预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共16页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

IPsecVPN配置教程在项目中遇到一个关于IPsecVPN的问题,这种场景并不是很常见。翻了一下,找到之前做过的测试数据,小编分享一下。也考考大家,看看有没有人能想到更好的解决方案(当然是有替代方案的,可以自行测试一下)。以下图为例,R1及OR是站点1的设备,OR是站点1的出口路由器;R2是站点2的出口路由器。1.1.1.0/24及2.2.2.0/24分别用于模拟站点1和站点2的内网。R2的FE0/0直接连接Internet公网,使用的IP地址为200.2.2.2/24,其默认网关为200.2.2.1。而站点1则比较特殊,出于节省公网IP地址的目的,R1与出口路由器OR之间的互连链路采用私有IP地址段(10.1.1.0/24)。OR一个接口与R1对接,另一侧的接口则连接着Internet。现在站点1也额外申请到一个公网IP地址,200.1.1.1/32。要求在站点1与站点2之间建立IPsecVPN隧道,而且需在R1与R2上完成(可能OR路由器不支持IPSecVPN)。最终的需求是1.1.1.0/24与2.2.2.0/24要能够安全地互访。这里演示的方法是在R1上配置Loopback0接口,把公网地址放在这个接口上,然后R1(使用该公网地址)与R2建立IPsec隧道。这么做的一个好处是,OR没有NAT的压力。当然即使是这个原因,我们演示的场景依然是挺奇葩的,不是么。另一个方案是,OR部署StaticNAT,将公网地址200.1.1.1映射到10.1.1.1,然后依然是在R1与R2上部署IPsecVPN,这种场景到是很常见,可自行测试。【IPsecVPN】关于IPsecVPN的一个非常规场景R1的配置如下:#完成接口IP地址的配置:interfaceLoopback0ipaddress200.1.1.1255.255.255.255#将公司申请到的公网地址配置在Loopback0接口interfaceLoopback1#这个Loopback接口模拟本站点内网ipaddress1.1.1.1255.255.255.0interfaceFastEthernet0/0ipaddress10.1.1.1255.255.255.0#完成IPSec相关配置:access-list100permitip1.1.1.00.0.0.2552.2.2.00.0.0.255cryptoisakmppolicy1authenticationpre-sharegroup2exitcryptoisakmpkeyccieteaaddress200.2.2.2cryptoipsectransform-setmysetesp-3desesp-sha-hmacexitcryptomapmymap1ipsec-isakmpmatchaddress100setpeer200.2.2.2settransform-setmysetexit#完成路由的配置:iproute0.0.0.00.0.0.010.1.1.2iproute2.2.2.0255.255.255.0Loopback0#将Cryptomap应用在Loopback0接口:interfaceLoopback0cryptomapmymap注:在上述配置中,iproute2.2.2.0255.255.255.0Loopback0这条静态路由用于将到达对端内网的流量引到Loopback0接口,从而“触碰”到部署在Loopback0接口的Cryptomap,进而匹配VPN调用的ACL100,触发IKE协商并最终建立IPSecVPN隧道。R2的配置如下:#完成接口IP地址的配置:interfaceLoopback1#这个Loopback接口模拟本站点内网ipaddress2.2.2.2255.255.255.0interfaceFastEthernet0/0ipaddress200.2.2.2255.255.255.0#完成IPSec相关配置:access-list100permitip2.2.2.00.0.0.2551.1.1.00.0.0.255cryptoisakmppolicy1authenticationpre-sharegroup2exitcryptoisakmpkeyccieteaaddress200.1.1.1cryptoipsectransform-setmysetesp-3desesp-sha-hmacexitcryptomapmymap1ipsec-isakmpmatchaddress100setpeer200.1.1.1settransform-setmysetexit#完成路由的配置:iproute0.0.0.00.0.0.0200.2.2.1#将Cryptomap应用在FE0/0接口:inte