IPsec v p n詳解--撥號地址

三．撥號地址v p n設置

1. 組網需求

本例將 IPSec 和ADSL 相結合，是目前實際中廣泛應用的典型案例。

（1） Router B 通過ADSL 直接連接公網的DSLAM 接入端，作爲PPPoE 的client端。RouterB 從ISP 動態獲得的IP 地址爲私網地址。

（2）總公司局域網通過 Router A 接入到ATM 網絡。

（3）爲了保證信息安全採用 IPSec/IKE 方式創建安全隧道。

2. 組網圖

                             

3.配置步驟

(1) 配置Router A

# 配置本端安全網關設備名稱。

<RouterA>system-view

[RouterA]ike local-name routera

# 配置ACL。

[RouterA]acl number 3101

[RouterA-acl-adv-3101]rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.1.68.0.0 0.0.0.255    允許192.1.68.0訪問172.16.0.0

[RouterA-acl-adv-3101]quit

# 配置IKE 安全提議。

[RouterA]ike proposal 1  

[RouterA-ike-proposal-1]authentication-algorithm sha 驗證算法

[RouterA-ike-proposal-1]authentication-method pre-share

[RouterA-ike-proposal-1]encryption-algorithm 3des-cbc 加密算法

[RouterA-ike-proposal-1]dh group2   分配DH組

# 配置IKE 對等體peer。

[RouterA]ike peer peer

[RouterA-ike-peer-peer]exchange-mode aggressive //協商模式爲野蠻模式

[RouterA-ike-peer-peer] pre-shared-key abc /配置預共享密鑰，此密鑰必須與對端保持一致

 

[RouterA-ike-peer-peer]id-type name  //協商類型爲使用命名

[RouterA-ike-peer-peer]remote-name routerb  //配置對端命名

[RouterA-ike-peer-peer]nat traversal  //配置nat 穿越功能

[RouterA-ike-peer-peer]quit

# 創建IPSec 安全提議prop。

[RouterA]ipsec proposal prop

[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 創建隧道模式

[RouterA-ipsec-proposal-prop]transform esp    //esp驗證算法

[RouterA-ipsec-proposal-prop]esp encryption-algorithm 3des //加密算法

[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1 驗證算法

[RouterA-ipsec-proposal-prop]quit

# 創建安全策略policy 並指定通過IKE 協商建立SA。

[RouterA]ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 對等體peer。

[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer

# 配置安全策略policy 引用訪問控制列表3101。

[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提議prop。

[RouterA-ipsec-policy-isakmp-policy-10]proposal prop

[RouterA-ipsec-policy-isakmp-policy-10]quit

# 配置IP 地址。

[RouterA]interface serial 2/0

[RouterA-Serial2/0]ip address 100.1.1.1 255.255.255.0

[RouterA-Serial2/0]ipsec policy policy 引用安全策略

[RouterA-Serial2/0]quit

# 配置以太網口。

[RouterA]interface ethernet 1/0

[RouterA-Ethernet1/0]ip address 172.16.0.1 255.255.255.0

[RouterA-Ethernet1/0]quit

# 配置到分公司局域網的靜態路由。

[RouterA]ip route-static 192.168.0.0 255.255.255.0 serial 2/0

(2) 配置Router B

# 配置本端安全網關的名稱。

<RouterB>system-view

[RouterB]ike local-name routerb

# 配置ACL。

[RouterB]acl number 3101

[RouterB-acl-adv-3101]rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255 允許172.16.0.0網段進入

[RouterB-acl-adv-3101]quit

# 配置IKE 安全提議。

[RouterB]ike proposal 1

[RouterB-ike-proposal-1]authentication-algorithm sha 驗證算法

[RouterB-ike-proposal-1]authentication-method pre-share

[RouterB-ike-proposal-1]encryption-algorithm 3des-cbc加密算法

[RouterB-ike-proposal-1]dh group2分配DH組

# 配置IKE 對等體peer。

[RouterB]ike peer peer

[RouterB-ike-peer-peer]exchange-mode aggressive //協商模式爲野蠻模式

[RouterB-ike-peer-peer] pre-shared-key abc  //配置預共享密鑰，此密鑰必須與對端保持一致

 

[RouterB-ike-peer-peer]id-type name  //協商類型爲使用命名

[RouterB-ike-peer-peer] remote-name routera //配置對端命名

[RouterB-ike-peer-peer]remote-address 100.1.1.1 //配置對端IP地址

[RouterB-ike-peer-peer] nat traversal //配置nat 穿越功能

 

[RouterB-ike-peer-peer]quit

# 創建IPSec 安全提議prop。

[RouterB]ipsec proposal prop

[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式

[RouterB-ipsec-proposal-prop] transform esp 加密方式

[RouterB-ipsec-proposal-prop]esp encryption-algorithm 3des esp加密方式3des

[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1 驗證方式

[RouterB-ipsec-proposal-prop] quit

# 創建安全策略policy 並指定通過IKE 協商建立SA。

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 對等體peer。

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy 引用訪問控制列表3101。

[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提議prop。

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10]quit

# 配置撥號訪問控制列表。

[RouterB]dialer-rule 1 ip permit

# 創建Dialer0，使用由ISP 分配的用戶名和密碼進行撥號和PPP 認證的相關配置，

並配置MTU。

[RouterB]interface dialer 0

[RouterB-Dialer0]link-protocol ppp 採用PPP撥號

[RouterB-Dialer0]ppp pap local-user test password simple 123456  撥號ISP提供用戶名和密碼

[RouterB-Dialer0]ip address ppp-negotiate

[RouterB-Dialer0]dialer user 1 用戶    

[RouterB-Dialer0]dialer-group 1 用戶組

[RouterB-Dialer0]dialer bundle 1

[RouterB-Dialer0]ipsecno-nat-process enable不做NAT穿越

[RouterB-Dialer0] ipsec policy policy在此接口下引用創建的ipsec策略

[RouterB-Dialer0]mtu 1492

[RouterB-Dialer0]quit

# 配置到總公司局域網的靜態路由。

[RouterB]ip route-static 172.16.0.0 255.255.255.0 dialer 0

# 配置以太網口。

[RouterB]interface ethernet 1/0

[RouterB-Ethernet1/0]tcp mss 1450

[RouterB-Ethernet1/0]ip address 192.168.0.1 255.255.255.0

[RouterB-Ethernet1/0]quit