單21篇多廠商系列之二ciscoh3c gre over ipsec svti_第1頁
企業(yè)安全應用學習其實很簡單21篇多廠商系列之二ciscoh3c gre over ipsec svti_第2頁
企業(yè)安全應用學習其實很簡單21篇多廠商系列之二ciscoh3c gre over ipsec svti_第3頁
企業(yè)安全應用學習其實很簡單21篇多廠商系列之二ciscoh3c gre over ipsec svti_第4頁
企業(yè)安全應用學習其實很簡單21篇多廠商系列之二ciscoh3c gre over ipsec svti_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

在傳統(tǒng)的IPsec 中,IPsec只能為IPv4單播提供服務,因為IPsec技術是從IPv6挪移過來的,當時候沒考慮到這種應以,必須使用一種技術來承載組播與廣播包,這就是我們的GenericRoutingEncapsulation(GRE),也就是我們常用的 出的一個feature,讓IPsec有一個靜態(tài)的接口,這樣就不需要借助任何協(xié)議,就可單獨完成動態(tài)路由協(xié)議的建立。GREciscoIEFTIP,et,IPX,Appletalk。默point-to-pointmulticastpointGRE的地址是可達,那么這個隧道就會up。Interfacetunneltunnelsource tunneldestinationipaddress172.16.1.1地址路由可達,那么就會自動up。interfacetunnel0tunneldestinationipadd172.16.1.2IPGREICMPIP頭部(公網(wǎng))SIP:202.100.1.1DIP:202.200.2,.1|GREIP頭部SIP:172.16.1.1 |ICMP頭部|由于GRE沒有物理層的特性,所以只要條件可達,那么就會UP,后來,引進了一種類似與 于探測對方的存在,默認為10s一次,3次收不到對方的 o就down了。interfacetunnelkeepalive10 R1shutdown,R330sdownGREOverGREOverIPsecIPsecgreIPsecOverGRE,就是說IPsecGREOverIPsectunnel,tunnel態(tài)路由協(xié)議的話,GREtunnelIPGRE,那么我們的加密點可以是SIP202.100.1.1DIP202。100.2.1gre的流量,通訊點由于是路由協(xié)議并且被GRE包裹著,SIP202.100.1.1DIP202.100.2.1DIP:202.100.1.1DIP:202.100.2.1|ESP|GRE|tunnelGREOverIPsec1、cryptoisakmp102、cryptoisakmpkey0 address202.100.2.13、cryptoipsectransform-settransesp-desesp-md5-hmacmode4、access-list100permitgrehost202.100.1.1host202.100.2.15、cryptomapl2l10ipsec-isakmpmatchaddresssetpeer6、interfacef0/0cryptomap1、cryptoisakmp102、cryptoisakmpkey0 address202.100.1.13、cryptoipsectransform-settransesp-desesp-md5-hmacmode4、access-list100permitgrehost202.100.2.1host202.100.1.15、cryptomapl2l10ipsec-isakmpmatchaddresssetpeer202.100.1.16、interfacef0/1rotuerospfrouter-idnetwork172.16.1.00.0.0.255anetwork1.1.1.10.0.0.0arouterospfrouter-idnetwork17216.1.00.0.255anet1.1.1.10.0.0.0a會發(fā)現(xiàn)IPsec會自動的建立起來,這是因為路由協(xié)議的o包觸發(fā)了IPsec的隧道建立。這里注意的是,不需要公去了需要大量ACL的輸入。IPsecSVTIStaticVIrtualTunnelinterface,ciscoIOS12.4推出的新特性,為IPsecTunnel持各種組播和廣播的傳遞。它的出現(xiàn)比GREOverIPSec更簡化配置和許多特性的支持。cryptoisakmp10cryptoisakmpkeyciscoaddresscryptoipsectransform-settransesp-desesp-md5-hmacmodetransportcryptoipsecprofileinterfacetunnel0tunnelmodeipsecipv4tunnelprotectionipsecprofileipsecprofileTunnelIPsecipv4流量,也沒有Peer,在這種技術中,tunnel的destination就是peer,而感流量就是通過IPsec封裝的流量。這種技術不需要依賴GRE,也不會存在GRE頭部。IPsecMAPIP,而動mapIP獲取,后續(xù)的remoteEZ擴展性很強還有DM這些技術應用的非常廣泛,也適用于現(xiàn)在IPv4的網(wǎng)絡。interfaceTunnel0sources0/2/0ipadd172.16.1.1interfaceTunnel0sources0/2/0ipadd172.16.1.2IKE:IKEpeer1IPSEC:ipsecproposalipsecprofileike-peerproposalintertunipsecprofile1這里注意的是,如果不封裝ipsecipv4的話,那么就不會有ipsecp

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論