三.撥號地址v p n設置
1. 組網需求
本例將 IPSec 和ADSL 相結合,是目前實際中廣泛應用的典型案例。
(1) Router B 通過ADSL 直接連接公網的DSLAM 接入端,作爲PPPoE 的client端。RouterB 從ISP 動態獲得的IP 地址爲私網地址。
(2)總公司局域網通過 Router A 接入到ATM 網絡。
(3)爲了保證信息安全採用 IPSec/IKE 方式創建安全隧道。
2. 組網圖
3.配置步驟
(1) 配置Router A
# 配置本端安全網關設備名稱。
<RouterA>system-view
[RouterA]ike local-name routera
# 配置ACL。
[RouterA]acl number 3101
[RouterA-acl-adv-3101]rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.1.68.0.0 0.0.0.255 允許192.1.68.0訪問172.16.0.0
[RouterA-acl-adv-3101]quit
# 配置IKE 安全提議。
[RouterA]ike proposal 1
[RouterA-ike-proposal-1]authentication-algorithm sha 驗證算法
[RouterA-ike-proposal-1]authentication-method pre-share
[RouterA-ike-proposal-1]encryption-algorithm 3des-cbc 加密算法
[RouterA-ike-proposal-1]dh group2 分配DH組
# 配置IKE 對等體peer。
[RouterA]ike peer peer
[RouterA-ike-peer-peer]exchange-mode aggressive //協商模式爲野蠻模式
[RouterA-ike-peer-peer] pre-shared-key abc /配置預共享密鑰,此密鑰必須與對端保持一致
[RouterA-ike-peer-peer]id-type name //協商類型爲使用命名
[RouterA-ike-peer-peer]remote-name routerb //配置對端命名
[RouterA-ike-peer-peer]nat traversal //配置nat 穿越功能
[RouterA-ike-peer-peer]quit
# 創建IPSec 安全提議prop。
[RouterA]ipsec proposal prop
[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 創建隧道模式
[RouterA-ipsec-proposal-prop]transform esp //esp驗證算法
[RouterA-ipsec-proposal-prop]esp encryption-algorithm 3des //加密算法
[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1 驗證算法
[RouterA-ipsec-proposal-prop]quit
# 創建安全策略policy 並指定通過IKE 協商建立SA。
[RouterA]ipsec policy policy 10 isakmp
# 配置安全策略policy 引用IKE 對等體peer。
[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer
# 配置安全策略policy 引用訪問控制列表3101。
[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101
# 配置安全策略policy 引用IPSec 安全提議prop。
[RouterA-ipsec-policy-isakmp-policy-10]proposal prop
[RouterA-ipsec-policy-isakmp-policy-10]quit
# 配置IP 地址。
[RouterA]interface serial 2/0
[RouterA-Serial2/0]ip address 100.1.1.1 255.255.255.0
[RouterA-Serial2/0]ipsec policy policy 引用安全策略
[RouterA-Serial2/0]quit
# 配置以太網口。
[RouterA]interface ethernet 1/0
[RouterA-Ethernet1/0]ip address 172.16.0.1 255.255.255.0
[RouterA-Ethernet1/0]quit
# 配置到分公司局域網的靜態路由。
[RouterA]ip route-static 192.168.0.0 255.255.255.0 serial 2/0
(2) 配置Router B
# 配置本端安全網關的名稱。
<RouterB>system-view
[RouterB]ike local-name routerb
# 配置ACL。
[RouterB]acl number 3101
[RouterB-acl-adv-3101]rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255 允許172.16.0.0網段進入
[RouterB-acl-adv-3101]quit
# 配置IKE 安全提議。
[RouterB]ike proposal 1
[RouterB-ike-proposal-1]authentication-algorithm sha 驗證算法
[RouterB-ike-proposal-1]authentication-method pre-share
[RouterB-ike-proposal-1]encryption-algorithm 3des-cbc加密算法
[RouterB-ike-proposal-1]dh group2分配DH組
# 配置IKE 對等體peer。
[RouterB]ike peer peer
[RouterB-ike-peer-peer]exchange-mode aggressive //協商模式爲野蠻模式
[RouterB-ike-peer-peer] pre-shared-key abc //配置預共享密鑰,此密鑰必須與對端保持一致
[RouterB-ike-peer-peer]id-type name //協商類型爲使用命名
[RouterB-ike-peer-peer] remote-name routera //配置對端命名
[RouterB-ike-peer-peer]remote-address 100.1.1.1 //配置對端IP地址
[RouterB-ike-peer-peer] nat traversal //配置nat 穿越功能
[RouterB-ike-peer-peer]quit
# 創建IPSec 安全提議prop。
[RouterB]ipsec proposal prop
[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式
[RouterB-ipsec-proposal-prop] transform esp 加密方式
[RouterB-ipsec-proposal-prop]esp encryption-algorithm 3des esp加密方式3des
[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1 驗證方式
[RouterB-ipsec-proposal-prop] quit
# 創建安全策略policy 並指定通過IKE 協商建立SA。
[RouterB] ipsec policy policy 10 isakmp
# 配置安全策略policy 引用IKE 對等體peer。
[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy 引用訪問控制列表3101。
[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101
# 配置安全策略policy 引用IPSec 安全提議prop。
[RouterB-ipsec-policy-isakmp-policy-10] proposal prop
[RouterB-ipsec-policy-isakmp-policy-10]quit
# 配置撥號訪問控制列表。
[RouterB]dialer-rule 1 ip permit
# 創建Dialer0,使用由ISP 分配的用戶名和密碼進行撥號和PPP 認證的相關配置,
並配置MTU。
[RouterB]interface dialer 0
[RouterB-Dialer0]link-protocol ppp 採用PPP撥號
[RouterB-Dialer0]ppp pap local-user test password simple 123456 撥號ISP提供用戶名和密碼
[RouterB-Dialer0]ip address ppp-negotiate
[RouterB-Dialer0]dialer user 1 用戶
[RouterB-Dialer0]dialer-group 1 用戶組
[RouterB-Dialer0]dialer bundle 1
[RouterB-Dialer0]ipsecno-nat-process enable不做NAT穿越
[RouterB-Dialer0] ipsec policy policy在此接口下引用創建的ipsec策略
[RouterB-Dialer0]mtu 1492
[RouterB-Dialer0]quit
# 配置到總公司局域網的靜態路由。
[RouterB]ip route-static 172.16.0.0 255.255.255.0 dialer 0
# 配置以太網口。
[RouterB]interface ethernet 1/0
[RouterB-Ethernet1/0]tcp mss 1450
[RouterB-Ethernet1/0]ip address 192.168.0.1 255.255.255.0
[RouterB-Ethernet1/0]quit