CMSR系列路由器IPsec典型配置举例V

上传人：y*** IP属地：天津上传时间：2021-10-13 格式：DOCX 页数：36 大小：214.87KB 积分：25 举报 版权申诉

已阅读5页，还剩31页未读，继续免费阅读

版权说明：本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

文档简介

1、1简介2配置前提3使用iNode客户端基于证书认证的L2T P over IP sec 功能配置举例3.1组网需求3.2配置思路3.3使用版本3.4配置步骤3.4.1 Device 的配置3.4.2 Host的配置3.5验证配置3.6配置文件4 IP sec over GRE 的典型配置举例4.1组网需求4.2配置思路4.3使用版本4.4配置步骤4.4.1 Device A 的配置4.4.2 Device B 的配置4.5验证配置4.6配置文件5 GRE over IP sec 的典型配置举例5.1组网需求5.2配置思路5.3使用版本5.4配置步骤5.4.1 Device A 的配置5.4.2

2、 Device B 的配置5.5验证配置5.6配置文件6 IP sec同流双隧道的典型配置举例6.1组网需求6.2使用版本6.3配置步骤6.3.1 Device A 的配置6.3.2 Device B 的配置6.4验证配置6.5配置文件7相关资料1简介本文档介绍IP sec的典型配置举例。2配置前提配置前设备的所有参数均采为了保证配置效果，请确认现本文档适用于使用 Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，用出厂时的缺省配置。如果您已经对设备进行了配置，

3、有配置和以下举例中的配置不冲突。本文档假设您已了解IP sec特性。3使用iNode客户端基于证书认证的L2T P over IP sec 功能配置举例3.1组网需求如图 1 所示，PPP 用户 Host 与 Device 建立 L2TP 隧道，Windows server 2003 作为CA服务器，要求：? 通过 L2TP 隧道访问 Corporate network 。? 用IP sec对L2T P隧道进行数据加密。? 采用RSA证书认证方式建立IP sec隧道。图1基于证书认证的 L2T P over IP sec 配置组网图CA awvtriea.hsii4HeratInrenel

4、rpoL rrelwejrk j3.2配置思路由于使用证书认证方式建立IP sec隧道，所以需要在ike p rofile中配置local-ide ntity为dn,指定从本端证书中的主题字段取得本端身份。3.3使用版本本举例是在 R0106版本上进行配置和验证的。3.4配置步骤3.4.1 Device 的配置(1)配置各接口 IP地址# 配置接口 GigabitEthernet2/0/1 的 IP 地址。 system-view Device interface gigabitethernet 2/0/1 Device-GigabitEthernet2/0/1 ip address 192.

5、168.100.50 24 Device-GigabitEthernet2/0/1 quit# 配置接口 GigabitEthernet2/0/2 的 IP 地址。Device interface gigabitethernet 2/0/2 Device-GigabitEthernet2/0/2 ip address 102.168.1.11 24 Device-GigabitEthernet2/0/2 quit# 配置接口 GigabitEthernet2/0/3 的 IP 地址。Device interface gigabitethernet 2/0/3 Device-GigabitEth

6、ernet2/0/3 ip address 192.168.1.1 24 Device-GigabitEthernet2/0/3 quit(2)配置 L2TP#创建本地PPP用户l2tpuser，设置密码为hello。Device local-user l2t puser class network Device-luser-network-l2t puser p assword sim pie hello Device-luser-network-l2t puser service-t ype ppp Device-luser-network-l2t puser quit#配置ISP域sys

7、tem对PPP用户采用本地验证。Device domain system Device-is p-system authentication ppp local Device-is p-system quit#启用L2TP服务。Device l2t p enable# 创建接口 Virtual-TemplateO，配置接口的 IP 地址为 172.16.0.1/24。Device interface virtual-tem pl ate 0 Device-Virtual-Tem plate0 ip address 172.16.0.1 255.255.255.0#配置PPP认证方式为 PAP

8、。Device-Virtual-Tem pl ate0 ppp authentication-mode pap#配置为PPP用户分配的IP地址为172.16.0.2 。Device-Virtual-Tem plate0 remote address 172.16.0.2 Device-Virtual-Tem pl ate0 quit#创建LNS模式的L2TP组1 。Device l2t p-gro up 1 mode lns#配置LNS侧本端名称为Ins。Device-l2t p1 tunnel name lns#关闭L2TP隧道验证功能。Device-l2t p1 undo tunnel a

9、uthentication#指定接收呼叫的虚拟模板接口为VT0。Device-l2t p1 allow l2tp virtual-tem plate 0Device-l2t p1 quit 配置PKI证书# 配置 PKI 实体 security。Device pki entity security Device-p ki-entity-security common-name device Device-p ki-entity-security quit#新建PKI域。Device pki domain headgate Device-p ki-domain-headgate ca ident

10、ifier LYQ Device-p ki-domain-headgate certificate request url htt p:/192.168.1.51/certsrv/msce p/msce p.dll Device-pki-domain-headgate certificate request from ra Device-p ki-domain-headgate certificate request entity security Device-p ki-domain-headgate undo crl check enable Device-p ki-domain-head

11、gate p ublic-key rsa general name abc length 1024 Device-p ki-domain-headgate quit#生成RSA算法的本地密钥对。Device p ublic-key local create rsa name abcThe range of p ublic key modulus is (512 - 2048).If the key modulus is greater than 512,it will take a few minutes.P ress CTRL+C to abort.Input the modulus len

12、gth default = 1024:Generating Keys.+Create the key p air successfully.#获取CA证书并下载至本地。Device pki retrieve-certificate domain headgate caThe trusted CAs finger p rint is:MD5 finger print:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99SHA1 finger print:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031CIs the fin

13、ger p rint correct?(Y/N):yRetrieved the certificates successfully.#手工申请本地证书。Device pki request-certificate domain headgateStart to request general certificate .Certificate requested successfully. 配置IP sec隧道#创建IKE安全提议。Device ike propo sal 1 Device-ike-prop osal-1 authentication-method rsa-signature D

14、evice-ike-prop osal-1 encry ption-algorithm 3des-cbc Device-ike-prop osal-1 dh group2 Device-ike-prop osal-1 quit#配置IP sec安全提议。Device ip sec transform-set tran1 Device-i psec-transform-set-tran1 esp authentication-algorithm sha1 Device-i psec-transform-set-tran1 esp encr yp tion-algorithm 3desDevice

15、-i psec-transform-set-tran1 quit# 配置 IKE profile。Device ike profile pr ofile1Device-ike-pro file-p rofile1 local-identity dnDevice-ike-pr ofile-profile certificate domain headgateDevice-ike-pro file-p rofile1 prop osal 1Device-ike-pr ofile-profile match remote certificate deviceDevice-ike-pro file-p

16、 rofile1 quit#在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。Deviceike signature-identity from-certificate#创建一条IP sec安全策略模板，名称为tem plate1，序列号为1。Device ip sec p olicy-tem plate tem pl ate1 1Device-i psec-policy-tem pl ate-tem plate1-1 transform-set traniDevice-i psec-p olicy-tem plate-tem plate1-1 ike-pr ofile pr o

17、file1Device-i psec-p olicy-tem pl ate-tem pl ate1-1 quit#引用IP sec安全策略模板创建一条IP sec安全策略，名称为 p olicy1，顺序号为1。Device ip sec p olicy p olicy1 1 isakm p tem pl ate tem plate1#在接口上应用IP sec安全策略。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 ip sec apply p olicy p olicy1Device-GigabitEthern

18、et2/0/2 quit3.4.2 Host的配置(1)从证书服务器上申请客户端证书#登录到证书服务器：htt p:/192.168.1.51/certsrv，点击“申请一个证书”。图1进入申请证书页面査fffaMEKSfB馮怎审曲nifffl汩X斜枝?fff朋甕主第.世也可虬杞黑此网站审載书蛊机输(6】证书.庄第養*ttli旳申瞬ft畑.#点击咼级证书申请”。图2高级证书申请送揮一个证书类型：Web浏jS器证书电子邮件保护证书#选择第一项：创建并向此CA提交一个申请。图3创建并向CA提交一个申请a fitnsi决羣环臥申清加证书吴韋咅卩硏込舷一棗：ffiffl 訂訶理曲圧建TS畫ji

19、w克件tf亨 i卜瞬辛申M.瞋楝b&K钠舗鶴禹PWCS猝丈萍卓订忖书坤ib#填写相关信息。? 需要的证书类型，选择“客户端身份验证证书”；? 密钥选项的配置，勾选“标记密钥为可导出”前的复选框。#点击提交，弹出一提示框：在对话框中选择“是”。#点击安装此证书。图4安装证书(2) iNode 客户端的配置(使用 iNode版本为：iNode PC 5.2(E0409) #打开L2TP VPN连接，并单击“属性 (Y) ”。图5打开L2TP连接我的vm连寮用户名保存用户名和密码(也飙智能卡读取用尸名窖码(ft)连接Q职消 I 库性I#输入LNS服务器的地址，并启用 IP sec安全协议，验证证

20、方法选择证书认证。图6基本配置我的TPH连接鹿性基本设首yrir连擡基本设置俣存用FS和密玛一被动下践时自动重连些回启用I茂孔安全协验证方法W：昼怯如证芋CI?TP Eg服务眾C便用茸它工班。丈服霸器.V厂戶弗，I1 鬲级C) J#单击高级（C）按钮，进入“ L2TP设置”页签，设置 L2TP参数如下图所示。图7 L2T P设置HTF设置IF 色亡设査IKE谡g 路由谡a吃TF协设置雀暹名称Q): 选择认证模式(&):Ao入PrfcFV发送HEM报艾时间间隔(1):M)秒L2TP口 (y:而#单击“ IP sec设置”页签，配置 IPsec参数。图8 IP sec参数设置TFK连接高级

21、属性I 12TF设置;1班話谡賈IKE谡萱I路由设邕二封装複式3):安全联盟生存周期);秒I际亡安全捉溟设S釆用的安垒悌谀电): 亞F协划证算技;她逸趙证直法00：使用FPS特性迥PF忖性IKE参数。#单击“ IKE设置”页签，配置图9 IKE参数设置VFH连捺高级爲性:US设置豔证;ft去）2HKV IMain定珂绘送KepAlx丁世抿女（S）7司同严Ii3MS-CBC Vf 确走取消 #单击“路由设置”页签，添加访问图10路由设置Corporate n etwork 的路由。WK连按高级庸性I7设置II工Fm沁设置II IEE谡置|路由设置I忝M要访问的阿路地址和子网掩胴地址和子网掩码

22、必须满足（网貉地址劇子网掩码）二岡络地址.岡络地址血lee.100 0子剛码255.255. 255. C|忝加i酿确定取消 #完成上述配置后，单击确定按钮，回到L2TP连接页面。3.5验证配置#在L2TP连接对话框中，输入用户名“I2tpuser ”和密码“ hello ”，单击连接按钮。图11连接L2TP#在弹出的对话框中选择申请好的证书，单击确定按钮。图12证书选择:host谱选择姜使用的证书dL VQ,.#通过下图可以看到 L2TP连接成功。图13连接成功衣件边按作世】信息视SWC新淫 C 卿阵连接斷幵曲属性无a网路连接變價f连番信息fl我前VT1T连接诂证信息2)O1

23、4-OG-1S1&：53:262C14-O0-15正在建立连接2CK-06-1S& S3j30正在进行工KE协商，.CKC6-151&；53；30正在建立隧道和含话,，CK-t)6-l51&；3；30正在爺职HF地址，,zci4-oe-ie1&:59:07当箭HF地址16.0.2014-06-161.&:59:07连接咸功J己上蛾我的VFH连横冈运看信息运行信息挨态：已连接上本次理接时问：00小时OD分轴本决匡接工F:172. 16.0.2厂i瓣一1图14连接成功#在Device上使用dis play ike sa命令，可以看到IP sec隧道第一阶段的 SA正常建立。 dis play i

24、ke saConnection-ID RemoteFlagDOI10102.168.1.1RDIP SECTransform set:ESP-ENCRY PT-3DES-CBC ESP-AUTH-SHA1Flags:RD-READY RL-RE PLACED FD-FADING# 在 Device 上使用 dis play ip sec sa命令可以看到IPsec SA的建立情况。 dis play ip sec saInterface: GigabitEthernet2/0/2IP sec p olicy: p olicy1Sequence number: 1Mode: tem pl ate

25、Tunnel id: 0Enca psulation mode: tunnelP erfect forward secrecy:P ath MTU: 1443Tunnel:local address: 102.168.1.11remote address: 102.168.1.1Flow:p ort: 1701pr otocol: udpp ort: 0p rotocol: udpsour addr: 102.168.1.11/255.255.255.255dest addr: 102.168.1.1/255.255.255.255Inbound ESP SAsSPI: 2187699078

