IPsecVPN配置教程
- 网络技术
- 关注:1.85W次
在项目中遇到一个关于IPsecVPN的问题,这种场景并不是很常见。翻了一下,找到之前做过的测试数据,小编分享一下。也考考大家,看看有没有人能想到更好的解决方案(当然是有替代方案的,可以自行测试一下)。
以下图为例,R1及OR是站点1的设备,OR是站点1的出口路由器;R2是站点2的出口路由器。及分别用于模拟站点1和站点2的内网。R2的FE0/0直接连接Internet公网,使用的IP地址为,其默认网关为。而站点1则比较特殊,出于节省公网IP地址的目的',R1与出口路由器OR之间的互连链路采用私有IP地址段()。OR一个接口与R1对接,另一侧的接口则连接着Internet。
现在站点1也额外申请到一个公网IP地址,。要求在站点1与站点2之间建立IPsecVPN隧道,而且需在R1与R2上完成(可能OR路由器不支持IPSecVPN)。最终的需求是与要能够安全地互访。这里演示的方法是在R1上配置Loopback0接口,把公网地址放在这个接口上,然后R1(使用该公网地址)与R2建立IPsec隧道。这么做的一个好处是,OR没有NAT的压力。当然即使是这个原因,我们演示的场景依然是挺奇葩的,不是么。另一个方案是,OR部署Static NAT,将公网地址映射到,然后依然是在R1与R2上部署IPsec VPN,这种场景到是很常见,可自行测试。
【IPsecVPN】关于IPsecVPN的一个非常规场景
R1的配置如下:
#完成接口IP地址的配置:
interface Loopback0
ip address #将公司申请到的公网地址配置在Loopback0接口
interface Loopback1 #这个Loopback接口模拟本站点内网
ip address
interface FastEthernet0/0
ip address
#完成IPSec相关配置:
access-list 100 permit ip
crypto isakmp policy 1
authentication pre-share
group 2
exit
crypto isakmp key ccietea address
crypto ipsec transform-set myset esp-3des esp-sha-hmac
exit
crypto map mymap 1 ipsec-isakmp
match address 100
set peer
set transform-set myset
exit
#完成路由的配置:
ip route
ip route Loopback0
#将Crypto map应用在Loopback0接口:
interface Loopback0
crypto map mymap
注:在上述配置中,ip route Loopback0这条静态路由用于将到达对端内网的流量引到Loopback0接口,从而“触碰”到部署在Loopback0接口的Crypto map,进而匹配VPN调用的ACL100,触发IKE协商并最终建立IPSecVPN隧道。
R2的配置如下:
#完成接口IP地址的配置:
interface Loopback1 #这个Loopback接口模拟本站点内网
ip address
interface FastEthernet0/0
ip address
#完成IPSec相关配置:
access-list 100 permit ip
crypto isakmp policy 1
authentication pre-share
group 2
exit
crypto isakmp key ccietea address
crypto ipsec transform-set myset esp-3des esp-sha-hmac
exit
crypto map mymap 1 ipsec-isakmp
match address 100
set peer
set transform-set myset
exit
#完成路由的配置:
ip route
#将Crypto map应用在FE0/0接口:
interface FastEthernet0/0
crypto map mymap
注意,OR路由器的配置除了基本的接口IP地址配置、默认路由指向Internet之外,还需配置静态路由到达,使得Internet访问这个公网IP地址的流量能够抵达R1:
OR(config)#ip route x.x.x.x #默认路由指向Internet
OR(config)#ip route
完成上述配置后,在R1上执行如下操作:
R1#ping source
这个操作将触发双方IPSecVPN隧道的协商。完成协商后,在R1上查看IPSec SA:
R1#show crypto ipsec sa
interface: Loopback0
Crypto map tag: mymap, local addr
protected vrf: (none)
local ident (addr/mask/prot/port): ()
remote ident (addr/mask/prot/port): ()
current_peer port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: , remote crypto endpt.:
path mtu 1514, ip mtu 1514, ip mtu idb Loopback0
current outbound spi: 0x2C3824ED(741876973)
inbound esp sas:
spi: 0x159FD96C(362797420)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4489149/3586)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x2C3824ED(741876973)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4489149/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
- 文章版权属于文章作者所有,转载请注明 https://xuezhezhai.com/jsj/wl/1verne.html