配置GRE封装IPSec传输VPN组播数据示例

配置GRE封装IPSec传输VPN组播数据示例

应用环境

在网络中传输比较重要的组播数据时，需要对其进行加密处理，以保证安全性。但是，IPSec目前只能对单播数据进行加密保护，不能对组播数据进行加密处理。

应用GER协议可以解决IPSec不能对组播数据进行加密处理的问题。对于需要加密的组播报文，可以先进行GRE封装，然后再进行IPSec加密。

配置思路

在配置GRE封装IPSec传输VPN组播数据时 ，采用如下的配置思路：

1.在骨干网上各路由器运行IGP协议实现互通。

2.在路由器之间建立GRE隧道。

3.在GRE两端的路由器上配置IPSec隧道。

4.配置静态路由，引入VPN路由。

配置注意事项

在配置GRE封装IPSec传输VPN组播数据时 ，需要注意以下注意事项：

1. 必须首先建立GRE隧道，然后再建立IPSec隧道。

2. 必须在已经建立的tunnel上引用IPSec策略，而不是实际的物理接口。

组网需求

如下图所示，PC1作为组播源，向组播组225.1.1.1发送组播数据，PC2加入该组播组。要求RouterA和RouterC之间传输的该组播组数据经过GRE隧道封装后，再使用IPSec加密，以保障其安全性。

配置GRE封装IPSec传输VPN组播数据组网图

适用产品和版本

路由器可以使用任意一款NE产品。版本为VRP5.30及后续版本。

配置过程

步骤 1 配置路由协议

在RouterA、RouterB、RouterC上配置路由协议，实现互通。本例采用OSPF协议，具体配置过程略。

完成此步配置后，RouterA与RouterC之间有可达的路由。RouterA可以ping通RouterC的接口POS1/0/0；RouterC可以ping通RouterA的接口POS1/0/0。

步骤 2 配置GRE隧道接口

# 在RouterA上配置GRE隧道,建立tunnel接口，配置tunnel接口的本端地址和对端地址，并使能PIM DM功能。
[RouterA] interface tunnel1/0/1
[RouterA-Tunnel1/0/1] ip address 40.1.1.1 
255.255.255.0
[RouterA-Tunnel1/0/1] source 20.1.1.1
[RouterA-Tunnel1/0/1] destination 30.1.1.2
[RouterA-Tunnel1/0/1] pim dm
[RouterA-Tunnel1/0/1] quit
# 在RouterC上配置GRE隧道，建立tunnel接口，配置tunnel接口的本端地址和对端地址，并使能PIM DM功能。
[RouterC] interface tunnel1/0/1
[RouterC-Tunnel1/0/1] ip address 40.1.1.2 
255.255.255.0
[RouterC-Tunnel1/0/1] source 30.1.1.2
[RouterC-Tunnel1/0/1] destination 20.1.1.1
[RouterC-Tunnel1/0/1] pim dm
[RouterC-Tunnel1/0/1] quit

上述配置完成后，RouterA与RouterC之间的GRE隧道已建立，Tunnel接口状态为Up。

步骤 3 使能组播

全局使能组播路由协议，并在相关接口下使能PIM DM。本例以RouterA为例。RouterB和RouterC的配置与RouterA类似，此处不再赘述。

# 配置RouterA。
[RouterA] multicast routing-enable
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] pim dm
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface pos1/0/0
[RouterA-Pos1/0/0] pim dm
[RouterA-Pos1/0/0] quit
[RouterA] interface tunnel1/0/1
[RouterA-Tunnel1/0/1] pim dm
[RouterA-Tunnel1/0/1] quit

使能组播后，RouterA和RouterC之间的组播数据将通过GRE隧道传输。

步骤 4 配置RouterA和RouterC之间采用野蛮模式进行IKE协商

# 在RouterA配置采用野蛮模式进行协商的IKE协议，配置IKE peer，配置协商方式为野蛮模式，配置本地ID类型为name，配置配置身份验证字为12345，配置对端名称，配置对端IP地址。

[RouterA] ike local-name rta
[RouterA] ike peer RouterC
[RouterA-ike-peer-RouterC] exchange-mode 
aggressive
[RouterA-ike-peer-RouterC] local-id-type 
name
[RouterA-ike-peer-RouterC] pre-shared-key 
12345
[RouterA-ike-peer-RouterC] remote-name rtc
[RouterA-ike-peer-RouterC] remote-address 
30.1.1.2
[RouterA-ike-peer-RouterC] quit
# 在RouterC配置采用野蛮模式进行协商的IKE协议，配置IKE 
peer，配置协商方式为野蛮模式，配置本地ID类型为name，配置配置身份验证字为12345，配置对端名称，配置对端IP地址。
[RouterC] ike local-name rtc
[RouterC] ike peer RouterA
[RouterC-ike-peer-RouterA] exchange-mode 
aggressive
[RouterC-ike-peer-RouterA] local-id-type 
name
[RouterC-ike-peer-RouterA] pre-shared-key 
12345
[RouterC-ike-peer-RouterA] remote-name rta
[RouterC-ike-peer-RouterA] remote-address 
20.1.1.1
[RouterC-ike-peer-RouterA] quit

