如何布置你辦公室的網絡 ADSL與IPsec/IKE相結合的組網應用

2015-09-26 10:11 作者：admin 瀏覽量：

　　1. 組網需求

　　本例將IPsec和ADSL相結合，是目前實際中廣泛應用的典型案例。(網絡維護外包) 

　　l Router B通過ADSL卡直接連接公網的DSLAM接入端，作為PPPoE的client端。RouterB從ISP動態獲得的IP地址為私網地址，故Router A、Router B都需要配置NAT穿越。

　　l 總公司局域網通過Router A接入到ATM網絡。

　　l 為了保證信息安全采用IPsec/IKE方式創建安全隧道。

　　2. 組網圖

　　圖2-5 ADSL與IPsec/IKE相結合的組網應用

　　3. 配置步驟

　　(1) 配置Router A

　　# 配置本端安全網關設備名稱。

　　system-view

　　[RouterA] ike local-name routera

　　# 配置ACL。

　　[RouterA] acl number 3101

　　[RouterA-acl-adv-3101] rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

　　[RouterA-acl-adv-3101] quit

　　# 配置IKE安全提議。(電腦桌面維護)

　　[RouterA] ike proposal 1

　　[RouterA-ike-proposal-1] authentication-algorithm sha

　　[RouterA-ike-proposal-1] authentication-method pre-share

　　[RouterA-ike-proposal-1] encryption-algorithm 3des-cbc

　　[RouterA-ike-proposal-1] dh group2

　　# 配置IKE對等體peer。

　　[RouterA] ike peer peer

　　# 配置IKE對等體peer。

　　[RouterA] ike peer peer

　　[RouterA-ike-peer-peer] exchange-mode aggressive

　　[RouterA-ike-peer-peer] pre-shared-key abc

　　[RouterA-ike-peer-peer] id-type name

　　[RouterA-ike-peer-peer] remote-name routerb

　　[RouterA-ike-peer-peer] nat traversal

　　[RouterA-ike-peer-peer] quit

　　# 創建IPsec安全提議prop。

　　[RouterA] ipsec proposal prop

　　[RouterA-ipsec-proposal-prop] encapsulation-mode tunnel

　　[RouterA-ipsec-proposal-prop] transform esp

　　[RouterA-ipsec-proposal-prop] esp encryption-algorithm 3des

　　[RouterA-ipsec-proposal-prop] esp authentication-algorithm sha1

　　[RouterA-ipsec-proposal-prop] quit

　　# 創建安全策略policy并指定通過IKE協商建立SA。

　　[RouterA] ipsec policy policy 10 isakmp

　　# 配置安全策略policy引用IKE對等體peer。

　　[RouterA-ipsec-policy-isakmp-policy-10] ike-peer peer

　　# 配置安全策略policy引用訪問控制列表3101。

　　[RouterA-ipsec-policy-isakmp-policy-10] security acl 3101

　　# 配置安全策略policy引用IPsec安全提議prop。

　　[RouterA-ipsec-policy-isakmp-policy-10] proposal prop

　　[RouterA-ipsec-policy-isakmp-policy-10] quit

　　# 配置IP地址。

　　[RouterA] interface serial 2/0/1

　　[RouterA-Serial2/0/1] ip address 100.1.1.1 255.255.255.0

　　[RouterA-Serial2/0/1] ipsec policy policy

　　[RouterA-Serial2/0/1] quit

　　# 配置以太網口。

　　[RouterA] interface gigabitethernet 1/0/1

　　[RouterA-GigabitEthernet1/0/1] ip address 172.16.0.1 255.255.255.0

　　[RouterA-GigabitEthernet1/0/1] quit

　　# 配置到分公司局域網的靜態路由。

　　[RouterA] ip route-static 192.168.0.0 255.255.255.0 serial 2/0/1

　　(2) 配置Router B

　　# 配置本端安全網關的名稱。

　　system-view

　　[RouterB] ike local-name routerb

　　# 配置ACL。

　　[RouterB] acl number 3101

　　[RouterB-acl-adv-3101] rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

