IPsecVPN配置教程

時(shí)間：2024-06-13 07:31:57 網(wǎng)絡(luò)技術(shù) 我要投稿

相關(guān)推薦

IPsecVPN配置教程

　　在項(xiàng)目中遇到一個(gè)關(guān)于IPsecVPN的問題，這種場(chǎng)景并不是很常見。翻了一下，找到之前做過的測(cè)試數(shù)據(jù)，小編分享一下。也考考大家，看看有沒有人能想到更好的解決方案(當(dāng)然是有替代方案的，可以自行測(cè)試一下)。

　　以下圖為例，R1及OR是站點(diǎn)1的設(shè)備，OR是站點(diǎn)1的出口路由器;R2是站點(diǎn)2的出口路由器。1.1.1.0/24及2.2.2.0/24分別用于模擬站點(diǎn)1和站點(diǎn)2的內(nèi)網(wǎng)。R2的FE0/0直接連接Internet公網(wǎng)，使用的IP地址為200.2.2.2/24，其默認(rèn)網(wǎng)關(guān)為200.2.2.1。而站點(diǎn)1則比較特殊，出于節(jié)省公網(wǎng)IP地址的目的，R1與出口路由器OR之間的互連鏈路采用私有IP地址段(10.1.1.0/24)。OR一個(gè)接口與R1對(duì)接，另一側(cè)的接口則連接著Internet。

　　現(xiàn)在站點(diǎn)1也額外申請(qǐng)到一個(gè)公網(wǎng)IP地址，200.1.1.1/32。要求在站點(diǎn)1與站點(diǎn)2之間建立IPsecVPN隧道，而且需在R1與R2上完成(可能OR路由器不支持IPSecVPN)。最終的需求是1.1.1.0/24與2.2.2.0/24要能夠安全地互訪。這里演示的方法是在R1上配置Loopback0接口，把公網(wǎng)地址放在這個(gè)接口上，然后R1(使用該公網(wǎng)地址)與R2建立IPsec隧道。這么做的一個(gè)好處是，OR沒有NAT的壓力。當(dāng)然即使是這個(gè)原因，我們演示的場(chǎng)景依然是挺奇葩的，不是么。另一個(gè)方案是，OR部署Static NAT，將公網(wǎng)地址200.1.1.1映射到10.1.1.1，然后依然是在R1與R2上部署IPsec VPN，這種場(chǎng)景到是很常見，可自行測(cè)試。

　　【IPsecVPN】關(guān)于IPsecVPN的一個(gè)非常規(guī)場(chǎng)景

　　R1的配置如下：

　　#完成接口IP地址的配置：

　　interface Loopback0

　　ip address 200.1.1.1 255.255.255.255 #將公司申請(qǐng)到的公網(wǎng)地址配置在Loopback0接口

　　interface Loopback1 #這個(gè)Loopback接口模擬本站點(diǎn)內(nèi)網(wǎng)

　　ip address 1.1.1.1 255.255.255.0

　　interface FastEthernet0/0

　　ip address 10.1.1.1 255.255.255.0

　　#完成IPSec相關(guān)配置：

　　access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

　　crypto isakmp policy 1

　　authentication pre-share

　　group 2

　　exit

　　crypto isakmp key ccietea address 200.2.2.2

　　crypto ipsec transform-set myset esp-3des esp-sha-hmac

　　exit

　　crypto map mymap 1 ipsec-isakmp

　　match address 100

　　set peer 200.2.2.2

　　set transform-set myset

　　exit

　　#完成路由的配置：

　　ip route 0.0.0.0 0.0.0.0 10.1.1.2

　　ip route 2.2.2.0 255.255.255.0 Loopback0

　　#將Crypto map應(yīng)用在Loopback0接口：

　　interface Loopback0

　　crypto map mymap

　　注：在上述配置中，ip route 2.2.2.0 255.255.255.0 Loopback0這條靜態(tài)路由用于將到達(dá)對(duì)端內(nèi)網(wǎng)的流量引到Loopback0接口，從而“觸碰”到部署在Loopback0接口的Crypto map，進(jìn)而匹配VPN調(diào)用的ACL100，觸發(fā)IKE協(xié)商并最終建立IPSecVPN隧道。

