其他分享
首页 > 其他分享> > 华为路由器ipsec实验(模板模式)

华为路由器ipsec实验(模板模式)

作者:互联网

在实际生产中,由于某些分公司没有固定的公网IP地址,如果想与总部建立ipsec隧道,华为产品提供了模板模式方案。本案例采用模板模式配置方式搭建ipsec vpn,vpn设备使用华为路由器,网络拓扑如下;
在这里插入图片描述
CD路由器属于分公司,BJ路由器属于总公司。分公司没有固定的公网IP,要实现两台出口路由器上配置ipsec vpn,实现PC1和PC2互访。步骤如下:
步骤一、配置接口IP地址并实现路由互通,具体配置如下:
CD路由器配置:

interface GigabitEthernet0/0/0
 ip address 138.0.0.1 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0 
ip route-static 0.0.0.0 0.0.0.0 138.0.0.2	#配置默认出口路由

ISP路由器配置:

interface GigabitEthernet0/0/0
 ip address 138.0.0.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 139.0.0.1 255.255.255.0 
ospf 1 	#这里为了简化配置使用了ospf路由协议
 area 0.0.0.0 
  network 138.0.0.0 0.0.0.255 
  network 139.0.0.0 0.0.0.255

BJ路由器配置

interface GigabitEthernet0/0/0
 ip address 139.0.0.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 192.168.2.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 139.0.0.1	#配置默认出口路由

步骤二、ipsec vpn配置,认证模式、协议封装皆采用默认配置,具体配置如下:
CD路由器配置:

acl number 3000  #新建ACL匹配进行ipsec隧道的兴趣流
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
ipsec proposal CD	#新建ipsec安全提议,认证模式、加密方式和协议封装皆采用默认配置
ike proposal 1	#新建ike安全提议,认证模式、加密方式皆采用默认配置
ike peer CD v2	#新建ike对等体,这里采用ike v2模式
 pre-shared-key simple admin123		#设置预共享秘钥
 ike-proposal 1	#绑定ike安全提议
 remote-address 139.0.0.2	#隧道对端地址
ipsec policy CD 1 isakmp	#新建ipsec策略
 security acl 3000	#绑定兴趣流
 ike-peer CD	#绑定ike对等体
 proposal CD	#绑定ipsec安全提议
interface GigabitEthernet0/0/0	#在街口应用此ipsec策略
 ip address 138.0.0.1 255.255.255.0 
 ipsec policy CD

BJ路由器配置:

ipsec proposal BJ	#新建ipsec安全提议,认证模式、加密方式和协议封装皆采用默认配置
ike proposal 1		#新建ike安全提议,认证模式、加密方式皆采用默认配置
ike peer BJ v2		#新建ike对等体,这里采用ike v2模式,只需要设置共享秘钥和安全提议即可,不需要指定对端地址
 pre-shared-key simple admin123	#设置预共享秘钥	
 ike-proposal 1		#绑定ike安全提议
ipsec policy-template BJ1 1	#新建ipsec策略模板,这里不需要指定兴趣流
 ike-peer BJ	#绑定ike对等体
 proposal BJ	#绑定ipsec安全提议
ipsec policy BJ 1 isakmp template BJ1	#新建ipsec策略绑定ipsec策略模板
interface GigabitEthernet0/0/0	#在街口应用此ipsec策略
 ip address 139.0.0.2 255.255.255.0 
 ipsec policy BJ

此时PC1与PC2可以正常访问并且报文会经过ipsec安全协议封装,在PC1pingPC2,抓包分析如下:
在这里插入图片描述
不过在使用ipsec模板模式的情况下,vpn设备不能主动发起连接,只能被动接受对端发起的连接,需要在ipsec sa建立后两边才能主动访问对端。

标签:ip,配置,ike,0.0,ipsec,模板,路由器
来源: https://blog.csdn.net/frzzzz0000/article/details/113869516