В устройствах cisco есть интересная особенность, которая позволяет упростить настройку IPSec для защиты GRE-туннелей. Называется она IPSec profile. Используется она следующим образом.

Часть настроек остается без изменений. Определение политики isakmp для фазы 1:

crypto isakmp policy 10
 encr 3des
 authentication rsa-sig
 group 2

Далее, нам нужет transform-set:

crypto ipsec transform-set SET1 esp-3des esp-sha-hmac
 mode transport

Ну и, если используется аутентификация по ключам (PSK), то нужно определить для удаленного хоста ключик:

crypto isakmp key somekey address xxx.xxx.xxx.xxx

Создаем профиль:

crypto ipsec profile TUNNEL
 set transform-set SET1

Осталось на туннельном интерфейсе указать этот профиль:

interface Tunnel0
 ip address 192.168.1.1 255.255.255.252
 …
 tunnel protection ipsec profile TUNNEL

Пингуем удаленный конец туннеля и видим как поднимается ipsec.

Если посмотреть show crypto ipsec sa, то можно увидеть, что криптуется весь GRE-траффик между tunnel source и tunnel destination. Пиром является tunnel destination.

Если у вас много туннелей, то использование профилей может немного облегчить вам жизнь.

Популярность: 7%