問題描述:
請教:
若有一個總部與分支結構的企業,
總部是靜態公網IP,分支均是那種pppoe撥號非公網IP的動態IP,
這樣的話,考慮到動態IP前麵可能還有ISP的NAT設備,
那麼,總部與分支能夠成功構建ADVPN實現總部與分支之間私有地址方式通信嗎?
若前麵能夠實現的基礎上,能否實現分支與分支之間通信嗎?(流量經過總部),
若前麵能夠實現的基礎上,能否實現分支與分支之間通信嗎?(流量不經過總部,兩個分支之間直接建立隧道直接通信),
能簡單分析一下原因嗎?謝謝。
組網及組網描述:
- 2022-09-10提問
- 舉報
-
(0)
可以參考如下案例:
//www.yolosolive.com/cn/d_202206/1631807_30005_0.htm#_Toc106294290
IKE野蠻模式及NAT穿越配置舉例
設備運行於FIPS模式時,不支持本例。
1. 組網需求
Device A在NAT安全網關內網側,所連接的內網側用戶使用NAT地址3.3.3.1訪問外網。要求在Device A和Device B之間建立一個IPsec隧道,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。具體需要求如下:
· 協商雙方使用缺省的IKE提議。
· 協商模式為野蠻模式協商。
· 第一階段協商的認證方法為預共享密鑰認證。
2. 組網圖
圖2-6 IKE野蠻模式及NAT穿越典型組網圖
3. 配置步驟
(1) 配置Device A
# 配置各接口的IP地址,具體略。
# 配置IPv4高級ACL 3000,定義要保護由子網10.1.1.0/24去往子網10.1.2.0/24的數據流。
<DeviceA> system-view
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] quit
# 創建IPsec安全提議transform1。
[DeviceA] ipsec transform-set transform1
# 配置采用的安全協議為ESP。
[DeviceA-ipsec-transform-set-transform1] protocol esp
# 配置ESP協議采用的加密算法為3DES,認證算法為HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceA-ipsec-transform-set-transform1] quit
# 創建IKE keychain,名稱為keychain1。
[DeviceA] ike keychain keychain1
# 配置與IP地址為2.2.2.2的對端使用的預共享密鑰為明文12345zxcvb!@#$%ZXCVB。
[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.0.0 key simple 12345zxcvb!@#$%ZXCVB
[DeviceA-ike-keychain-keychain1] quit
# 創建IKE profile,名稱為profile1。
[DeviceA] ike profile profile1
# 指定引用的IKE keychain為keychain1。
[DeviceA-ike-profile-profile1] keychain keychain1
# 配置協商模式為野蠻模式。
[DeviceA-ike-profile-profile1] exchange-mode aggressive
# 配置本端身份為FQDN名稱***.***。
[DeviceA-ike-profile-profile1] local-identity fqdn ***.***
# 配置匹配對端身份的規則為IP地址2.2.2.2/16。
[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.0.0
[DeviceA-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為policy1,順序號為1。
[DeviceA] ipsec policy policy1 1 isakmp
# 配置IPsec隧道的對端IP地址為2.2.2.2。
[DeviceA-ipsec-policy-isakmp-policy1-1] remote-address 2.2.2.2
# 指定引用的安全提議為transform1。
[DeviceA-ipsec-policy-isakmp-policy1-1] transform-set transform1
# 指定引用ACL 3000。
[DeviceA-ipsec-policy-isakmp-policy1-1] security acl 3000
# 指定引用的IKE profile為profile1。
[DeviceA-ipsec-policy-isakmp-policy1-1] ike-profile profile1
[DeviceA-ipsec-policy-isakmp-policy1-1] quit
# 在接口GigabitEthernet1/0/1上應用IPsec安全策略policy1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy policy1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置到Host B所在子網的靜態路由。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 1.1.1.2
(2) 配置Device B
# 配置各接口的IP地址,具體略。
# 創建IPsec安全提議transform1。
<DeviceB> system-view
[DeviceB] ipsec transform-set transform1
# 配置采用的安全協議為ESP。
[DeviceB-ipsec-transform-set-transform1] protocol esp
# 配置ESP協議采用的加密算法為3DES,認證算法為HMAC-MD5。
[DeviceB-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceB-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceB-ipsec-transform-set-transform1] quit
# 創建IKE keychain,名稱為keychain1。
[DeviceB]ike keychain keychain1
# 配置與IP地址為1.1.1.1的對端使用的預共享密鑰為明文12345zxcvb!@#$%ZXCVB。在本例中,來自1.1.1.1的報文經NAT轉換後,源IP地址被轉換為3.3.3.1,因此指定預共享密鑰時對端IP地址為3.3.3.1。
[DeviceB-ike-keychain-keychain1] pre-shared-key address 3.3.3.1 255.255.0.0 key simple 12345zxcvb!@#$%ZXCVB
[DeviceB-ike-keychain-keychain1] quit
# 創建IKE profile,名稱為profile1。
[DeviceB] ike profile profile1
# 指定引用的IKE keychain為keychain1。
[DeviceB-ike-profile-profile1] keychain keychain1
# 配置協商模式為野蠻模式。
[DeviceB-ike-profile-profile1] exchange-mode aggressive
# 配置匹配對端身份的規則為FQDN名稱***.***。
[DeviceB-ike-profile-profile1] match remote identity fqdn ***.***
[DeviceB-ike-profile-profile1] quit
# 創建一個IKE協商方式的IPsec安全策略模板,名稱為template1,順序號為1。
[DeviceB] ipsec policy-template template1 1
# 指定引用的安全提議為tran1。
[DeviceB-ipsec-policy-template-template1-1] transform-set transform1
# 配置IPsec隧道的本端IP地址為2.2.2.2。
[DeviceB-ipsec-policy-template-template1-1] local-address 2.2.2.2
# 指定引用的IKE profile為profile1。
[DeviceB-ipsec-policy-template-template1-1] ike-profile profile1
[DeviceB-ipsec-policy-template-template1-1] quit
# 引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略,名稱為policy1,順序號為1。
[DeviceB] ipsec policy policy1 1 isakmp template template1
# 在接口GigabitEthernet1/0/1上應用安全策略policy1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy policy1
[DeviceB-GigabitEthernet1/0/1] quit
# 配置到Host A所在子網的靜態路由。2.2.2.1為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1
- 2022-09-10回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論