(2) 设置IKE安全提议 VPN→VNP设置→IKE安全提议
输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。
图20 配置IKE安全提议
(3) 设置IKE对等体 VPN→VNP设置→IKE对等体
输入对等体名称“vpn1”,选择对应的虚接口ipsec0。在“对端地址”文本框中输入WINXP的IP地址,并选择已创建的安全提议vpn1,输入预共享密钥:“123456”,单击<增加>按钮。
当两端设备之间存在NAT设备时,相关配置请参见FAQ中“5.2 若VPN组网中存在NAT设备,双方如何配置”的说明。
图21 设置IKE对等体
(4) 设置IPSec安全提议 VPN→VNP设置→IPSec安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。 图22 配置IPSec安全提议
(5) 设置IPSec安全策略 VPN→VNP设置→IPSec安全策略
启用IPSec功能,输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入公司内网和WINXP所处的网络信息,并选择协商类型为“IKE协商”、对等体为“vpn1”、安全提议为“vpn1”,PFS确保选择默认项“禁止”。单击<增加>按钮。 图23 配置IPSec安全策略
(6) 设置路由
需要为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通。一般情况下,只需要为隧道报文配置静态路由即可。
配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。 高级设置→路由设置→静态路由 图24 配置静态路由
2. WINXP 网络和路由配置 (1) 为WINXP配置静态IP地址 WINXP静态IP地址配置如下图所示。 图25 WINXP 的IP地址配置
(2) 增加静态路由
在开始菜单的运行窗口,输入cmd,进入DOS窗口,执行route print。显示增加路由前的路由配置,如下图所示。 图26 增加路由前的路由配置
然后,执行route -p add 192.168.0.0 mask 255.255.255.0 172.16.0.4(如果希望临时添加路由,可以使用route add 192.168.0.0 mask 255.255.255.0 172.16.0.4命令)。
执行route –p add 192.168.0.0 mask 255.255.255.0 172.16.0.4之后,通过route print显示结果如下。可看到一条通往公司内网192.168.0.0/24网段的路由表项,网关地址指向Router的WAN口地址172.16.0.4。 图27 路由添加后