文库文档
美文大全
工作总结
工作报告
工作计划
汇报体会
策划方案
材料资料
作文大全
论文大全
求职/简历
礼仪规范
文秘工作
公文资料
道德思想
党团/申请书
演讲稿
发言致辞
企事业工作
合同大全
主页 > 文库 > 教育文库 >

一端固定IP,另一端拨号动态获取地址的IPsec通信

2020-03-27 02:31

MSR系列路由器

一端固定IP,另一端拨号动态获取地址的IPsec通信

关键字:MSR,固定IP,IPsec,PPPOE,总部,分支,VPN,拨号 一、组网:

二、客户需求

总部和分支之间建立IPsec VPN已实现内部资源的互访,总部网关出口固定IP,分支网关出口动态获取IP地址。 三、设计方案

1. RTA作为分支,RTB作为总部。

2. RTA端采用拨号接入公网,RTB端公网口固定IP地址。 3. RTA作为IPsec发起端,RTB作为IPsec响应端。

四、配置 RTA配置 # //作为NAT转换的匹配条件 acl number 2000

rule 0 permit # //配置Ipsec兴趣流,源地址为本端(分支)内网,目的地址为对端(总部)内网 acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # //IKE对等体 ike peer peer //配置IKE第一阶段交换模式为野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key 123 //指定对端对等体地址(总部网关WAN口的公网地址) remote-address 1.1.1.2 //启用NAT穿越功能 nat traversal # //采用安全提议的缺省配置 ipsec proposal def # //安全策略 ipsec policy policy 1 isakmp //指定兴趣流为acl 3000 security acl 3000 //调用IKE来建立Ipsec SA

ike-peer peer //调用默认的安全提议 proposal def # //拨号口(分支WAN口) interface Dialer0 //对从内网出来的所有报文做NAT转换 nat outbound 2000 link-protocol ppp //配置ppp验证的用户名 ppp chap user pc@h3c //配置ppp验证的密码 ppp chap password simple pc //本端口IP地址由ppp协商获得(由pppoe server动态分配) ip address ppp-negotiate //拨号用户为pppoe dialer user pppoe //配置拨号捆绑,用于绑定物理接口 dialer bundle 1 //配置不对Ipsec数据流进行NAT转换 ipsec no-nat-process enable //应用安全策略 ipsec policy policy # interface Ethernet0/0 port link-mode route

//使能pppoe-client,并绑定拨号捆绑1,即Dialer 0 pppoe-client dial-bundle-number 1 # //内网接口 interface Ethernet0/1 port link-mode route ip address 192.168.1.1 255.255.255.0 # //配置一条默认路由从网关的WAN口(Dialer 0口)出去 ip route-static 0.0.0.0 0.0.0.0 Dialer0 # RTB配置 # //作为NAT转换的匹配条件 acl number 2000 rule 0 permit # //IKE对等体 ike peer peer //配置IKE第一阶段交换模式为野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key 123 //启用NAT穿越功能 nat traversal #

//采用安全提议的缺省配置 ipsec proposal def # //采用策略模板的方式(只能用于响应端,不用配置兴趣流) ipsec policy-template test 1 //调用IKE来建立Ipsec SA ike-peer peer //调用默认的安全提议 proposal def # //通过模板test来生产安全策略policy ipsec policy policy 1 isakmp template test # //内网接口 interface Ethernet0/0 port link-mode route ip address 172.16.1.1 255.255.255.0 # //总部WAN口,固定IP interface Ethernet0/1 port link-mode route //对从内网出来的报文做NAT转换 nat outbound 2000 ip address 1.1.1.2 255.255.255.0 //不对Ipsec流量进行NAT转换 ipsec no-nat-process enable

//应用安全策略 ipsec policy policy # //配置一条默认路由,下一条指向上行网关 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 # 四、配置关键点

1


  • 共2页:
  • 上一页
  • 1
  • 2
  • 下一页
    • 一端固定IP,另一端拨号动态获取地址的IPsec通信.doc 将本文的Word文档下载到电脑 下载失败或者文档不完整,请联系客服人员解决!
    下载这篇word文档

    下一篇:职业生涯规划讲义

    相关阅读
    本类排行
    × 注册会员免费下载(下载后可以自由复制和排版)

    马上注册会员

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信: QQ: