MSR系列路由器
GRE Over IPSec + OSPF穿越NAT多分支互通
关键词:MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NAT;穿越;OSPF;GRE
一、组网需求:
总部对多个分支提供IPSec VPN接入,分支出口存在NAT设备,因此总部与分支之间配置成野蛮模式和NAT穿越,总部路由器不配置ACL,而使用安全模板,总部和分支之间通过内网Loopback建立GRE隧道,分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通,建立好GRE隧道后,在隧道上运行OSPF,使各内部路由互通,分支之间的流量通过总部转发,需要注意的是Loopback口不能添加到OSPF中
设备清单:MSR系列路由器5台
二、组网图:
三、配置步骤:
Center的配置 |
# //本地IKE名字 ike
local-name center # //配置到分支1的IKE Peer ike peer branch1 //配置成野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key h //使用名字作为身份标识 id-type name //配置对端名字 remote-name branch1 //配置NAT穿越 nat traversal # //配置到分支1的IKE
Peer ike peer branch2 //配置成野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key h //使用名字作为身份标识 id-type name //配置对端名字 remote-name branch2 //配置NAT穿越 nat traversal # //配置默认安全提议 ipsec proposal default # //配置分支1的安全模板,序号1 ipsec policy-template branch1 1 //指定IKE Peer ike-peer
branch1 //指定安全提议 proposal default # //配置分支2的安全模板,序号1 ipsec policy-template branch2 1 //指定IKE Peer ike-peer
branch2 //指定安全提议 proposal default # //根据安全模板branch1创建安全策略branch序号1 ipsec policy branch 1 isakmp
template branch1 # //根据安全模板branch2创建安全策略branch序号2 ipsec policy branch 2 isakmp
template branch2 # //总部外网接口G0/0 interface GigabitEthernet0/0 port link-mode route combo enable copper //外网接口地址 ip address //绑定安全策略 ipsec policy
branch # interface
GigabitEthernet0/1 port link-mode route //总部内网接口地址 ip address
172.0.0.1 255.255.255.0 # // ip
route-static // ip
route-static //192.168.1.0/24网段为分支1内网网段, ip
route-static 192.168.1.0 255.255.255.0 //192.168.2.0/24网段为分支2内网网段, ip
route-static 192.168.2.0 255.255.255.0 # |
Branch1配置 |
# //分支1本地的IKE名字 ike
local-name branch1 # //配置到总部的IKE
Peer ike peer center //使用野蛮模式 exchange-mode aggressive //配置预共享密钥,与总部配置一致 pre-shared-key h //使用名字作为身份标识 id-type name //配置对端名字 remote-name center //指定对端IP地址,因为总部路由器出接口地址不变 remote-address //配置NAT穿越 nat traversal # //默认的安全提议 ipsec proposal default # //到总部的安全策略,序号1 ipsec policy center 1 isakmp //指定ACL security acl
3000 //指定IKE Peer ike-peer
center //指定安全提议 proposal default # //配置流量的ACL acl number 3000 //此规则匹配从分支1内网到总部内网的流量 rule 0 permit ip source 192.168.1.0 # //分支1的外网出接口 interface
GigabitEthernet0/0 port link-mode route //出接口地址 ip address //绑定安全策略 ipsec policy
center # interface
GigabitEthernet0/1 port link-mode route //分支1内网接口地址 ip address
192.168.1.1 255.255.255.0 # //配置默认路由,下一跳指向NAT设备 ip
route-static # |
Branch2配置 |
# //分支2本地的IKE名字 ike
local-name branch2 # //配置到总部的IKE
Peer ike peer center //使用野蛮模式 exchange-mode aggressive //配置预共享密钥,与总部配置一致 pre-shared-key h //使用名字作为身份标识 id-type name //配置对端名字 remote-name center //指定对端IP地址,因为总部路由器出接口地址不变 remote-address //配置NAT穿越 nat traversal # //默认的安全提议 ipsec proposal default # //到总部的安全策略,序号1 ipsec policy center 1 isakmp //指定ACL security acl
3000 //指定IKE Peer ike-peer
center //指定安全提议 proposal default # //配置流量的ACL acl number 3000 //此规则匹配从分支2内网到总部内网的流量 rule 0 permit ip source 192.168.2.0 # //分支2的外网出接口 interface
GigabitEthernet0/0 port link-mode route //出接口地址 ip address //绑定安全策略 ipsec policy
center # interface
GigabitEthernet0/1 port link-mode route //分支2内网接口地址 ip address
192.168.2.1 255.255.255.0 # //配置默认路由,下一跳指向NAT设备 ip
route-static # |
分支1 nat设备配置 |
# //配置NAT地址池 nat
address-group 0 # //配置需要被NAT处理的地址 acl number 2000 rule 0 permit source # //NAT设备外网接口 interface GigabitEthernet0/0 port link-mode route //配置动态NAT nat
outbound 2000 address-group 0 //接口地址 ip
address # interface
GigabitEthernet0/1 port link-mode route //连接分支1路由器的接口地址 ip
address # |
分支2 nat设备配置 |
# //配置NAT地址池 nat
address-group 0 # //配置需要被NAT处理的地址 acl number 2000 rule 0 permit source # //NAT设备外网接口 interface GigabitEthernet0/0 port link-mode route //配置动态NAT nat
outbound 2000 address-group 0 //接口地址 ip
address # interface
GigabitEthernet0/1 port link-mode route //连接分支2路由器的接口地址 ip
address # |
四、配置关键点:
1) IKE要配置成野蛮模式,可以参考IPSec穿越NAT设备的典型配置案例;
2) 总部可以不用配置ACL,配置安全模板动态生成ACL;
3) 分支需要必须配置路由,保证可以访问总部的外网接口;
4) 分支需要配置ACL,使特定流量匹配安全策略;