26、(0x8265a386)Transform set:ESP-ENCRY PT-3DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843197/3294Max received sequence-number: 51Anti-re play check enable: YAnti-re play window size: 64UDP enca psulation used for NAT traversal: NStatus: ActiveO

27、utbound ESP SAsSPI: 3433374591 (0xcca5237f)SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843197/3294Max sent sequence-number: 52UDP enca psulation used for NAT traversal: NStatus: Active3.6配置文件interface Virtual-Tem pl ate0 ppp authentication-mode pap remote address

28、 172.16.0.2 ip address 172.16.0.1 255.255.255.0 interface GigabitEthernet2/0/1 ip address 192.168.100.50 255.255.255.0 interface GigabitEthernet2/0/2 ip address 102.168.1.11 255.255.255.0 ip sec apply p olicy p olicy1 interface GigabitEthernet2/0/3 ip address 192.168.1.1 255.255.255.0 domain system

29、authentication ppp local local-user l2t pu ser class network p assword cip her $c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h service-t ype ppp authorization-attribute user-role network-op erator pki domain headgate ca identifier LYQ certificate request url htt p: /192.168.1.51/certsrv/msce p/msce p.dll cert

30、ificate request from ra certificate request entity security p ublic-key rsa general name abc undo crl check enable pki entity security common-name host ip sec transform-set tran1 esp encr yp tion-algorithm 3des-cbcesp authentication-algorithm sha1 ip sec p olicy-tem plate tem platel 1 transform-set

31、trani ike-profile p rofilel ip sec p olicy p olicyl 1 isakm p tem plate tem platel l2tp-gro up 1 mode lns allow l2t p virtual-tem pl ate 0 undo tunnel authentication tunnel name lns l2tp enable ike signature-identity from-certificate ike pr ofile pro file1 certificate domain headgate local-identity

32、dn match remote certificate device prop osal 1 ike prop osal 1 authentication-method rsa-signature encry ption-algorithm 3des-cbcdh group24 IPsec over GRE的典型配置举例4.1组网需求如图15所示，企业远程办公网络通过IP sec VPN接入企业总部，要求：通过GRE隧道传输两网络之间的图 15 IP sec over GREIP sec加密数据。组网图4.2配置思路? 为了对数据先进行IP sec处理，再进行 GRE封装，访问控制列表需匹配数

33、据的原始范围，并且要将IP sec应用到GRE隧道接口上。? 为了对网络间传输的数据先进行IP sec封装，再进行GRE封装，需要配置IP sec隧道的对端IP地址为GRE隧道的接口地址。4.3使用版本本举例是在 R0106版本上进行配置和验证的。4.4配置步骤4.4.1 Device A 的配置(1)配置各接口 IP地址# 配置接口 GigabitEthernet2/0/1 的 IP 地址。 system-viewDeviceA interface gigabitethernet 2/0/1 DeviceA-GigabitEthernet2/0/1 ip address 192.168.1

34、.1 255.255.255.0DeviceA-GigabitEthernet2/0/1 tc p mss 1350 DeviceA-GigabitEthernet2/0/1 quit# 配置接口 GigabitEthernet2/0/2 的 IP 地址。DeviceA interface gigabitethernet 2/0/2 DeviceA-GigabitEthernet2/0/2 ip address 202.115.22.48 255.255.255.0 DeviceA-GigabitEthernet2/0/2 quit(2) 配置GRE隧道#创建Tunnel0接口，并指定隧道模式

35、为GRE over IPv4 隧道。DeviceA interface tunnel 0 mode gre# 配置 Tunnel0 接口的 IP 地址为 10.1.1.1/24。DeviceA-Tunnel0 ip address 10.1.1.1 255.255.255.0(Device A 的#配置 Tunn el0接口的源端地址为 202.115.22.48/24GigabitEthernet2/0/2 的 IP 地址)。DeviceA-Tunnel0 source 202.115.22.48(Device B 的#配置 Tunnel0 接口的目的端地址为 202.115.24.50

