二. 动态地址VPN设置
1. 组网需求
(1) 分公司 LAN 通过专线接入总公司内部网,Router A 的Serial2/0 接口为固定IP地址,Router B 动态获取IP 地址。
(2) 分公司自动获得的 IP 地址为私有IP 地址,Router A 的Serial2/0 接口的IP 地址为公网地址,故Router B 上需要配置NAT 穿越功能。
(3) 为了保证信息安全采用IPSec/IKE 方式创建安全隧道。
2. 配置步骤
(1)配置Router A
# 配置本端安全网关设备的名字。
<RouterA>system-view
[RouterA]ike local-name routerA
# 配置acl。
[RouterA]acl number 3101 match-order auto
[RouterA-acl-adv-3101]rule permit ip source any destination any 允许所有数据通过
[RouterA-acl-adv-3101]quit
# 配置地址池。
[RouterA]ip pool 1 10.0.0.2 10.0.0.10
# 配置IKE 对等体peer。
[RouterA]ike peer peer
[RouterA-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式
[RouterA-ike-peer-peer]pre-shared-key abc //配置预共享密钥,此密钥必须与对端保持一致
[RouterA-ike-peer-peer]id-type name //协商类型为使用命名
[RouterA-ike-peer-peer]remote-name routerb //配置对端命名
[RouterA-ike-peer-peer]quit
# 创建IPSec 安全提议prop。
[RouterA]ipsec proposal prop
[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式
[RouterA-ipsec-proposal-prop]transform esp ESP安全协议
[RouterA-ipsec-proposal-prop]esp encryption-algorithm des 加密算法
[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1 验证算法
[RouterA-ipsec-proposal-prop]quit
# 创建安全策略policy 并指定通过IKE 协商建立SA。
[RouterA]ipsec policy policy 10 isakmp
# 配置安全策略policy 引用IKE 对等体peer。
[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer
# 配置安全策略policy 引用访问控制列表3101。
[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101
# 配置安全策略policy 引用IPSec 安全提议prop。
[RouterA-ipsec-policy-isakmp-policy-10]proposal prop
[RouterA-ipsec-policy-isakmp-policy-10]quit
# 进入串口Serial2/0 并配置IP 地址。
[RouterA]interface serial 2/0 外网端口
[RouterA-Serial2/0]ip address 100.0.0.1 255.255.0.0 外网IP
# 配置串口Serial2/0 引用安全策略组policy。
[RouterA-Serial2/0]ipsec policy policy
[RouterA-Serial2/0]remote address pool 1 对端加入pool池
(2) 配置Router B
# 配置本端安全网关设备的名字。
<RouterB>system-view
[RouterB]ike local-name routerb
# 配置acl。
[RouterB]acl number 3101 match-order auto
[RouterB-acl-adv-3101]rule permit ip source any destination any //允许所有IP通过
[RouterB-acl-adv-3101]quit
# 配置IKE 对等体peer。
[RouterB] ike peer peer
[RouterB-ike-peer-peer] exchange-mode aggressive //协商模式为野蛮模式
[RouterB-ike-peer-peer]pre-shared-key abc //配置预共享密钥,此密钥必须与对端保持一致
[RouterB-ike-peer-peer] id-type name //协商类型为使用命名
[RouterB-ike-peer-peer]remote-name routera //配置对端命名
[RouterB-ike-peer-peer] remote-ip 10.0.0.1 //配置对端IP地址
[RouterB-ike-peer-peer] nat traversal //配置nat 穿越功能
[RouterB-ike-peer-peer] quit
# 创建IPSec 安全提议prop。
[RouterB]ipsec proposal prop
[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel 创建隧道模式
[RouterB-ipsec-proposal-prop] transform esp 验证算法
[RouterB-ipsec-proposal-prop]esp encryption-algorithm des //ESP加密方式为DES方式
[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1 加密算法
[RouterB-ipsec-proposal-prop] quit
# 创建安全策略policy 并指定通过IKE 协商建立SA。
[RouterB] ipsec policy policy 10 isakmp
# 配置安全策略policy 引用IKE 对等体peer。
[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy 引用访问控制列表3101。
[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101
# 配置安全策略policy 引用IPSec 安全提议prop。
[RouterB-ipsec-policy-isakmp-policy-10] proposal prop
[RouterB-ipsec-policy-isakmp-policy-10]quit
# 进入串口Serial2/0 并配置接口动态协商IP 地址。
[RouterB] interface serial 2/0
[RouterB-Serial2/0]ip address ppp-negotiate
# 配置串口Serial2/0 引用安全策略组policy。
[RouterB-Serial2/0]ipsec policy policy