MSR系列路由器拨号接口上配置IPSec功能的配置
关键词:MSR;PPP;PAP;PPPoE;Client;Server;Dialer;IPSec;IKE
一、组网需求:
PPPoE Client和PPPoE Server通过PPPoE建立拨号关系,双方在拨号接口和虚模板上配置IPSec策略,使两边的私有数据得以加密传送
设备清单:MSR系列路由器2台
二、组网图:
三、配置步骤:
设备和版本:MSR系列、Version 5.20, Release 1509
PPPoE_Client的配置 |
# //配置拨号规则允许IP包通过 dialer-rule 1 ip
permit # //配置IKE Peer ike peer pppoeserver //共享身份密钥 pre-shared-key sunshine //对端地址 remote-address # //IPSec提议 ipsec proposal pppoeserver # //IPSec策略 ipsec policy pppoeserver
1 isakmp //指定ACL security acl
3000 //指定IKE
Peer ike-peer pppoeserver //指定IPSec提议 proposal pppoeserver # //ACL3000允许两个内部网络之间的通信 acl number 3000 rule 0 permit ip
source 192.168.0.0 # //拨号口的配置 interface Dialer0 //链路协议为PPP link-protocol ppp //PAP认证配置 ppp pap
local-user msr password simple msr //IP地址为PPP协商 ip address ppp-negotiate //拨号用户,可以任意配置 dialer user anyone //指定拨号规则即全局配置的Dialer-rule
1 dialer-group 1 //所属的拨号绑定组 dialer bundle 1 //配置IPSec策略 ipsec policy pppoeserver # interface
GigabitEthernet0/0 port link-mode route //指定PPPoe-Client使用绑定组1 pppoe-client
dial-bundle-number 1 combo enable copper # interface
GigabitEthernet0/1 port link-mode route combo enable copper //内部网络接口 ip address
192.168.0.1 255.255.255.0 # //默认路由指向拨号口0 ip
route-static # |
PPPoE Server配置 |
# //配置地址池0 ip pool 0 # //配置IKE
Peer ike peer pppoeclient //共享身份密钥 pre-shared-key sunshine //指定对端地址范围 remote-address # //IPSec提议 ipsec proposal pppoeclient # //IPSec策略 ipsec policy pppoeclient
1 isakmp //指定ACL security acl
3000 //指定IKE
Peer ike-peer pppoeclient //指定IPSec提议 proposal pppoeclient # //PPP认证用户配置 local-user msr //密码msr password simple msr //服务类型PPP service-type ppp # acl number 3000 //私网间通信的Rule rule 0 permit ip
source 172.32.0.0 # //创建虚模板0 interface Virtual-Template0 //ppp认证类型 ppp
authentication-mode pap //指定对端地址池,此处为全局配置的地址池0 remote address pool //虚模板地址 ip address //绑定IPSec策略 ipsec policy pppoeclient # interface
GigabitEthernet0/0 port link-mode route //将PPPoE-Server配置绑定为虚模板0 pppoe-server
bind Virtual-Template 0 combo enable copper # interface
GigabitEthernet0/1 port link-mode route combo enable copper //内网接口地址 ip address
172.32.0.1 255.255.255.0 # //访问对端内网的静态路由 ip route-static
192.168.0.0 255.255.255.0 Virtual-Template0 # |
四、配置关键点:
1) PPPoE Client和PPPoE Server可以参见《MSR系列路由器PPPoE Client功能的配置》,PAP认证可以参见PPP认证典型配置;
2) 当PPPoE Server没有为PPP认证用户指定认证域时,地址池配置在全局视图下;
3) IKE发起方PPPoE Client必须指定接收方PPPoE Server的地址;
4) IKE接收方PPPoE Server可以指定对方所属的地址范围;
5) IPSec的配置除了IKE Peer配置部分可以参考《MSR系列路由器IPSec + IKE功能的配置》;
6) 发起方和接收方IPSec策略分别绑定在Dialer0和Virtual-Template0下;