　　[RouterB-acl-adv-3101] quit

　　# 配置IKE安全提議。(it外包)

　　[RouterB] ike proposal 1

　　[RouterB-ike-proposal-1] authentication-algorithm sha

　　[RouterB-ike-proposal-1] authentication-method pre-share

　　[RouterB-ike-proposal-1] encryption-algorithm 3des-cbc

　　[RouterB-ike-proposal-1] dh group2

　　# 配置IKE對等體peer。

　　[RouterB] ike peer peer

　　[RouterB-ike-peer-peer] exchange-mode aggressive

　　[RouterB-ike-peer-peer] pre-shared-key abc

　　[RouterB-ike-peer-peer] id-type name

　　[RouterB-ike-peer-peer] remote-name routera

　　[RouterB-ike-peer-peer] remote-address 100.1.1.1

　　[RouterB-ike-peer-peer] nat traversal

　　[RouterB-ike-peer-peer] quit

　　# 創建IPsec安全提議prop。

　　[RouterB] ipsec proposal prop

　　[RouterB-ipsec-proposal-prop] encapsulation-mode tunnel

　　[RouterB-ipsec-proposal-prop] transform esp

　　[RouterB-ipsec-proposal-prop] esp encryption-algorithm 3des

　　[RouterB-ipsec-proposal-prop] esp authentication-algorithm sha1

　　[RouterB-ipsec-proposal-prop] quit

　　# 創建安全策略policy并指定通過IKE協商建立SA。

　　[RouterB] ipsec policy policy 10 isakmp

　　# 配置安全策略policy引用IKE對等體peer。

　　[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

　　# 配置安全策略policy引用訪問控制列表3101。

　　[RouterB-ipsec-policy-isakmp-policy-10] security acl 3101

　　# 配置安全策略policy引用IPsec安全提議prop。

　　[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

　　[RouterB-ipsec-policy-isakmp-policy-10] quit

　　# 配置撥號訪問控制列表。

　　[RouterB] dialer-rule 1 ip permit

　　# 創建Dialer0，使用由ISP分配的用戶名和密碼進行撥號和PPP認證的相關配置，并配置MTU。

　　[RouterB] interface dialer 0

　　[RouterB-Dialer0] link-protocol ppp

　　[RouterB-Dialer0] ppp pap local-user test password simple 123456

　　[RouterB-Dialer0] ip address ppp-negotiate

　　[RouterB-Dialer0] dialer user 1

　　[RouterB-Dialer0] dialer-group 1

　　[RouterB-Dialer0] dialer bundle 1

　　[RouterB-Dialer0] ipsec policy policy

　　[RouterB-Dialer0] mtu 1492

　　[RouterB-Dialer0] quit

　　# 配置到總公司局域網的靜態路由。

　　[RouterB] ip route-static 172.16.0.0 255.255.255.0 dialer 0

　　# 配置以太網口。

　　[RouterB] interface gigabitethernet 1/0/1

　　[RouterB-GigabitEthernet1/0/1] tcp mss 1450

　　[RouterB-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0

　　[RouterB-GigabitEthernet1/0/1] quit

　　# 對ADSL卡的ATM口進行配置。

　　[RouterB] interface atm 1/0/1

　　[RouterB-Atm1/01/] pvc 0/100

　　[RouterB-atm-pvc-Atm1/0/1-0/100] map bridge virtual-ethernet 0

　　[RouterB-atm-pvc-Atm1/0/1-0/100] quit

　　# 配置VE口。

　　[RouterB] interface virtual-ethernet 0

　　[RouterB-Virtual-Ethernet0] pppoe-client dial-bundle-number 1

　　[RouterB-Virtual-Ethernet0] mac-address 0011-0022-0012

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.dyfgwiyq.cn