如何布置你辦公室的網(wǎng)絡(luò) ADSL與IPsec/IKE相結(jié)合的組網(wǎng)應(yīng)用

2015-09-26 10:11 作者：admin 瀏覽量：

　　1. 組網(wǎng)需求

　　本例將IPsec和ADSL相結(jié)合，是目前實(shí)際中廣泛應(yīng)用的典型案例。(網(wǎng)絡(luò)維護(hù)外包) 

　　l Router B通過ADSL卡直接連接公網(wǎng)的DSLAM接入端，作為PPPoE的client端。RouterB從ISP動(dòng)態(tài)獲得的IP地址為私網(wǎng)地址，故Router A、Router B都需要配置NAT穿越。

　　l 總公司局域網(wǎng)通過Router A接入到ATM網(wǎng)絡(luò)。

　　l 為了保證信息安全采用IPsec/IKE方式創(chuàng)建安全隧道。

　　2. 組網(wǎng)圖

　　圖2-5 ADSL與IPsec/IKE相結(jié)合的組網(wǎng)應(yīng)用

　　3. 配置步驟

　　(1) 配置Router A

　　# 配置本端安全網(wǎng)關(guān)設(shè)備名稱。

　　system-view

　　[RouterA] ike local-name routera

　　# 配置ACL。

　　[RouterA] acl number 3101

　　[RouterA-acl-adv-3101] rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

　　[RouterA-acl-adv-3101] quit

　　# 配置IKE安全提議。(電腦桌面維護(hù))

　　[RouterA] ike proposal 1

　　[RouterA-ike-proposal-1] authentication-algorithm sha

　　[RouterA-ike-proposal-1] authentication-method pre-share

　　[RouterA-ike-proposal-1] encryption-algorithm 3des-cbc

　　[RouterA-ike-proposal-1] dh group2

　　# 配置IKE對(duì)等體peer。

　　[RouterA] ike peer peer

　　# 配置IKE對(duì)等體peer。

　　[RouterA] ike peer peer

　　[RouterA-ike-peer-peer] exchange-mode aggressive

　　[RouterA-ike-peer-peer] pre-shared-key abc

　　[RouterA-ike-peer-peer] id-type name

　　[RouterA-ike-peer-peer] remote-name routerb

　　[RouterA-ike-peer-peer] nat traversal

　　[RouterA-ike-peer-peer] quit

　　# 創(chuàng)建IPsec安全提議prop。

　　[RouterA] ipsec proposal prop

　　[RouterA-ipsec-proposal-prop] encapsulation-mode tunnel

　　[RouterA-ipsec-proposal-prop] transform esp

　　[RouterA-ipsec-proposal-prop] esp encryption-algorithm 3des

　　[RouterA-ipsec-proposal-prop] esp authentication-algorithm sha1

　　[RouterA-ipsec-proposal-prop] quit

　　# 創(chuàng)建安全策略policy并指定通過IKE協(xié)商建立SA。

　　[RouterA] ipsec policy policy 10 isakmp

　　# 配置安全策略policy引用IKE對(duì)等體peer。

　　[RouterA-ipsec-policy-isakmp-policy-10] ike-peer peer

　　# 配置安全策略policy引用訪問控制列表3101。

　　[RouterA-ipsec-policy-isakmp-policy-10] security acl 3101

　　# 配置安全策略policy引用IPsec安全提議prop。

　　[RouterA-ipsec-policy-isakmp-policy-10] proposal prop

　　[RouterA-ipsec-policy-isakmp-policy-10] quit

　　# 配置IP地址。

　　[RouterA] interface serial 2/0/1

　　[RouterA-Serial2/0/1] ip address 100.1.1.1 255.255.255.0

　　[RouterA-Serial2/0/1] ipsec policy policy

　　[RouterA-Serial2/0/1] quit

　　# 配置以太網(wǎng)口。

　　[RouterA] interface gigabitethernet 1/0/1

　　[RouterA-GigabitEthernet1/0/1] ip address 172.16.0.1 255.255.255.0

　　[RouterA-GigabitEthernet1/0/1] quit

　　# 配置到分公司局域網(wǎng)的靜態(tài)路由。

　　[RouterA] ip route-static 192.168.0.0 255.255.255.0 serial 2/0/1

　　(2) 配置Router B

　　# 配置本端安全網(wǎng)關(guān)的名稱。

　　system-view

　　[RouterB] ike local-name routerb

　　# 配置ACL。

　　[RouterB] acl number 3101

　　[RouterB-acl-adv-3101] rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

