好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



9.4  野蛮IPSEC配置

【需求】

1、  除中心为固定IP外,其余各分部均不固定IP

2、  中心:支持VRP3.3 R系列或AR系列路由器,内网192.168.0.0/24

3、  分部14:支持VRP3.3 R系列或AR系列路由器,内网192.168.2~5.0/24

4、  分部5Aolynk BR304 路由器,内网192.168.1.0/24

 

【组网图】

 

 

[中心配置]

下面的配置中省略了nat 的配置,省略了路由等配置,仅为突出VPN 的配置。

对中心配置简化的几点说明:

1VRP3.3-0008 开始对VPN acl过滤的规则不像以前那样严格,所以acl 3009的配置完

全可以。

2ike仅配置一条即可,注意把max-connections配置为实际分部数量即可。

因为上述两点,中心路由器的配置大大简化。

 

中心配置

ike local-name center

#

 

 

ike proposal 1

authentication-algorithm md5

#

 

 

ike peer 304

exchange-mode aggressive

pre-shared-key huawei

id-type name

remote-name 304-1
max-connections 5

#

 

 

 

 

可以连接5个分部

 

ipsec proposal 1

#

 

 

ipsec policy 1 1 isakmp

security acl 3009

ike-peer 304

proposal 1

#

 

 

interface Ethernet0/0

ip address 20.0.0.1 255.255.255.0

ipsec policy 1

#

 

 

interface Ethernet1/0

ip address 192.168.0.1 255.255.255.0

#

 

 

acl number 3009

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255

rule 1 deny ip

 

 

[分部1-4配置]

下面配置中,省略了adsl拨号或者以太口自动获取ip或者串口modem拨号,以串口固定ip

代替;省略了nat的配置。

中心配置

ike local-name 304-1

#

 

 

ike proposal 1

authentication-algorithm md5

#

 

 

ike peer a

exchange-mode aggressive

pre-shared-key huawei

id-type name

remote-address 20.0.0.1

remote-name center

#

 

 

 

 

 

 

ipsec proposal 1

#

 

 

ipsec policy 1 1 isakmp

security acl 3000

ike-peer a

proposal 1

#

 

 

interface Ethernet0/0

ip address 192.168.3.1 255.255.255.0

#

分部内网口地址依次为192.168.25.1/24

 

interface Serial0/0

clock DTECLK1

link-protocol ppp

ip address 20.0.0.2 255.255.255.0

ipsec policy 1

#

 

 

acl number 3000

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255

rule 1 deny ip

#

 

 

ip route-static 0.0.0.0 0.0.0.0 Serial 0/0 preference 60

 

 

[分部5配置]

X Close
X Close