(4) 设置IPSec安全提议 VPN→VNP设置→IPSec安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。 图12 配置IPSec安全提议
(5) 设置IPSec安全策略 VPN→VNP设置→IPSec安全策略
Spoke的安全策略配置如下,不同的Spoke只需要修改本地子网地址。 图13 设置安全策略
(6) 设置路由
高级设置→路由设置→静态路由
在Spoke上为VPN对端子网配置指向IPSec虚接口静态路由。 图14 设置路由
2. 设置Hub
在Hub路由器上的配置和在Spoke上的配置基本类似(虚接口、IKE和IPSec安全提议的设置均一样,差别在于对等体和安全策略的配置),设置如下。 (1) 设置对等体 图15 设置对等体
(2) 设置安全策略
在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。本地子网和对端子网都使用宽范围的any地址(0.0.0.0/0),其他的配置与Spoke对应。 Hub上的配置如同一个模板,只用一条安全策略就能够匹配多个Spoke的VPN隧道配置,协商建立针对不同子网的安全联盟SA。 图16 设置安全策略
(3) 设置路由
为不同的Spoke子网指定IPSec虚接口静态路由,这样Spoke可以与Hub建立VPN通信,不同Spoke的子网之间也可以通过VPN由Hub进行转发实现互相通信。当网络拓扑和地址规划有变动时,只用修改路由就很方便完成了配置调整。如果子网的IP规划有序,此处可以直接使用192.168.0.0/255.255.0.0的一条路由即可满足配置。 图17 设置路由
4 WINXP的IPSec VPN典型配置案例
如果您出差在外而又希望安全连接到企业局域网,那么您可以通过IPSec VPN Client和SMB Router对接建立VPN隧道来实现安全通信。微软已经将IPSec VPN Client集成进WINXP和WIN2000操作系统中,您需要对它进行相关配置即可。
4.1.1 组网需求
在SMB Router和WINXP之间建立一个安全隧道,对客户分支机构所在的子网(192.168.0.0/24)与个人电脑WINXP之间的数据流进行安全保护。
IPSEC 安全提议采用ESP协议,ESP验证算法采用MD5,ESP加密算法采用3DES。
4.1.2 组网图
图18 组网示意图
Router的WAN IP:172.16.0.4/255.255.255.0,LAN IP是192.168.0.1/255.255.255.0。
WINXP的IP:172.16.0.100/255.255.255.0,默认网关指向172.16.0.1。
4.1.3 配置步骤
1. 设置Router (1) 设置虚接口 VPN→VNP设置→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。 图19 配置虚接口