　　[RouterB-acl-adv-3101] quit

　　# 配置IKE安全提議。(it外包)

　　[RouterB] ike proposal 1

　　[RouterB-ike-proposal-1] authentication-algorithm sha

　　[RouterB-ike-proposal-1] authentication-method pre-share

　　[RouterB-ike-proposal-1] encryption-algorithm 3des-cbc

　　[RouterB-ike-proposal-1] dh group2

　　# 配置IKE對(duì)等體peer。

　　[RouterB] ike peer peer

　　[RouterB-ike-peer-peer] exchange-mode aggressive

　　[RouterB-ike-peer-peer] pre-shared-key abc

　　[RouterB-ike-peer-peer] id-type name

　　[RouterB-ike-peer-peer] remote-name routera

　　[RouterB-ike-peer-peer] remote-address 100.1.1.1

　　[RouterB-ike-peer-peer] nat traversal

　　[RouterB-ike-peer-peer] quit

　　# 創(chuàng)建IPsec安全提議prop。

　　[RouterB] ipsec proposal prop

　　[RouterB-ipsec-proposal-prop] encapsulation-mode tunnel

　　[RouterB-ipsec-proposal-prop] transform esp

　　[RouterB-ipsec-proposal-prop] esp encryption-algorithm 3des

　　[RouterB-ipsec-proposal-prop] esp authentication-algorithm sha1

　　[RouterB-ipsec-proposal-prop] quit

　　# 創(chuàng)建安全策略policy并指定通過IKE協(xié)商建立SA。

　　[RouterB] ipsec policy policy 10 isakmp

　　# 配置安全策略policy引用IKE對(duì)等體peer。

　　[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

　　# 配置安全策略policy引用訪問控制列表3101。

　　[RouterB-ipsec-policy-isakmp-policy-10] security acl 3101

　　# 配置安全策略policy引用IPsec安全提議prop。

　　[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

　　[RouterB-ipsec-policy-isakmp-policy-10] quit

　　# 配置撥號(hào)訪問控制列表。

　　[RouterB] dialer-rule 1 ip permit

　　# 創(chuàng)建Dialer0，使用由ISP分配的用戶名和密碼進(jìn)行撥號(hào)和PPP認(rèn)證的相關(guān)配置，并配置MTU。

　　[RouterB] interface dialer 0

　　[RouterB-Dialer0] link-protocol ppp

　　[RouterB-Dialer0] ppp pap local-user test password simple 123456

　　[RouterB-Dialer0] ip address ppp-negotiate

　　[RouterB-Dialer0] dialer user 1

　　[RouterB-Dialer0] dialer-group 1

　　[RouterB-Dialer0] dialer bundle 1

　　[RouterB-Dialer0] ipsec policy policy

　　[RouterB-Dialer0] mtu 1492

　　[RouterB-Dialer0] quit

　　# 配置到總公司局域網(wǎng)的靜態(tài)路由。

　　[RouterB] ip route-static 172.16.0.0 255.255.255.0 dialer 0

　　# 配置以太網(wǎng)口。

　　[RouterB] interface gigabitethernet 1/0/1

　　[RouterB-GigabitEthernet1/0/1] tcp mss 1450

　　[RouterB-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0

　　[RouterB-GigabitEthernet1/0/1] quit

　　# 對(duì)ADSL卡的ATM口進(jìn)行配置。

　　[RouterB] interface atm 1/0/1

　　[RouterB-Atm1/01/] pvc 0/100

　　[RouterB-atm-pvc-Atm1/0/1-0/100] map bridge virtual-ethernet 0

　　[RouterB-atm-pvc-Atm1/0/1-0/100] quit

　　# 配置VE口。

　　[RouterB] interface virtual-ethernet 0

　　[RouterB-Virtual-Ethernet0] pppoe-client dial-bundle-number 1

　　[RouterB-Virtual-Ethernet0] mac-address 0011-0022-0012

　　艾銻無限是中國(guó)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無限http://www.whgoodly.com