【汇总】经典案例系列
拓扑
简介
1 、一端有固定IP,另外一边是动态的,那么两个解决办法,一个是dynamic map,另外一个就是EZVPN了,但是EZVPN必须都是cisco产品,所以这样就没戏了,但是,dynaimc map 只能是Branch先发起流量才能建立VPN
2、需要实现双方都能发起流量,并且隧道一直存在,这样必须是GRE OVER IPSEC了。
解决办法:我们可以在双方各自建立一个环回口,然后tunnel 的源和目的都是各自的环回口 ,然后感兴趣流量就是匹配这个gre的流量,运行动态路由协议,这样就变相的形成了gre over ipsec,因为动态路由协议会发送hello包,就触发了VPN的建立,其实还是Branch先行发起。 这个幸亏在平时喜欢琢磨下一些特殊的VPN案例,所以 解决起来不是很难。
Center端的配置
authentication pre-share
crypto isakmp key ccieh3c.com address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto dynamic-map dyl2l 1000
set transform-set trans
!
!
crypto map dyl2l 1000 ipsec-isakmp dynamic dyl2l
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
ip address 172.16.1.1 255.255.255.0
tunnel source Loopback0
tunnel destination 3.3.3.3
ip ospf hello-interval 120
ip mtu 1436
ip tcp adjust-mss 1410
!
interface FastEthernet0
ip address 61.11.xx.xx 255.255.255.248
duplex auto
speed auto
crypto map dyl2l
!
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
network 172.16.1.1 0.0.0.0 area 11
network 192.168.2.0 0.0.0.255 area 11
network 192.168.3.0 0.0.0.255 area 11
!
ip route 0.0.0.0 0.0.0.0 61.11.xx.xx
Branch端的配置 (H3C)
pre-shared-key cipher ccieh3c.com
remote-address 61.11.XX.XX
#
ipsec proposal 1
acl number 3000
rule 0 permit gre source 3.3.3.3 0 destination 1.1.1.1 0
#
ipsec policy center 1000 isakmp
security acl 3000
ike-peer center
proposal 1
#interface Dialer1
link-protocol ppp
ppp pap local-user XXXXXX password simple XXXX
ip address ppp-negotiate
dialer user XXXXX
dialer-group 1
dialer bundle 1
ipsec policy center
mtu 1492
tcp mss 1450
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
interface Tunnel0
ip address 172.16.1.2 255.255.255.0
source LoopBack0
destination 1.1.1.1
ospf timer hello 120
mtu 1436
tcp mss 1410
ospf 1 router-id 3.3.3.3
area 0.0.0.11
network 172.16.1.2 0.0.0.0
network 192.168.3.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 Dialer1
总结
传统的 Gre Over IPSec封装是transport模式, 因为 | 新IP头部| ESP| GRE | 私网IP头部| data
这里封装是 | 新的头部 |ESP |GRE的源目IP | GRE | 私网头部 | data
触发过程:这里注意,无论什么时候都是分部先行发起的,因为总部根本不知道可以和谁连接VPN,分部的OSPF周期性的发送hello包,它是包裹在GRE里面,而GRE的源目是host 3.3.3.3 host 1.1.1.1 ,这里就匹配了感兴趣流量,就直接进行ESP的封装,然后,产生新的头部,源是Branch端的,目的是Center端的IP,到达Center后,Center查看策略是否匹配,然后预共享密钥的地址是和任何人建立,可以通过,感兴趣流量复制Branch端的,这里为镜像,有了感兴趣流量,双方的OSPF就能正常建立了,可以查看刚刚show crypto ipsec sa,ACL的是匹配1.1.1.1 3.3.3.3 47 (协议)
优化
1、这里注意VPN封装后,产生的新的头部,所以一般容易超出MTU的,所以建议修改,这样不会进行分片,不分片的话,节省了路由器的资源。
2、另外就是路由协议的hello包时间,默认是10s,这样是在公网上传输的,并且双方好需要加解密,这样对于带宽的资源消耗和路由器都是个负担,所以建议修改长点。
这些特殊案例不是什么时候都需要的,但是又存在,所以建议大家都了解下封装结构,其实了解了封装结构,就知道怎么去建立一些特殊需求的VPN,也知道路由怎么解决。
下载文档
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~
(广告)博主自主原创最新实战课程
(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题