36、/24 GigabitEthernet2/0/2 的 IP 地址)。DeviceA-Tunnel0 destination 202.115.24.50DeviceA-Tunnel0 quit# 配置从 Device A 经过 Tunnel0 接口至U Remote office network的静态路由。DeviceA ip route-static 192.168.2.1 255.255.255.0 tunnel 0(3) 配置 IP sec VPN# 配置 IKE keychain 。DeviceA ike keychain keychain1 DeviceA-ike-keychain-k

37、eychain1 pre-shared-key address 10.1.1.2 255.255.255.0 key sim pie 123 DeviceA-ike-keychain-keychain1 quit#创建ACL3000，定义需要IP sec保护的数据流。DeviceA acl number 3000DeviceA-acl-adv-3000 rule 0 p ermit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.00.0.0.255DeviceA-acl-adv-3000 quit#配置IP sec安全提议。Devi

38、ceA ip sec transform-set tran1DeviceA-i psec-transform-set-tran1 esp encr yp tion-algorithm desDeviceA-i psec-transform-set-tran1 esp authentication-algorithm sha1DeviceA-i psec-transform-set-tran1 quit#创建一条IKE协商方式的IP sec安全策略，名称为P olicy1 ,序列号为1。DeviceA ip sec p olicy p olicy1 1 isakm pDeviceA-i psec

39、-p olicy-isakm p-p olicy1-1 security acl 3000DeviceA-i psec-p olicy-isakm p-p olicy1-1 remote-address 10.1.1.2DeviceA-i psec-p olicy-isakm p-p olicy1-1 transform-set tran1DeviceA-i psec-p olicy-isakm p-p olicy1-1 quit#在GRE隧道接口上应用安全策略。DeviceA interface tunnel 0DeviceA-Tunnel0 ip sec apply p olicy p o

40、licy1DeviceA-Tunnel0 quit4.4.2 Device B 的配置(1)配置各接口 IP地址# 配置接口 GigabitEthernet2/0/1 的 IP 地址。 system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 ip address 192.16821 255.255.255.0DeviceB-GigabitEthernet2/0/1 tc p mss 1350DeviceB-GigabitEthernet2/0/1 quit# 配置接口 GigabitEther

41、net2/0/2 的 IP 地址。DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 ip address 202.115.24.50 255.255.255.0DeviceB-GigabitEthernet2/0/2 quit配置GRE隧道#创建Tunnel0接口，并指定隧道模式为GRE over IPv4 隧道。DeviceB interface tunnel 0 mode gre# 配置 Tunnel0 接口的 IP 地址为 10.1.1.2/24。DeviceB-Tunnel0 ip address 1

42、0.1.1.2 255.255.255.0#配置 Tunn el0接口的源端地址为 202.115.24.50/24GigabitEthernet2/0/2 的 IP 地址)。DeviceB-Tunnel0 source 202.115.24.50(Device B 的#配置 Tunnel0 接口的目的端地址为 202.115.22.48/24 GigabitEthernet2/0/2 的 IP 地址)。DeviceB-Tunnel0 destination 202.115.22.48(Device A 的DeviceB-Tunnel0 quit#配置从 DeviceB 经过Tunnel0接

43、口到 Corporate network的静态路由。DeviceB ip route-static 192.168.1.1 255.255.255.0 tunnel 0(3)配置 IP sec VPN# 配置 IKE keychain。DeviceB ike keychain keychain1 DeviceB-ike-keychain-keychain1 p re-shared-key address 10.1.1.1 255.255.255.0 key sim pie 123 DeviceB-ike-keychain-keychain1 quit#创建ACL3000，定义需要IP sec保

44、护的数据流。DeviceB acl number 3000 DeviceB-acl-adv-3000 rule 0 p ermit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 DeviceB-acl-adv-3000 quit#配置IP sec安全提议。DeviceB ip sec transform-set tran1 DeviceB-i psec-transform-set-tran1 esp encr yp tion-algorithm des DeviceB-i psec-transform-set

45、-tran1 esp authentication-algorithm sha1 DeviceB-i psec-transform-set-tran1 quit#创建一条IKE协商方式的IP sec安全策略，名称为P olicy1 ,序列号为1。DeviceB ip sec p olicy p olicy1 1 isakm p DeviceB-i psec-p olicy-isakm p-p olicy1-1 security acl 3000 DeviceB-i psec-p olicy-isakm p-p olicy1-1 remote-address 10.1.1.1 DeviceB-i

