SecPath系列:两个私网做IPSEC加密

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 通过GRE隧道技术实现武汉到北京总部跨internet的互连。

2. 数据要求用IPSEC加密。

3. 路由采用OSPF动态协议。

【配置结果】

1. 所有隧道接口可以互相ping通。

2. 所有内网（loopback地址）可以通过OSPF学习到对方路由，可以互相ping通。

3. 所有私网数据采用了IPSEC加密。

【主要配置】

【备注】

1、 以武汉去北京的数据为例，分析报文格式如下：

可见，IPSEC加密的数据为源为2.2.2.2、目的为1.1.1.1的IP数据（也就是GRE封装后的数据）。

2、在上述封装中，可见私网数据在路由到GRE隧道口后，需要查找如何到达隧道对端，也就是对端loopback地址。如果这时将各自的Loopback地址包含在OSPF中，则去往对端loopback会重新指向该TUNNUEL口，造成路由指向错误。正常情况下，指向对端Loopback地址是通过公网的默认路由指向公网口。