关于环回 0 和阶段 2 的 Cisco IPSec 问题

网络工程 思科 网络安全 格雷
2021-07-08 16:06:45 
ip multicast-routing
crypto isakmp policy 2
 encr 3des
 hash md5
 authentication pre-share
 crypto isakmp key 123 address 1.7.129.10
!
crypto ipsec transform-set remotevpn esp-3des esp-md5-hmac
!
crypto map remotevpn 1 ipsec-isakmp
 set peer 1.7.129.10
 set transform-set remotevpn
 match address 100
!
interface Loopback0
 ip address 10.249.0.157 255.255.255.255
!
interface Tunnel0
 ip address 10.249.6.98 255.255.255.252
 ip pim sparse-mode
 tunnel source 10.249.0.157
 tunnel destination 10.249.254.1
!
interface fa0/0
 ip address 10.249.52.129 255.255.255.192
 ip pim sparse-mode
 crypto map remotevpn
 ip access-group 199 in

问题,

  1. 为什么存在loopback0?它是 GRE 能够tunnel source 10.249.0.157在 Tunnel0 部分使用的“虚拟接口”吗?
  2. 为什么loopback0 和tunnel0 具有不同的IP 子网?
  3. 此配置的第 2 阶段定义在哪里?
2个回答
  1. 是的,环回 0 将用作 GRE 隧道源,建议使用环回接口作为隧道源,因为它始终处于开启状态并且可以通过不同的接口访问。

GRE封装结构

  1. 隧道接口上的 IP 与隧道源和目标完全不同。隧道源将与 GRE 标头中的隧道目标一起使用,当您从隧道接口生成数据包时,隧道接口 IP 将用作源,然后该数据包将被封装在 GRE 头中。

  2. 以下是第 2 阶段的配置: 

    crypto map remotevpn 1 ipsec-isakmp  
 set peer 1.7.129.10  
 set transform-set remotevpn  
 match address 100  
crypto ipsec transform-set remotevpn esp-3des esp-md5-hmac

和访问列表 100。

  1. 使用环回接口的原因有很多。主要是,环回接口永远不会关闭。这对于路由协议或隧道等可能有不止一种方式进入路由器的事情很有用。如果进入路由器的一个接口出现故障,并且有其他方式进入路由器,则使用第一个接口的协议将自动重新路由到另一路进入路由器,而不会中断协议连接。
  2. 隧道是一个单独的接口,它需要自己的第 3 层地址。隧道看起来像一条点对点的链路,有自己的网络。源地址和目标地址可以位于非常不同的网络上,但隧道链路端点需要位于同一网络上。
  3. 这些阶段,包括阶段 2,是 VPN 设置的函数。
其它你可能感兴趣的问题
上一篇每个网络命名空间 Quagga OSPF 下一篇两个 SRX210 之间的 BGP?