46、 psec-p olicy-isakm p-p olicy1-1 transform-set tran1 DeviceB-i psec-p olicy-isakm p-p olicy1-1 quit#在GRE隧道接口上应用安全策略。DeviceB interface tunnel 0 DeviceB-Tunnel0 ip sec apply p olicy p olicy1 DeviceB-Tunnel0 quit4.5验证配置# 以 Corporate network 的主机 192.168.1.2 向 Remote office network 的主机 192.168.2.2 发起通信为例

47、，从 192.168.1.2 ping 192.168.2.2 ，会触发 IP sec 协商，建立IP sec隧道，在成功建立IP sec隧道后，可以ping通。C:Userscor poratenetwork ping 192.168.2.2P inging 192.168.2.2 with 32 bytes of data:Request timed out.Reply from 192.168.2.2: bytes=32 time=2ms TTL=254Reply from 192.168.2.2: bytes=32 time=2ms TTL=254Reply from 192.168

48、.2.2: bytes=32 time=1ms TTL=254Ping statistics for 192.168.2.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Appr oximate round trip times in milli-seconds:Minimum = 1ms, Maximum = 2ms, Average = 1ms#在Device A上使用dis play ike sa 命令，可以看到第一阶段的SA正常建立。 dis play ike saConnection-ID RemoteFlagDOI10.

49、1.1.2RDIP SECFlags:RD-READY RL-RE PLACED FD-FADING#在Device A 上使用dis play ip sec sa命令可以看到IP sec SA 的建立情况。 dis play ip sec saInterface: Tunnel0IP sec p olicy: p olicy1Sequence number: 1Mode: isakm pTunnel id: 0Enca psulation mode: tunnelP erfect forward secrecy:P ath MTU: 1419Tunnel:local address: 10.

50、1.1.1remote address: 10.1.1.2Flow:po rt: 0pr otocol: ipp ort: 0p rotocol: ipsour addr: 192.168.1.1/255.255.255.255dest addr: 192.168.2.1/255.255.255.255Inbound ESP SAsSPI: 3128557135 (0xba79fe4f)Transform set:ESP-ENCRY PT-DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining dur

51、ation (kilobytes/sec): 1843199/3550Max received sequence-number: 3Anti-re play check enable: YAnti-re play window size: 64UDP enca psulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsSPI: 2643166978 (0x9d8b8702)Transform set:ESP-ENCRY PT-DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec):

52、 1843200/3600SA remaining duration (kilobytes/sec): 1843199/3550Max sent sequence-number: 3UDP enca psulation used for NAT traversal: NStatus: Active#在Device A 上通过命令 dis play in terface tunnel 0 可以查看经过 GRE隧道传输的流量情况。 dis play interface tunnel 0Tunnel0Current state: UPLine p rotocol state: UPDescri p

53、tion: Tunnel0 InterfaceBandwidth: 64kb psMaximum Transmit Unit: 1476Internet Address is 10.1.1.1/24 PrimaryTunnel source 202.115.22.48, destination 202.115.24.50Tunnel kee palive disabledTunnel TTL 255Tunnel pr otocol/trans port GRE/IPGRE key disabledChecksumming of GRE p ackets disabledOutput queue

54、 - Urgent queuing: Size/Length/Discards 0/100/0Output queue - Pr otocol queuing: Size/Length/Discards 0/500/0Output queue - FIFO queuing: Size/Length/Discards 0/75/0Last clearing of counters: NeverLast 300 seconds inpu t rate: 0 bytes/sec, 0 bits/sec, 0 p ackets/secLast 300 seconds out put rate: 0 bytes/sec, 0 bits/sec, 0 p ackets/secInput: 40 p ackets, 3300 bytes, 0 dropsOut put: 41

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

1. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2. 本站的文档不包含任何第三方提供的附件图纸等，如果需要附件，请联系上传者。文件的所有权益归上传用户所有。
3. 本站RAR压缩包中若带图纸，网页内容里面会有图纸预览，若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对用户上传分享的文档内容本身不做任何修改或编辑，并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容，请与我们联系，我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

CMSR系列路由器IPsec典型配置举例V

文档简介

温馨提示

最新文档

评论

CMSR系列路由器IPsec典型配置举例V

文档简介

温馨提示

最新文档

评论

相关文档