...
Блок кода |
---|
ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit |
...
Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:
Блок кода |
---|
ESR1(config)# object-group service ISAKMP_PORT ESR1(config-object-group-service)# port-range 500 ESR1(config-object-group-service)# poRt-range 4500 ESR1(config-object-group-service)# exit ESR1(config)# security zone-pair untrusted self ESR1(config-zone-pair)# rule 101 ESR1(config-zone-pair-rule)# action permit ESR1(config-zone-pair-rule)# match protocol gre udp ESR1(config-zone-pair-rule)# match destination-port ISAKMP_PORT ESR1(config-zone-pair-rule)# enable ESR1(config-zone-pair-rule)# exit ESR1(config-zone-pair)# rule 11 2 ESR1(config-zone-pair-rule)# action permit ESR1(config-zone-pair-rule)# match protocol gre ESR1(config-zone-pair-rule)# enable ESR1(config-zone-pair-rule)# exit ESR1(config-zone-pair)# rule 3 ESR1(config-zone-pair-rule)# action permit ESR1(config-zone-pair-rule)# match protocol esp ESR1(config-zone-pair-rule)# enable ESR1(config-zone-pair-rule)# exit ESR1(config-zone-pair)# rule 124 ESR1(config-zone-pair-rule)# action permit ESR1(config-zone-pair-rule)# match protocol ah ESR1(config-zone-pair-rule)# enable ESR1(config-zone-pair-rule)# exit ESR1(config-zone-pair)# exit |
Конфигурирование ESR2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
...
Блок кода |
---|
ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit |
...