組網及說明
1 配置需求或說明
1.1適用產品係列
本案例適用於ERG2 產品係列路由器:ER8300G2-X、ER6300G2、ER3260G2、ER3200G2等,Comware V7平台的MSR830-WiNet係列路由器,如MSR830-10BEI-WiNet 、MSR830-6EI-WiNet 、MSR830-5BEI-WiNet 、MSR830-6BHI-WiNet 、MSR830-10BHI-WiNet等。MSR版本:0605P20
1.2配置需求及實現的效果
在總部和分部之間分別建立安全隧道,對客戶總部PC所在的子網(192.168.2.0)與客戶分支機構PC所在的子網(192.168.1.0)之間的數據流進行安全保護。安全協議采用ESP協議,加密算法采用3DES,認證算法采用MD5。
2 組網圖
配置步驟
3 配置步驟
3.1配置ER G2路由器
#選擇“VPN→IPSEC VPN→虛接口”。單擊<新增>按鈕,在彈出的對話框中選擇一個虛接口通道,並將其與對應的出接口進行綁定,單擊<增加>按鈕完成操作
#選擇“VPN→IPSEC VPN→IKE安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,並設置驗證算法和加密算法分別為MD5、3DES,單擊<增加>按鈕完成操作
#選擇“VPN→IPSEC VPN→IKE對等體”。單擊<新增>按鈕,在彈出的對話框中輸入對等體名稱,選擇主模式,選擇對應的虛接口。在對端地址填寫對端的IP或者域名,並選擇已創建的安全提議信息,預共享密鑰和MSR側保持一致,單擊<增加>按鈕完成操作
#選擇“VPN→IPSEC VPN→IPSec安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,選擇安全協議類型為ESP,並設置驗證算法和加密算法分別為MD5、3DES,單擊<增加>按鈕完成操作
#選擇“VPN→IPSEC VPN→IPSec安全策略”。選中“啟用IPSec功能”複選框,單擊<應用>按鈕生效。單擊<新增>按鈕,在彈出的對話框中輸入安全策略名稱,在“本地子網IP/掩碼”和“對端子網IP/掩碼”文本框中分別輸入兩端對應子網信息,並選擇協商類型,對等體,安全提議,單擊<增加>按鈕完成操作
#為經過IPSec VPN隧道處理的報文設置路由,才能使隧道兩端互通(一般情況下,隻需要為隧道報文配置靜態路由即可)。選擇“高級設置→路由設置→靜態路由”,單擊<新增>按鈕,在彈出的對話框中,設置目的地址、子網掩碼等參數,單擊<增加>按鈕完成操作
3.2配置MSR路由器
#選擇“虛擬專網→IPSEC VPN→Ipsec策略”。單擊<添加>按鈕,在彈出的對話框中填寫ipsec策略名稱,單WAN默認選擇WAN口,多WAN要手動選擇對應WAN口,組網方式選擇點到點,對端地址填寫對端的IP,預共享密鑰和ER側填寫一致,ACL數字寫3000以上的,點擊ACL後的“+”進入ACL配置頁麵。
#進入ACL配置頁麵選擇受保護的協議為IP,填寫兩端ipsec網段信息,注意後麵填寫為反掩碼,點擊<添加>按鈕添加,可以添加多條規則,完成後點擊<顯示高級配置>按鈕進入高級配置。
#高級配置IKE配置協商模式選擇主模式,本端身份類型和對端身份類型選擇IP,填寫兩端WAN口地址,算法組合與ER側一致,驗證算法、加密算法和PFS分別為MD5、3DES、DH2,單擊<Ipsec配置>按鈕進行下一步操作
#Ipsec配置算法組合和ER側保持一致,安全協議、認證算法和加密算法分別為:ESP、MD5、3DES,封裝模式為隧道模式,單擊<返回基本配置>按鈕進入基本配置後點擊<確定>完成配置。
4 驗證配置
#查看VPN狀態
兩端均設置完成後,保護流ping後建立隧道。您可以通過選擇ER路由器的“VPN→IPSEC VPN→安全聯盟”頁麵,MSR的“ 虛擬專網→IPSEC VPN→監控信息”,並單擊<刷新>按鈕來查看相應的隧道是否已成功建立。
ER隧道建立圖
MSR隧道建立圖
