扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
L2TP VPN
一般情况下,我们都是采用IKE方式来确定加密和认证算法的!
这里先介绍一下,两个路由器之间建立IPSec通道的案例!
网络结构简要如下:
LAN1(192.168.0.0/24)——RT1(10.0.0.1/24)——(10.0.0.2/24)RT2——LAN2(172.16.0.0/24)
IPsec配置比较复杂,可能刚开始不是很好记忆,这里提供一下模板:
ip access-list extended access-list-name //建立ACL,指定哪些数据包需要保护
crypto isakmp policy priority //第一阶段,IKE方式的认证,加密,完整验证等
authentication { pre-share|rsa-sig|rsa-encr}
encryption {des|3des}
group {1|2}
hash {sha|md5}
lifetime seconds
crypto isakmp key keystring peer-address //IKE阶段的预共享key
crypto ipsec transform-set transform-set-name //第二阶段ipsec开始
transform-type transfor-type //指定对上层数据的加密、认证方式
mode {tunnel | transport} //ipsec工作模式,默认为tunnel
crypto map map-name seq-num ipsec-isakmp //建立ipsec的映射关系,主要是调用前面的策略
set peer ip-address
match address access-list-name
set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]
set pfs [group1|group2]
set security-association lifetime [seconds seconds | kilobytes kilobytes] |
注意,这里提到的参数不是所有都需要的,但基本一点是:两边的配置必须一致;另外协商的参数少,速度就快,但安全性较低,协商的参数多,安全性高,但是路由器的负荷就大!
前面介绍的是两路由器都是固定ip地址的情况,但是更多的情况是:中心路由器是固定ip,而多个网点是ADSL或类似的不固定ip的情况,这种情况我们就需要采用动态的IPSec,基本上配置没有什么大的区别,只是要注意中心端的配置!
这样的话,只要加密等、认证等算法都正确,无论是那个远端路由器/局域网过来了的的ipsec协商都会被接受!所以即使有多个ipsec网点的话,我们也无需建立多套配置了!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号