扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
【拓扑图】
【配置环境参数】
如图。
【组网需求】
1. 实现武汉和北京两个私网地址(loopback地址)的互通。两个VPN网关必须有公网地址,且必须是静态地址。
2. 要求私网两个网段之间的数据流量采用IPSEC加密传输。
3. 采用隧道模式。
【说明】
1. 由于传输模式仅适用于两台主机之间的相连,实际使用意义不大,本处省略。使用中可参考隧道配置。
2. 两边的VPN网关可以为路由器或Secpath专用VPN网关。
【主要配置】
|
|
|
[Secpath1-beijing] |
ike peer 1 |
配置IKE参数 |
|
pre-shared-key 12345 |
配置预共享字。两端必须一致。 有些路由器版本需要加”extrange main”启动主模式。一般,默认即为主模式。 |
|
remote-address 202.38.1.2 |
配置隧道对端地址。 |
|
# |
|
|
ipsec proposal p1 |
创建安全提议,可采用默认安全提议内容。默认为:ESP隧道封装,DES加密,MD5验证。 通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改,则在安全提议模式下更改 |
|
# |
|
|
ipsec policy policy1 1 isakmp |
创建ipsec策略,其安全内容采用IKE自动协商。 |
|
security acl 3000 |
指定哪些数据流需要加密 |
|
ike-peer 1 |
引用IKE对等体 |
|
proposal p1 |
引用安全提议 |
|
# |
|
|
interface Ethernet0/0/0 |
|
|
ip address 202.38.1.1 255.255.255.0 |
|
|
ipsec policy policy1 |
在外网接口上启用IPSEC策略,加密相关私网数据 |
|
# |
|
|
acl number 3000 |
|
|
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 |
指定去往对端私网的数据流 |
|
rule 1 deny ip |
|
|
# |
|
|
ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60 |
注意:一定要有去往对端的路由,包括公网和私网地址。也就是说,设备需要知道去往10.1.2.0的路径,通过路由发到公网口上。 |
|
# |
|
|
|
|
[Secpath2-wuhan] |
ike peer 1 |
配置IKE参数 |
|
pre-shared-key 12345 |
配置预共享字。两端必须一致。 有些路由器版本需要加”extrange main”启动主模式。 |
|
remote-address 202.38.1.1 |
配置隧道对端地址。 |
|
# |
|
|
ipsec proposal p1 |
创建安全提议,可采用默认安全提议内容。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改,则在安全提议模式下更改 |
|
# |
|
|
ipsec policy policy1 1 isakmp |
创建ipsec策略,其安全内容采用IKE自动协商。 |
|
security acl 3000 |
指定哪些数据需要加密 |
|
ike-peer 1 |
引用IKE对等体 |
|
proposal p1 |
引用安全提议 |
|
# |
|
|
interface Ethernet0/0/0 |
|
|
ip address 202.38.1.2 255.255.255.0 |
|
|
ipsec policy policy1 |
在外网接口上启用IPSEC策略,加密相关私网数据 |
|
# |
|
|
acl number 3000 |
|
|
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 |
指定去往对端私网的数据流,注意与对端的ACL应为镜像,这样双方才能互相对数据加解密。 |
|
rule 1 deny ip |
|
|
# |
|
|
ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60 |
注意:一定要有去往对端的路由 |
|
|
|
【备注】
1、 常见错误为路由设置问题。没有去往对端私网的路由。
2、 以武汉去往北京的报文为例,报文格式如下:
可见,在这种模式下由于无TCP/UDP端口号,无法穿越NAPT网关。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。