可以不配置数据流。其要保护的数据流完全根据下端的数据流,因此,一般不会存在问题。
3.1.3.3.3.IKE和IPSec的技术参数配置是否一致
这个排错起来应该很简单,通过查看配置,比较两端的加密算法、验证算法等是否一致就可以。一般情况下,请参考配置脚本。主要体现在变换集合上面的。我们再看看演示环境中的MP1761和MP2691的变换集合的配置。他们两端的配置是一致的。
crypto ipsec transform-set tr1 esp-des esp-md5-hmac mode tunnel exit
3.2.VRC??VPN3020
VRC的配置:
1) VRC启动后,进入主界面,点击左边的主机(子网)列表,然后点击新建。 2) 在右边的对端标识配置中,选择安全网关,输入对端的IP:1.1.1.1(就是VPN3020的
Untrusted接口地址),认证方式选择预共享,并设置密钥为maipu,本地标识配置IP地址,完美向前保护组选择无。如图7。
3) 在左边选定GateWay_0(就是刚才新建的安全网关),然后点击新建。
4) 在右边的对端标识配置中,选择子网,对端IP配置成192.168.0.0,子网掩码配置成
255.255.255.0(其实就是内部网络192.168.0.0/24),如图8。
图8 [NextPage] VPN3020的配置: 配置脚本 configure terminal hostname MPSec mode route interface trusted ip 192.168.0.1 255.255.255.0 interface untrusted ip 1.1.1.1 255.255.0.0 简单注释 接口IP和路由配置 ip route 0.0.0.0 0.0.0.0 1.1.1.254 sshd web port 443 web idle enable web idle 999 web domain-name maipu.com end ! firewall config configure firewall enable log firewall policy urlfilter permit policy dnat permit policy snat permit policy ldnat permit policy access-list input permit policy access-list forward permit policy access-list output permit enable state input enable state forward enable state output enable log defend end ! vpn config configure vpn service ipsec crypto isakmp identity address crypto isakmp key maipu any ip access-list extended 1001 permit ip 192.168.0.0 255.255.255.0 any exit crypto map map1 ipsec-isakmp match address 1001 set peer any set authentication pre-share exit crypto map map1 on untrusted end 注意将过滤规则打开 配置预共享密钥,由于不知道对端IP,因此类型是any 配置访问列表。 定义加密映射 引用刚才配置的访问列表 对端为any(动态加密映射) 设置认证方式为预共享密钥 将加密映射应用到接口上去 此外,也可以使用Web配置来配置VPN3020的隧道。VPN隧道的配置通过Web更简单。 在技术支持VPN(IPSec)配置的过程中,有些过程是比较痛苦的。遂写成这篇纯粹的“配置”文档,希望能够减轻彼此的痛苦,对大家以后在测试、上点,技术排错,定位问题有所帮助。本文档不包括所有的配置命令细节,所有的配置命令细节请参考相关的配置手册。 十分感谢 迈普 李强先生 提供相关资料. 今天提供第三章节 实际配置案例2 3.4.路由器?? MP2692/VPN3020(实战演练) 在案例讲述中,我们将详细讲述调试技巧。Show状态信息,定位问题等。
3.4.1.网络描述 该网络是典型的VPN应用环境——中心总部和分支机构互联互通。目前成功应用的地方有我们公司总部和全国各个办事处(下端是采用VPN3005,上端是VPN3020),重庆网通(上端是路由器MP1762,下端是MP801)。鉴于目前公司的产品策略,建议下端采用MP801(VPN3005已经中止研发),上端可以采用VPN3020或者MP2692等中端安全路由器。目前版本,他们的互联互通,NAT穿越都没有问题。 网络实现的目标:分支机构a和分支机构b要能够访问中心总部两个局域网192.168.0.0/22和10.0.0.0/24,同时分支机构也要能够访问Internet。 [NextPage] 3.4.2.配置脚本 3.4.2.1.总部设备配置(MP2692或者VPN3020) 若中心是MP2692,则其配置为: crypto isakmp key maipu any crypto ipsec transform-set tr1 esp-des esp-md5-hmac mode tunnel exit crypto dynamic-map dmap1 1 set transform-set tr1 set security-association lifetime seconds 3600 set security-association lifetime kilobytes 4608000 exit crypto map map1 1 ipsec-isakmp dynamic dmap1 interface loopback0 exit interface fastethernet0 ip address 192.168.0.1 255.255.255.0 exit interface fastethernet0/0 ip address 1.1.1.1 255.255.255.0 crypto map map1 exit ip route 10.0.0.0 255.255.255.0 192.168.0.254 ip route 0.0.0.0 0.0.0.0 1.1.1.254