2514235 发表于 2013-4-13 22:03:02

配置基于VTI的IPsecVPN

配置基于VTI的IPsecVPNhttp://b1.qzone.qq.com/ac/b.gif VTI技术:IPsec VTI技术允许我们配置一个虚拟隧道接口,我们可以运用各种特效到这个接口上。控制明文的特性应该被配置到VTI接口上,控制密文的特性应该被运用到物理接口上,当我们使用IPsec VTI技术,我们可以对明文和加密后流量分开运用NAT,ACL和QoS等特性。如果我们运用传统的cryptomap技术,没有一种简单的方法来运用这些加密特性和IPsec隧道,一共有两个类型的VTI接口,静态VTI(SVTI)和动态VTI(DVTI) SVTI技术介绍: SVTI配置被运用于站点到站点的连接(L2LVPN),在两个站点间的隧道式“always-on”的,SVTI相对于传统crypto map配置的优势在于可以在隧道口上运用动态路由选择协议,并且不需要那额外的4字节GRE头部(GRE Over IPsec),因此降低了发送加密数据的带宽;多重Cisco IOS特性能够被直接配置在隧道接口上和物理接口上,这种直接的配置提供用户对加密前和加密后的流量更加强大的控制; 实验拓扑:实验步骤:R2:定义crypto policy: 定义预共享密钥: 定义转换集: 定义IPsec Profile: 配置Tunnel0: 配置OSPF:将Tunnel口宣告进OSPF: 测试:


R4:R4#show runBuilding configuration... Current configuration : 2042 bytes!! Last configuration change at 21:35:17 UTC Sat Apr 13 2013!version 15.2service timestamps debug datetime msecservice timestamps log datetime msec!hostname R4!boot-start-markerboot-end-marker!!!no aaa new-modelno ip icmp rate-limit unreachable!!!!!!         no ip domain lookupip cefipv6 multicast rpf use-bgpno ipv6 cef!!multilink bundle-name authenticated!!!!!!!!!!!!ip tcp synwait-time 5! !crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2crypto isakmp key cisco address 23.1.1.2       !!crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode tunnel!!crypto ipsec profile pro set transform-set cisco !!!!!!interface Loopback0 ip address 4.4.4.4255.255.255.0!interface Tunnel0 ip address 24.1.1.4255.255.255.0 tunnel source 34.1.1.4 tunnel mode ipsec ipv4 tunnel destination23.1.1.2 tunnel protection ipsecprofile pro!interface FastEthernet0/0 no ip address shutdown duplex full!interface Serial1/0 ip address 34.1.1.4255.255.255.0 serial restart-delay 0!interface Serial1/1 ip address 45.1.1.4255.255.255.0 serial restart-delay 0!interface Serial1/2 no ip address shutdown serial restart-delay 0!interface Serial1/3 no ip address shutdown serial restart-delay 0!interface Serial1/4 no ip address shutdown serial restart-delay 0!interface Serial1/5 no ip address shutdown serial restart-delay 0!interface Serial1/6 no ip address shutdown serial restart-delay 0!interface Serial1/7 no ip address shutdown serial restart-delay 0!router ospf 1 router-id 3.3.3.3 network 4.4.4.4 0.0.0.0area 0 network 24.1.1.4 0.0.0.0area 0 network 45.1.1.4 0.0.0.0area 0!ip forward-protocol nd!!no ip http serverno ip http secure-serverip route 23.1.1.2 255.255.255.255 Serial1/0!!!!control-plane!!line con 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous stopbits 1line vty 0 4 login!!end


http://b1.qzone.qq.com/ac/b.gif

time9154 发表于 2013-4-13 22:20:59

{:6_267:}

幸福的海 发表于 2013-4-13 22:27:16

{:6_267:}

Uncle-齐 发表于 2013-4-13 22:28:11

顶顶

Uncle-齐 发表于 2013-4-13 22:47:13

顶顶

在路上 发表于 2013-4-14 01:35:04

遗憾的是,是思科的私有技术。

maqizhao 发表于 2013-4-21 20:00:47

走过路过,不能错过.

庄歪 发表于 2013-5-23 10:45:40

谢谢分享

skybaby008 发表于 2013-11-25 12:11:49

{:6_278:}{:6_280:}{:6_282:}楼主好人

396310616 发表于 2013-12-30 20:21:15

弱弱的问下,SVTI和传统GRE--ipsce有什么不同和优势呢?

szmabcd 发表于 2014-12-19 11:34:51

请问下,

tunnel mode ipsec ipv4   这条命令加与没有有什么区别啊?

wyan1125 发表于 2015-5-28 09:18:57

{:6_267:}{:6_267:}{:6_267:}

wan19880501 发表于 2015-9-16 18:37:23

{:6_267:这个是最常用的东西。

license 发表于 2016-7-1 15:55:47

谢谢楼主分享
页: [1]
查看完整版本: 配置基于VTI的IPsecVPN