1. <tt id="5hhch"><source id="5hhch"></source></tt>
    1. <xmp id="5hhch"></xmp>

  2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

    <rp id="5hhch"></rp>
        <dfn id="5hhch"></dfn>

      1. IPsecVPN配置教程

        時間:2024-06-13 07:31:57 網絡技術 我要投稿
        • 相關推薦

        IPsecVPN配置教程

          在項目中遇到一個關于IPsecVPN的問題,這種場景并不是很常見。翻了一下,找到之前做過的測試數據,小編分享一下。也考考大家,看看有沒有人能想到更好的解決方案(當然是有替代方案的,可以自行測試一下)。

          以下圖為例,R1及OR是站點1的設備,OR是站點1的出口路由器;R2是站點2的出口路由器。1.1.1.0/24及2.2.2.0/24分別用于模擬站點1和站點2的內網。R2的FE0/0直接連接Internet公網,使用的IP地址為200.2.2.2/24,其默認網關為200.2.2.1。而站點1則比較特殊,出于節省公網IP地址的目的,R1與出口路由器OR之間的互連鏈路采用私有IP地址段(10.1.1.0/24)。OR一個接口與R1對接,另一側的接口則連接著Internet。

          現在站點1也額外申請到一個公網IP地址,200.1.1.1/32。要求在站點1與站點2之間建立IPsecVPN隧道,而且需在R1與R2上完成(可能OR路由器不支持IPSecVPN)。最終的需求是1.1.1.0/24與2.2.2.0/24要能夠安全地互訪。這里演示的方法是在R1上配置Loopback0接口,把公網地址放在這個接口上,然后R1(使用該公網地址)與R2建立IPsec隧道。這么做的一個好處是,OR沒有NAT的壓力。當然即使是這個原因,我們演示的場景依然是挺奇葩的,不是么。另一個方案是,OR部署Static NAT,將公網地址200.1.1.1映射到10.1.1.1,然后依然是在R1與R2上部署IPsec VPN,這種場景到是很常見,可自行測試。

          【IPsecVPN】關于IPsecVPN的一個非常規場景

         

          R1的配置如下:

          #完成接口IP地址的配置:

          interface Loopback0

          ip address 200.1.1.1 255.255.255.255 #將公司申請到的公網地址配置在Loopback0接口

          interface Loopback1 #這個Loopback接口模擬本站點內網

          ip address 1.1.1.1 255.255.255.0

          interface FastEthernet0/0

          ip address 10.1.1.1 255.255.255.0

          #完成IPSec相關配置:

          access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

          crypto isakmp policy 1

          authentication pre-share

          group 2

          exit

          crypto isakmp key ccietea address 200.2.2.2

          crypto ipsec transform-set myset esp-3des esp-sha-hmac

          exit

          crypto map mymap 1 ipsec-isakmp

          match address 100

          set peer 200.2.2.2

          set transform-set myset

          exit

          #完成路由的配置:

          ip route 0.0.0.0 0.0.0.0 10.1.1.2

          ip route 2.2.2.0 255.255.255.0 Loopback0

          #將Crypto map應用在Loopback0接口:

          interface Loopback0

          crypto map mymap

          注:在上述配置中,ip route 2.2.2.0 255.255.255.0 Loopback0這條靜態路由用于將到達對端內網的流量引到Loopback0接口,從而“觸碰”到部署在Loopback0接口的Crypto map,進而匹配VPN調用的ACL100,觸發IKE協商并最終建立IPSecVPN隧道。

          R2的配置如下:

          #完成接口IP地址的配置:

          interface Loopback1 #這個Loopback接口模擬本站點內網

          ip address 2.2.2.2 255.255.255.0

          interface FastEthernet0/0

          ip address 200.2.2.2 255.255.255.0

          #完成IPSec相關配置:

          access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

          crypto isakmp policy 1

          authentication pre-share

          group 2

          exit

          crypto isakmp key ccietea address 200.1.1.1

          crypto ipsec transform-set myset esp-3des esp-sha-hmac

          exit

          crypto map mymap 1 ipsec-isakmp

          match address 100

          set peer 200.1.1.1

          set transform-set myset

          exit

          #完成路由的配置:

          ip route 0.0.0.0 0.0.0.0 200.2.2.1

          #將Crypto map應用在FE0/0接口:

          interface FastEthernet0/0

          crypto map mymap

          注意,OR路由器的配置除了基本的接口IP地址配置、默認路由指向Internet之外,還需配置靜態路由到達200.1.1.1/32,使得Internet訪問這個公網IP地址的流量能夠抵達R1:

          OR(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x #默認路由指向Internet

          OR(config)#ip route 200.1.1.1 255.255.255.255 10.1.1.1

          完成上述配置后,在R1上執行如下操作:

          R1#ping 2.2.2.2 source 1.1.1.1

          這個操作將觸發雙方IPSecVPN隧道的協商。完成協商后,在R1上查看IPSec SA:

          R1#show crypto ipsec sa

          interface: Loopback0

          Crypto map tag: mymap, local addr 200.1.1.1

          protected vrf: (none)

          local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)

          remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0)

          current_peer 200.2.2.2 port 500

          PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}

          #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9

          #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9

          #pkts compressed: 0, #pkts decompressed: 0

          #pkts not compressed: 0, #pkts compr. failed: 0

          #pkts not decompressed: 0, #pkts decompress failed: 0

          #send errors 1, #recv errors 0

          local crypto endpt.: 200.1.1.1, remote crypto endpt.: 200.2.2.2

          path mtu 1514, ip mtu 1514, ip mtu idb Loopback0

          current outbound spi: 0x2C3824ED(741876973)

          inbound esp sas:

          spi: 0x159FD96C(362797420)

          transform: esp-3des esp-sha-hmac ,

          in use settings ={Tunnel, }

          conn id: 2001, flow_id: SW:1, crypto map: mymap

          sa timing: remaining key lifetime (k/sec): (4489149/3586)

          IV size: 8 bytes

          replay detection support: Y

          Status: ACTIVE

          inbound ah sas:

          inbound pcp sas:

          outbound esp sas:

          spi: 0x2C3824ED(741876973)

          transform: esp-3des esp-sha-hmac ,

          in use settings ={Tunnel, }

          conn id: 2002, flow_id: SW:2, crypto map: mymap

          sa timing: remaining key lifetime (k/sec): (4489149/3584)

          IV size: 8 bytes

          replay detection support: Y

          Status: ACTIVE

          outbound ah sas:

          outbound pcp sas:

        【IPsecVPN配置教程】相關文章:

        h3c交換機配置telnet配置教程07-31

        精簡路由配置的VRF通信教程10-29

        思科路由器撥號上網配置教程06-07

        H3C交換機配置靜態路由教程05-22

        在Cisco IOS中配置IPv6防火墻案例教程12-31

        h3c交換機配置telnet實例教程07-04

        H3C無線AP本地轉發配置教程201612-01

        linux配置dns服務器配置命令09-22

        電腦配置知識10-12

        調酒教程10-21

        国产高潮无套免费视频_久久九九兔免费精品6_99精品热6080YY久久_国产91久久久久久无码

        1. <tt id="5hhch"><source id="5hhch"></source></tt>
          1. <xmp id="5hhch"></xmp>

        2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

          <rp id="5hhch"></rp>
              <dfn id="5hhch"></dfn>