9.4 野蛮IPSEC配置
【需求】
1、 除中心为固定IP外,其余各分部均不固定IP
2、 中心:支持VRP3.3 的R系列或AR系列路由器,内网网段192.168.0.0/24
3、 分部1-4:支持VRP3.3 的R系列或AR系列路由器,内网网段192.168.2~5.0/24
4、 分部5:Aolynk BR304 路由器,内网网段192.168.1.0/24
【组网图】
[中心配置]
下面的配置中省略了nat 的配置,省略了路由等配置,仅为突出VPN 的配置。
对中心配置简化的几点说明:
1、VRP3.3-0008 开始对VPN 的acl过滤的规则不像以前那样严格,所以acl 3009的配置完
全可以。
2、ike仅配置一条即可,注意把max-connections配置为实际分部数量即可。
因为上述两点,中心路由器的配置大大简化。
中心配置 |
ike local-name center # |
|
|
ike proposal 1 authentication-algorithm md5 # |
|
|
ike peer 304 exchange-mode aggressive pre-shared-key huawei id-type name remote-name 304-1 # |
可以连接5个分部 |
|
ipsec proposal 1 # |
|
|
ipsec policy 1 1 isakmp security acl 3009 ike-peer 304 proposal 1 # |
|
|
interface Ethernet0/0 ip address 20.0.0.1 255.255.255.0 ipsec policy 1 # |
|
|
interface Ethernet1/0 ip address 192.168.0.1 255.255.255.0 # |
|
|
acl number 3009 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 1 deny ip |
|
[分部1-4配置]
下面配置中,省略了adsl拨号或者以太口自动获取ip或者串口modem拨号,以串口固定ip
代替;省略了nat的配置。
中心配置 |
ike local-name 304-1 # |
|
|
ike proposal 1 authentication-algorithm md5 # |
|
|
ike peer a exchange-mode aggressive pre-shared-key huawei id-type name remote-address 20.0.0.1 remote-name center # |
|
|
ipsec proposal 1 # |
|
|
ipsec policy 1 1 isakmp security acl 3000 ike-peer a proposal 1 # |
|
|
interface Ethernet0/0 ip address 192.168.3.1 255.255.255.0 # |
分部内网口地址依次为192.168.2~5.1/24 |
|
interface Serial0/0 clock DTECLK1 link-protocol ppp ip address 20.0.0.2 255.255.255.0 ipsec policy 1 # |
|
|
acl number 3000 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 1 deny ip # |
|
|
ip route-static 0.0.0.0 0.0.0.0 Serial 0/0 preference 60 |
|
[分部5配置]