前面我们分享过在eve模拟器环境下，使用思科路由器配置手工方式的IPsec V-P-N，但现实中往往不是两边站点各只有一个网段，可能会有很多网段

 

前面我们分享过在eve模拟器环境下，使用思科路由器配置手工方式的IPsec V-P-N，但现实中往往不是两边站点各只有一个网段，可能会有很多网段，这就需要站点之间跑动态路由协议但是站点之间通过IPsec V-P-N互联会有个问题：。

就是没有虚拟隧道接口，无法跑动态路由协议。例如跑OSPF两边无法建立邻居。所以，接下来龙哥通过分享GRE over IPsec V-P-N的配置案例，来了解看看这个问题是如何解决的？一、拓扑图

2、需求（目的）1、需要解决两个站点之间跑动态路由协议，能学习到对端路由2、需要解决安全性问题，因为使用GRE，是不安全的（明文），所以需要再GRE之下跑IPsec V-P-N解决安全性问题3、配置思路。

1、搭建好拓扑图环境，标出规划好的IP地址2、修改网络设备默认名称、配置好IP地址3、配置分公司与总部网关设备的路由，使之互通（这里使用默认路由）4、配置GRE，创建虚拟隧道口，配置隧道口IP地址5、配置R1、R3的router id、OSPF路由协议。

6、利用ACL配置IPsec 感兴趣流7、配置IPsec（这里使用ike）8、把IPsec 策略调用到出接口下4、配置过程01、搭建好拓扑图环境，标出规划好的IP地址关于eve模拟器如何添加设备，可参考我往期文章：。

手把手教你安装eve-ng模拟器，带你遨游网络技术世界！mp.weixin.qq.com02、修改网络设备默认名称、配置好IP地址。R1配置（分公司网关设备）

R2(模拟互联网)

R3(模拟公司总部)

03、配置分公司与总部网关设备的路由，使之互通分公司的网关和总部网关设备必须能通信，你想想，现网中只要你接入运营商的网络，就能上公网，两个站点肯定能ping通所以本实验中，用默认路由来实现两端网关设备互通的问题。

在R1配置默认路由：R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2在R3配置默认路由：R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2

配置完路由后，测试一下两边站点的连通性：

04、配置GRE，创建虚拟隧道口，配置隧道口IP地址。

我们在两个站点间的网关设备，各起一个GRE的隧道接口，配置同网段IP地址：在R1配置GRE：

在R3配置GRE：

配置GRE后，可以测试一下 R1和R3的虚拟隧道接口连通性：（此刻，它们就好比是直连一样。）

05、配置R1、R3的router id、OSPF路由协议R1配置如下：

R3配置如下：

现在，我们来查看一下OSPF 邻居状态如何？以及是否学习到对端的路由了？

R1学习到总部的路由了：

R3学习到分公司的路由了：

现在，我们把tunnel 口 shutdown一下，然后在网关出接口抓包看一下：（这里抓包，龙哥的目的是为了待会配置IPsec V-P-N后再做个对比）

同时，我们也再次学习到了，GRE的协议号是47。

我们可以看到GRE外层的IP，使用的是网关出接口的IP地址。06、利用ACL配置IPsec 感兴趣流现在两边站点跑OSPF是通过GRE，包括正常的业务数据也是通过GRE来封装了：

所以，接下来，我们配置感兴趣流，只需匹配GRE的流量就可以了。在R1配置GRE感兴趣流：

在R3配置GRE感兴趣流：

07、配置IPsec（这里使用ike）

08、把IPsec 策略调用到出接口下R1(config)#int e0/0R1(config-if)#crypto map R1toR3R1(config)#int e0/0R1(config-if)#crypto map R1toR3。

当IPsec 策略在接口下调用，可以看到日志信息，开始协商了：

因为我的抓包一直是开启着，所以接下来，我直接在R1带源地址继续ping 总部地址，然后再看看报文。

从报文看，我们可以发现，ICMP报文已经被ESP协议封装了，即被IPsec加密了，我们无法看到里面的内容。

而且两边站点OSPF定期发的hello报文，也被加密，我们无法看到真正的内容，所以安全性提高了。配置IPsec，我们查看OSPF邻居，Full的。

顺便也验证一下其他网段连通性：（都没问题）

看完本期文章您是否有收获了呢？

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186