Статьи и заметки об информационных технологиях
Блудная статья
О компании// Статьи// Рубрикатор// Каталог оборудования//
Поиск// Карта сайта// RSS// Ссылки//

Настройка туннеля GRE между маршрутизаторами Cisco [27.03.2007]

Как настроить туннель GRE между маршрутизаторами Cisco.
У туннелей IPSec, настройка которых рассматривалась ранее (http://www.hypercomp.ru/articles/setting-up-ipsec-tunnel-between-cisco-routers/) есть недостаток – они не умеют шифровать и передавать multicast-трафик, например, пакеты некоторых протоколов маршрутизации. Также не передается трафик с протоколами, отличными от IP. Эти недостатки устраняются использованием GRE-туннелей, которые позволяют передавать любой трафик. Рассмотрим пример конфигурации такого туннеля, конфигурация сети такая же, как в предыдущем примере (http://www.hypercomp.ru/articles/setting-up-ipsec-tunnel-between-cisco-routers/).

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

hostname c2811-1

no aaa new-model

ip cef

crypto isakmp policy 100
 encryption aes           # можно выбирать des, 3des, aes 128, aes 192, aes 256
 hash md5                 # md5 или sha1
 authentication pre-share #pre-share, rsa-sig или rsa-encr
 group 2                  # группа безопасности для шифрования трафика при обмене ключами между маршрутизаторами
crypto isakmp key cisco address 10.0.2.1  # адрес другого маршрутизатора – конца туннеля
 mode transport           # при этом меньше добавочных заголовков к пакетам

crypto ipsec transform-set PEERS esp-aes esp-md5-hmac

crypto map IPSEC 300 ipsec-isakmp
 set peer 1.0.2.1                       # адрес другого маршрутизатора – конца туннеля
 set security-association idle-time 600
 set transform-set PEERS
 set pfs group1                         # использование DH-алгоритма при первоначальном обмене ключами
 match address ACL_GRE

interface FastEthernet0/0               # внешний интерфейс
 encapsulation dot1Q 1 native
 ip address 1.0.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map IPSEC

interface FastEthernet0/1               # внутренний интерфейс
 encapsulation dot1Q 2
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status

interface Tunnel0
 ip address 192.168.3.1 255.255.255.0   # отдельная частная сеть
 tunnel source 1.0.1.1
 tunnel destination 1.0.2.1

ip route 0.0.0.0 0.0.0.0 1.0.1.2        # для передачи пакетов с «внешними» адресами
ip access-list extended ACL_GRE         # крипто-ACL
 permit gre host 10.0.0.1 host 10.0.0.2

router eigrp 1                          # внутренние сети и сеть GRE-туннеля
 network 192.168.1.0
 network 192.168.2.0
 network 192.168.3.0
no auto-summary

line con 0
line aux 0
line vty 0 4
 password cisco
 login



del.icio.us News2 Digg Furl ma.gnolia Technorati Cosmos Blinklist Yahoo! My Web BlinkBits Blogmarks Co.mments.com Connotea De.lirio.us Fark Feedmelinks LinkaGoGo NewsVine Netvouz RawSugar ReddIt Scuttle Shadows Simply Smarking Spurl TailRank Wists Segnalo Добавить на Mr. Wong Добавить на Webnews Добавить на Icio Добавить на Oneview Добавить на Folkd Добавить на Yigg Добавить на Linkarena Добавить на StumbleUpon Добавить на Slashdot Добавить на Netscape Добавить на Google Добавить на Diigo Забобрить эту страницу! Добавить в закладки МоёМесто.ru