[NextPage] 中心若是VPN3020,则其配置为: configure terminal hostname MPSec mode route interface trusted ip 192.168.0.1 255.255.255.0 interface untrusted ip 1.1.1.1 255.255.0.0 ip route 0.0.0.0 0.0.0.0 1.1.1.254 ip route 10.0.0.0 255.255.255.0 192.168.0.254 sshd web port 443 web idle enable web idle 999 web domain-name maipu.com end ! firewall config configure firewall enable log firewall policy urlfilter permit policy dnat permit policy snat permit policy ldnat permit policy access-list input permit policy access-list forward permit policy access-list output permit enable state input enable state forward enable state output enable log defend end ! vpn config configure vpn service ipsec crypto isakmp identity address crypto isakmp key maipu any ip access-list extended 1001 permit ip 192.168.0.0 255.255.255.0 any permit ip 10.0.0.0 255.255.255.0 any exit crypto map map1 ipsec-isakmp match address 1001 set peer any set authentication pre-share exit crypto map map1 on untrusted end [NextPage] 3.4.2.2.分支机构设备配置(MP801) 分支机构的配置: MP801a的配置 ip access-list extended 1001 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 exit ip access-list extended 1002 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any exit MP801b的配置 ip access-list extended 1001 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255 exit ip access-list extended 1002 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 any exit crypto isakmp key maipu address 1.1.1.1 crypto ipsec transform-set tr1 esp-des esp-md5-hmac mode tunnel exit crypto map map1 1 ipsec-isakmp match address 1001 set peer 1.1.1.1 set transform-set tr1 dialer-list 1 protocol ip permit crypto isakmp key maipu address 1.1.1.1 crypto ipsec transform-set tr1 esp-des esp-md5-hmac mode tunnel exit crypto map map1 1 ipsec-isakmp match address 1001 set peer 1.1.1.1 set transform-set tr1 set security-association lifetime seconds 28800 set security-association lifetime kilobytes 4608000 exit interface dialer0 ip address negotiated dialer in-band dialer pool 1 dialer-group 1 encapsulation ppp ppp pap sent-username 01234mp@169 password 01234mp ip nat outside crypto map map1 exit interface fastethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside exit interface ethernet0/0 pppoe-client dial-pool-number 1 exit set security-association lifetime seconds 28800 set security-association lifetime kilobytes 4608000 exit interface fastethernet0 ip address 192.168.2.1 255.255.255.0 ip nat inside exit interface ethernet0/0 ip address 2.2.2.1 255.255.255.0 crypto map map1 exit ip nat inside source list 1002 interface Ethernet0/0 overload ip route 0.0.0.0 0.0.0.0 2.2.2.254 ip nat inside source list 1002 interface dialer0 overload ip route 0.0.0.0 0.0.0.0 dialer0 注:细心的读者可能注意到NAT引用的访问列表有些特别,它的条目现有两条deny的条目,并且该条目刚好是IPSec所应用的访问列表。 ip access-list extended 1001 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 exit ip access-list extended 1002 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any exit [NextPage]
为什么呢?这要从路由器处理报文的流程来说起。下图是路由器的关于NAT和IPSec简单处理流程:
从图中,可以很容易看出来,报文是先经过NAT模块,然后经过IPSec模块的,我们可以看看,在NAT的访问列表1002里面不先配置那两条deny语句,当走IPSec的数据流,例如源地址为192.168.1.1,目的地址是192.168.0.1的IP报文到达的时候,经过NAT模块处理,匹配它的访问列表1002中的 permit ip 192.168.1.0 0.0.0.255 any,它就会将其做NAT转换,做了NAT转换以后,已经更改了数据流的源地址了,就不再匹配IPSec的访问列表,直接透传过去,而发送出去。由于其目的地址是192.168.0.1,是内部规划的一个地址,在Internet上面最终会丢弃,而导致不通。
3.5.路由器??VPN3020??路由器 3.5.1.网络描述
组建运营商级别的VPN线路接入。各个分支机构之间要求都能够互联互通。
采用的处理方式是走隧道转发。若是一般的隧道,那么需要配置a到b、c、d的隧道,b需要配置c、d,c需要配置到d的隧道。随着网络规模的扩大,其VPN网络配置、维护管理将成为极大的问题。更重要的是,运营商无法管理这些网络。
不过,配置成隧道转发以后,VPN3020就可以充当类似于VPN 交换机的功能。每个分支机构都和VPN3020建立隧道,只要下端接入到了VPN网络,就能够访问其他接入的分支机构。
[NextPage]
3.5.1.配置脚本
这种模式配置的关键在于数据流的处理。对于MP801a来说,他需要访问的地址是192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,因此,可以将其合并在一个网络中,如192.168.0.0/22或者192.168.0.0/16(当所挂接的分支机构很多的时候)。因此,MP801a的所要保护的数据流是:
ip access-list extended 1001
permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.255.255 exit
对应的VPN3020的数据流配置为: