MSR路由器
IPSec VPN多分支安全模板NAT穿越功能的配置
关键词:MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支;NAT;穿越;NAT穿越
一、组网需求:
总部对多个分支提供IPSec VPN接入,分支出口存在NAT设备,因此总部与分支之间配置成野蛮模式和NAT穿越,总部路由器不配置ACL,而使用安全模板。此配置不适合分支之间的互通
设备清单:MSR路由器5台
二、组网图:
三、配置步骤:
设备和版本:MSR、Version 5.20, Beta 1202。
Center的配置
#
//本地IKE名字
ike local-name center
#
//配置到分支1的IKE Peer
ike peer branch1
//配置成野蛮模式
exchange-mode aggressive
//配置预共享密钥
pre-shared-key h3c-msr-branch1
//使用名字作为身份标识
id-type name
//配置对端名字
remote-name branch1
//配置NAT穿越
nat traversal
#
//配置到分支1的IKE Peer
ike peer branch2
//配置成野蛮模式
exchange-mode aggressive
//配置预共享密钥
pre-shared-key h3c-msr-branch2
//使用名字作为身份标识
id-type name
//配置对端名字
remote-name branch2
//配置NAT穿越
nat traversal
#
//配置默认安全提议
ipsec proposal default
#
//配置分支1的安全模板,序号1
ipsec policy-template branch1 1
//指定IKE Peer
ike-peer branch1
//指定安全提议
proposal default
#
//配置分支2的安全模板,序号1
ipsec policy-template branch2 1
//指定IKE Peer
ike-peer branch2
//指定安全提议
proposal default
#
//根据安全模板branch1创建安全策略branch序号1
ipsec policy branch 1 isakmp template branch1
#
//根据安全模板branch2创建安全策略branch序号2
ipsec policy branch 2 isakmp template branch2
#
//总部外网接口G0/0
interface GigabitEthernet0/0
port link-mode route
combo enable copper
//外网接口地址
ip address 1.0.0.60 255.255.255.0
//绑定安全策略
ipsec policy branch
#
interface GigabitEthernet0/1
port link-mode route
//总部内网接口地址
ip address 172.0.0.1 255.255.255.0
#
//11.0.0.0/8网段为分支1转换后的出口地址网段,1.0.0.1为分支1的NAT设备
ip route-static 11.0.0.0 255.0.0.0 1.0.0.1
//12.0.0.0/8网段为分支2转换后的出口地址网段,1.0.0.2为分支2的NAT设备
ip route-static 12.0.0.0 255.0.0.0 1.0.0.2
//192.168.1.0/24网段为分支1内网网段,1.0.0.1为分支1的NAT设备
ip route-static 192.168.1.0 255.255.255.0 1.0.0.1
//192.168.2.0/24网段为分支2内网网段,1.0.0.2为分支2的NAT设备
ip route-static 192.168.2.0 255.255.255.0 1.0.0.2
#
Branch1配置
#
//分支1本地的IKE名字
ike local-name branch1
#
//配置到总部的IKE Peer
ike peer center
//使用野蛮模式
exchange-mode aggressive
//配置预共享密钥,与总部配置一致
pre-shared-key h3c-msr-branch1
//使用名字作为身份标识
id-type name
//配置对端名字
remote-name center
//指定对端IP地址,因为总部路由器出接口地址不变
remote-address 1.0.0.60
//配置NAT穿越
nat traversal
#
//默认的安全提议
ipsec proposal default
#
//到总部的安全策略,序号1
ipsec policy center 1 isakmp
//指定ACL
security acl 3000
//指定IKE Peer
ike-peer center
//指定安全提议
proposal default
#
//配置流量的ACL
acl number 3000
//此规则匹配从分支1内网到总部内网的流量
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.0.0.0 0.255.255.255
#
//分支1的外网出接口
interface GigabitEthernet0/0
port link-mode route
//出接口地址
ip address 10.0.1.2 255.255.255.0
//绑定安全策略
ipsec policy center
#
interface GigabitEthernet0/1
port link-mode route
//分支1内网接口地址
ip address 192.168.1.1 255.255.255.0
#
//配置默认路由,下一跳指向NAT设备
ip route-static 0.0.0.0 0.0.0.0 10.0.1.1
#
Branch2配置
#
//分支2本地的IKE名字
ike local-name branch2
#
//配置到总部的IKE Peer
ike peer center
//使用野蛮模式
exchange-mode aggressive
//配置预共享密钥,与总部配置一致
pre-shared-key h3c-msr-branch2
//使用名字作为身份标识
id-type name
//配置对端名字
remote-name center
//指定对端IP地址,因为总部路由器出接口地址不变
remote-address 1.0.0.60
//配置NAT穿越
nat traversal
#
//默认的安全提议
ipsec proposal default
#
//到总部的安全策略,序号1
ipsec policy center 1 isakmp
//指定ACL
security acl 3000
//指定IKE Peer
ike-peer center
//指定安全提议
proposal default
#
//配置流量的ACL
acl number 3000
//此规则匹配从分支2内网到总部内网的流量
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 172.0.0.0 0.255.255.255
#
//分支2的外网出接口
interface GigabitEthernet0/0
port link-mode route
//出接口地址
ip address 10.0.2.2 255.255.255.0
//绑定安全策略
ipsec policy center
#
interface GigabitEthernet0/1
port link-mode route
//分支2内网接口地址
ip address 192.168.2.1 255.255.255.0
#
//配置默认路由,下一跳指向NAT设备
ip route-static 0.0.0.0 0.0.0.0 10.0.2.1
#
分支1 nat设备配置
#
//配置NAT地址池
nat address-group 0 11.0.0.1 11.0.0.10
#
//配置需要被NAT处理的地址
acl number 2000
rule 0 permit source 10.0.1.0 0.0.0.255
#
//NAT设备外网接口
interface GigabitEthernet0/0
port link-mode route
//配置动态NAT
nat outbound 2000 address-group 0
//接口地址
ip address 1.0.0.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
//连接分支1路由器的接口地址
ip address 10.0.1.1 255.255.255.0
#
分支2 nat设备配置
#
//配置NAT地址池
nat address-group 0 12.0.0.1 12.0.0.10
#
//配置需要被NAT处理的地址
acl number 2000
rule 0 permit source 10.0.2.0 0.0.0.255
#
//NAT设备外网接口
interface GigabitEthernet0/0
port link-mode route
//配置动态NAT
nat outbound 2000 address-group 0
//接口地址
ip address 1.0.0.2 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
//连接分支2路由器的接口地址
ip address 10.0.2.1 255.255.255.0
#
四、配置关键点:
1) IKE要配置成野蛮模式,可以参考IPSec穿越NAT设备的典型配置案例;
2) 总部可以不用配置ACL,配置安全模板动态生成ACL;
3) 分支需要必须配置路由,保证可以访问总部的外网接口;
4) 分支需要配置ACL,使特定流量匹配安全策略;
5) 总部配置的访问分支内网的路由用于触发进入外网出口,无具体意义;
6) ACL一定不要最后添加一条deny ip的规则,该配置会导致不需要加密的流量被丢弃。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作