　　R2的配置如下：

　　#完成接口IP地址的配置：

　　interface Loopback1 #這個(gè)Loopback接口模擬本站點(diǎn)內(nèi)網(wǎng)

　　ip address 2.2.2.2 255.255.255.0

　　interface FastEthernet0/0

　　ip address 200.2.2.2 255.255.255.0

　　#完成IPSec相關(guān)配置：

　　access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

　　crypto isakmp policy 1

　　authentication pre-share

　　group 2

　　exit

　　crypto isakmp key ccietea address 200.1.1.1

　　crypto ipsec transform-set myset esp-3des esp-sha-hmac

　　exit

　　crypto map mymap 1 ipsec-isakmp

　　match address 100

　　set peer 200.1.1.1

　　set transform-set myset

　　exit

　　#完成路由的配置：

　　ip route 0.0.0.0 0.0.0.0 200.2.2.1

　　#將Crypto map應(yīng)用在FE0/0接口：

　　interface FastEthernet0/0

　　crypto map mymap

　　注意，OR路由器的配置除了基本的接口IP地址配置、默認(rèn)路由指向Internet之外，還需配置靜態(tài)路由到達(dá)200.1.1.1/32，使得Internet訪問這個(gè)公網(wǎng)IP地址的流量能夠抵達(dá)R1：

　　OR(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x #默認(rèn)路由指向Internet

　　OR(config)#ip route 200.1.1.1 255.255.255.255 10.1.1.1

　　完成上述配置后，在R1上執(zhí)行如下操作：

　　R1#ping 2.2.2.2 source 1.1.1.1

　　這個(gè)操作將觸發(fā)雙方IPSecVPN隧道的協(xié)商。完成協(xié)商后，在R1上查看IPSec SA：

　　R1#show crypto ipsec sa

　　interface: Loopback0

　　Crypto map tag: mymap, local addr 200.1.1.1

　　protected vrf: (none)

　　local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)

　　remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0)

　　current_peer 200.2.2.2 port 500

　　PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}

　　#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9

　　#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9

　　#pkts compressed: 0, #pkts decompressed: 0

　　#pkts not compressed: 0, #pkts compr. failed: 0

　　#pkts not decompressed: 0, #pkts decompress failed: 0

　　#send errors 1, #recv errors 0

　　local crypto endpt.: 200.1.1.1, remote crypto endpt.: 200.2.2.2

　　path mtu 1514, ip mtu 1514, ip mtu idb Loopback0

　　current outbound spi: 0x2C3824ED(741876973)

　　inbound esp sas:

　　spi: 0x159FD96C(362797420)

　　transform: esp-3des esp-sha-hmac ,

　　in use settings ={Tunnel, }

　　conn id: 2001, flow_id: SW:1, crypto map: mymap

　　sa timing: remaining key lifetime (k/sec): (4489149/3586)

　　IV size: 8 bytes

　　replay detection support: Y

　　Status: ACTIVE

　　inbound ah sas:

　　inbound pcp sas:

　　outbound esp sas:

　　spi: 0x2C3824ED(741876973)

　　transform: esp-3des esp-sha-hmac ,

　　in use settings ={Tunnel, }

　　conn id: 2002, flow_id: SW:2, crypto map: mymap

　　sa timing: remaining key lifetime (k/sec): (4489149/3584)

　　IV size: 8 bytes

　　replay detection support: Y

　　Status: ACTIVE

　　outbound ah sas:

　　outbound pcp sas:

【IPsecVPN配置教程】相關(guān)文章：

h3c交換機(jī)配置telnet配置教程07-31

精簡(jiǎn)路由配置的VRF通信教程10-29

思科路由器撥號(hào)上網(wǎng)配置教程06-07

H3C交換機(jī)配置靜態(tài)路由教程05-22

在Cisco IOS中配置IPv6防火墻案例教程12-31

h3c交換機(jī)配置telnet實(shí)例教程07-04

H3C無線AP本地轉(zhuǎn)發(fā)配置教程201612-01

linux配置dns服務(wù)器配置命令09-22

電腦配置知識(shí)10-12

調(diào)酒教程10-21