IPsec VPN详解--动态地址

Posted 2020-10-15

二.  动态地址VPN设置

                             

1. 组网需求

(1）        分公司 LAN 通过专线接入总公司内部网，Router A 的Serial2/0 接口为固定IP地址，Router B 动态获取IP 地址。

(2)   分公司自动获得的 IP 地址为私有IP 地址，Router A 的Serial2/0 接口的IP 地址为公网地址，故Router B 上需要配置NAT 穿越功能。

(3)   为了保证信息安全采用IPSec/IKE 方式创建安全隧道。

2. 配置步骤

（1）配置Router A

# 配置本端安全网关设备的名字。

<RouterA>system-view

[RouterA]ike local-name routerA

# 配置acl。

[RouterA]acl number 3101 match-order auto

[RouterA-acl-adv-3101]rule permit ip source any destination any 允许所有数据通过

[RouterA-acl-adv-3101]quit

# 配置地址池。

[RouterA]ip pool 1 10.0.0.2 10.0.0.10

# 配置IKE 对等体peer。

[RouterA]ike peer peer

[RouterA-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterA-ike-peer-peer]pre-shared-key abc  //配置预共享密钥，此密钥必须与对端保持一致

[RouterA-ike-peer-peer]id-type name  //协商类型为使用命名

[RouterA-ike-peer-peer]remote-name routerb  //配置对端命名

[RouterA-ike-peer-peer]quit

# 创建IPSec 安全提议prop。

[RouterA]ipsec proposal prop

[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式

[RouterA-ipsec-proposal-prop]transform esp   ESP安全协议

[RouterA-ipsec-proposal-prop]esp encryption-algorithm des 加密算法

[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1  验证算法

[RouterA-ipsec-proposal-prop]quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterA]ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterA-ipsec-policy-isakmp-policy-10]proposal prop

[RouterA-ipsec-policy-isakmp-policy-10]quit

# 进入串口Serial2/0 并配置IP 地址。

[RouterA]interface serial 2/0 外网端口

[RouterA-Serial2/0]ip address 100.0.0.1 255.255.0.0 外网IP

# 配置串口Serial2/0 引用安全策略组policy。

[RouterA-Serial2/0]ipsec policy policy

[RouterA-Serial2/0]remote address pool 1 对端加入pool池

(2) 配置Router B

# 配置本端安全网关设备的名字。

<RouterB>system-view

[RouterB]ike local-name routerb

# 配置acl。

[RouterB]acl number 3101 match-order auto

[RouterB-acl-adv-3101]rule permit ip source any destination any //允许所有IP通过

[RouterB-acl-adv-3101]quit

# 配置IKE 对等体peer。

[RouterB] ike peer peer

[RouterB-ike-peer-peer] exchange-mode aggressive //协商模式为野蛮模式

[RouterB-ike-peer-peer]pre-shared-key abc  //配置预共享密钥，此密钥必须与对端保持一致

[RouterB-ike-peer-peer] id-type name  //协商类型为使用命名

[RouterB-ike-peer-peer]remote-name routera  //配置对端命名

[RouterB-ike-peer-peer] remote-ip 10.0.0.1   //配置对端IP地址

[RouterB-ike-peer-peer] nat traversal  //配置nat 穿越功能       

[RouterB-ike-peer-peer] quit

# 创建IPSec 安全提议prop。

[RouterB]ipsec proposal prop

[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel  创建隧道模式

[RouterB-ipsec-proposal-prop] transform esp  验证算法

[RouterB-ipsec-proposal-prop]esp encryption-algorithm des //ESP加密方式为DES方式

[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1  加密算法

[RouterB-ipsec-proposal-prop] quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10]quit

# 进入串口Serial2/0 并配置接口动态协商IP 地址。

[RouterB] interface serial 2/0

[RouterB-Serial2/0]ip address ppp-negotiate  

# 配置串口Serial2/0 引用安全策略组policy。

[RouterB-Serial2/0]ipsec policy policy

 

本文出自 “Garrett” 博客，请务必保留此出处http://garrett.blog.51cto.com/11611549/1983594