由于配置的IKE Peer没有指定使用的IKE安全提议，因此在协商时使用缺省的IKE安全提议，双方能够协商成功。

步骤 5 配置IPSec

在RouterA和RouterC上进行IPSec的相应配置，使PC1所在网段10.1.1.0与PC2所在的网段10.2.1.0能够创建安全通道。本例使用缺省的安全提议参数。

# 配置RouterA。
[RouterA] acl number 3000
[RouterA-acl-adv-3000] rule permit ip source 
10.1.1.0 0.0.0.255 destination 225.1.1.1 0.0.0.0
[RouterA-acl-adv-3000] quit
[RouterA] ipsec proposal p1
[RouterA-ipsec-proposal-p1] quit
[RouterA] ipsec policy policy1 1 isakmp
[RouterA-ipsec-policy-isakmp-policy1-1] security acl 
3000
[RouterA-ipsec-policy-isakmp-policy1-1] ike-peer 
RouterC
[RouterA-ipsec-policy-isakmp-policy1-1] proposal p1
[RouterA-ipsec-policy-isakmp-policy1-1] quit
[RouterA] interface tunnel 1/0/1
[RouterA-Tunnel1/0/1] ipsec policy policy1
[RouterA-Tunnel1/0/1] quit
# 配置RouterC。
[RouterC] acl number 3000
[RouterC-acl-adv-3000] rule permit ip source 
10.2.1.0 0.0.0.255 destination 225.1.1.1 0.0.0.0
[RouterC-acl-adv-3000] quit
[RouterC] ipsec proposal p1
[RouterC-ipsec-proposal-p1] quit
[RouterC] ipsec policy policy1 1 isakmp
[RouterC-ipsec-policy-isakmp-policy1-1] security acl 
3000
[RouterC-ipsec-policy-isakmp-policy1-1] ike-peer 
RouterA
[RouterC-ipsec-policy-isakmp-policy1-1] proposal p1
[RouterC-ipsec-policy-isakmp-policy1-1] quit
[RouterC] interface tunnel 1/0/1
[RouterC-Tunnel1/0/1] ipsec policy policy1
[RouterC-Tunnel1/0/1] quit

完成此步骤后，可以利用通过IPSec加密的GRE隧道在RouterA和RouterC之间传输组播数据。

步骤 6 配置静态路由，引入VPN路由

# 配置RouterA。
[RouterA] ip route-static 10.2.1.0 255.255.255.0 
tunnel 1/0/1
# 配置RouterC。
[RouterC] ip route-static 10.1.1.0 255.255.255.0 
tunnel 1/0/1

配置完成后，在RouterA和RouterC上执行display ip routing-table命令，可以看到使用Tunnel接口去往对端用户侧网段的静态路由。

以RouterA的显示为例。

[RouterA] display ip routing-table

Routing Tables: Public

Destinations : 11       Routes : 11

Destination/Mask    Proto  Pre  Cost       NextHop         Interface

10.1.1.0/24  Direct 0    0           10.1.1.2        GigabitEthernet2/0/0

10.1.1.2/32  Direct 0    0           127.0.0.1       InLoopBack0

      10.2.1.0/24  Static 60   0           40.1.1.1        Tunnel1/0/1

20.1.1.0/24  Direct 0    0           20.1.1.1        POs1/0/0

20.1.1.1/32  Direct 0    0           127.0.0.1       InLoopBack0

20.1.1.2/32  Direct 0    0           20.1.1.2        Pos1/0/0

30.1.1.0/24  OSPF   10   3124       20.1.1.2        Pos1/0/0

40.1.1.0/24  Direct 0    0          40.1.1.1        Tunnel1/0/1

40.1.1.1/32  Direct 0    0           127.0.0.1       InLoopBack0

127.0.0.0/8   Direct 0    0           127.0.0.1       InLoopBack0

127.0.0.1/32  Direct 0    0           127.0.0.1       InLoopBack0

PC1和PC2可以相互Ping通。