好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器

GRE Over IPSec + OSPF穿越NAT多分支互通

 

关键词:MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NAT;穿越;OSPF;GRE

 

一、组网需求

总部对多个分支提供IPSec VPN接入,分支出口存在NAT设备,因此总部与分支之间配置成野蛮模式和NAT穿越,总部路由器配置ACL,而使用安全模板,总部和分支之间通过内网Loopback建立GRE隧道,分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通,建立好GRE隧道后,在隧道上运行OSPF,使各内部路由互通,分支之间的流量通过总部转发,需要注意的是Loopback口不能添加到OSPF

设备清单:MSR系列路由器5

二、组网图:

三、配置步骤:

Center的配置

#

 //本地IKE名字

 ike local-name center

#

//配置到分支1IKE Peer

ike peer branch1

 //配置成野蛮模式

 exchange-mode aggressive

 //配置预共享密钥

 pre-shared-key h3c-msr-branch1

 //使用名字作为身份标识

 id-type name

 //配置对端名字

 remote-name branch1

 //配置NAT穿越

 nat traversal

#

//配置到分支1IKE Peer

ike peer branch2

 //配置成野蛮模式

 exchange-mode aggressive

 //配置预共享密钥

 pre-shared-key h3c-msr-branch2

 //使用名字作为身份标识

 id-type name

 //配置对端名字

 remote-name branch2

 //配置NAT穿越

 nat traversal

#

//配置默认安全提议

ipsec proposal default

#

//配置分支1的安全模板,序号1

ipsec policy-template branch1 1

 //指定IKE Peer

 ike-peer branch1

 //指定安全提议

 proposal default

#

//配置分支2的安全模板,序号1

ipsec policy-template branch2 1

 //指定IKE Peer

 ike-peer branch2

 //指定安全提议

 proposal default

#

//根据安全模板branch1创建安全策略branch序号1

ipsec policy branch 1 isakmp template branch1

#

//根据安全模板branch2创建安全策略branch序号2

ipsec policy branch 2 isakmp template branch2

#

//总部外网接口G0/0

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 //外网接口地址

 ip address 1.0.0.60 255.255.255.0

 //绑定安全策略

 ipsec policy branch

#

interface GigabitEthernet0/1

 port link-mode route

 //总部内网接口地址

 ip address 172.0.0.1 255.255.255.0

#

 //11.0.0.0/8网段为分支1转换后的出口地址网段,1.0.0.1为分支1NAT设备

 ip route-static 11.0.0.0 255.0.0.0 1.0.0.1

 //12.0.0.0/8网段为分支2转换后的出口地址网段,1.0.0.2为分支2NAT设备

 ip route-static 12.0.0.0 255.0.0.0 1.0.0.2

 //192.168.1.0/24网段为分支1内网段,1.0.0.1为分支1NAT设备

 ip route-static 192.168.1.0 255.255.255.0 1.0.0.1

 //192.168.2.0/24网段为分支2内网段,1.0.0.2为分支2NAT设备

 ip route-static 192.168.2.0 255.255.255.0 1.0.0.2

#

Branch1配置

#

 //分支1本地的IKE名字

 ike local-name branch1

#

//配置到总部的IKE Peer

ike peer center

 //使用野蛮模式

 exchange-mode aggressive

 //配置预共享密钥,与总部配置一致

 pre-shared-key h3c-msr-branch1

 //使用名字作为身份标识

 id-type name

 //配置对端名字

 remote-name center

 //指定对端IP地址,因为总部路由器出接口地址不变

 remote-address 1.0.0.60

 //配置NAT穿越

 nat traversal

#

//默认的安全提议

ipsec proposal default

#

//到总部的安全策略,序号1

ipsec policy center 1 isakmp

 //指定ACL

 security acl 3000

 //指定IKE Peer

 ike-peer center

 //指定安全提议

 proposal default

#

//配置流量的ACL

acl number 3000

 //此规则匹配从分支1内网到总部内网的流量

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.0.0.0 0.255.255.255

#

//分支1的外网出接口

interface GigabitEthernet0/0

 port link-mode route

 //出接口地址

 ip address 10.0.1.2 255.255.255.0

 //绑定安全策略

 ipsec policy center

#

interface GigabitEthernet0/1

 port link-mode route

 //分支1内网接口地址

 ip address 192.168.1.1 255.255.255.0

#

 //配置默认路由,下一跳指向NAT设备

 ip route-static 0.0.0.0 0.0.0.0 10.0.1.1

#

Branch2配置

#

 //分支2本地的IKE名字

 ike local-name branch2

#

//配置到总部的IKE Peer

ike peer center

 //使用野蛮模式

 exchange-mode aggressive

 //配置预共享密钥,与总部配置一致

 pre-shared-key h3c-msr-branch2

 //使用名字作为身份标识

 id-type name

 //配置对端名字

 remote-name center

 //指定对端IP地址,因为总部路由器出接口地址不变

 remote-address 1.0.0.60

 //配置NAT穿越

 nat traversal

#

//默认的安全提议

ipsec proposal default

#

//到总部的安全策略,序号1

ipsec policy center 1 isakmp

 //指定ACL

 security acl 3000

 //指定IKE Peer

 ike-peer center

 //指定安全提议

 proposal default

#

//配置流量的ACL

acl number 3000

 //此规则匹配从分支2内网到总部内网的流量

 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 172.0.0.0 0.255.255.255

#

//分支2的外网出接口

interface GigabitEthernet0/0

 port link-mode route

 //出接口地址

 ip address 10.0.2.2 255.255.255.0

 //绑定安全策略

 ipsec policy center

#

interface GigabitEthernet0/1

 port link-mode route

 //分支2内网接口地址

 ip address 192.168.2.1 255.255.255.0

#

 //配置默认路由,下一跳指向NAT设备

 ip route-static 0.0.0.0 0.0.0.0 10.0.2.1

#

分支1 nat设备配置

#

 //配置NAT地址池

 nat address-group 0 11.0.0.1 11.0.0.10

#

//配置需要被NAT处理的地址

acl number 2000

 rule 0 permit source 10.0.1.0 0.0.0.255

#

//NAT设备外网接口

interface GigabitEthernet0/0

 port link-mode route

 //配置动态NAT

 nat outbound 2000 address-group 0

 //接口地址

 ip address 1.0.0.1 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 //连接分支1路由器的接口地址

 ip address 10.0.1.1 255.255.255.0

#

分支2 nat设备配置

#

 //配置NAT地址池

 nat address-group 0 12.0.0.1 12.0.0.10

#

//配置需要被NAT处理的地址

acl number 2000

 rule 0 permit source 10.0.2.0 0.0.0.255

#

//NAT设备外网接口

interface GigabitEthernet0/0

 port link-mode route

 //配置动态NAT

 nat outbound 2000 address-group 0

 //接口地址

 ip address 1.0.0.2 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 //连接分支2路由器的接口地址

 ip address 10.0.2.1 255.255.255.0

#

 

四、配置关键点

1) IKE要配置成野蛮模式,可以参考IPSec穿越NAT设备的典型配置案例;

2) 总部可以不用配置ACL,配置安全模板动态生成ACL

3) 分支需要必须配置路由,保证可以访问总部的外网接口;

4) 分支需要配置ACL,使特定流量匹配安全策略;

5) 总部配置的访问分支内网的路由用于触发进入外网出口,无具体意义。*

X Close
X Close