實驗拓撲
圖 1-1
注:如無特別說明,描述中的 R1 或 SW1 對應拓撲中設備名稱末尾數字為 1 的設備,R2 或 SW2 對應拓撲中設備名稱末尾數字為 2 的設備,以此類推;另外,同一網段中,IP 地址的主機位為其設備編號,如 R3 的 g0/0 接口若在 192.168.1.0/24 網段,則其 IP 地址為 192.168.1.3/24,以此類推
實驗需求
- 按照圖示配置 IP 地址
- 在 R1 和 R3 上配置默認路由連通公網
- 在 R1 和 R3 上配置 IPsec VPN,使兩端私網可以互相訪問
實驗解法
配置 IP 地址部分略
配置默認路由部分略
在 R1 和 R3 上配置 IPsec VPN,使兩端私網可以互相訪問
步驟 1:在 R1 上創建感興趣流,匹配兩端私網地址網段
[R1]acl advanced 3000[R1-acl-ipv4-adv-3000]rule per ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
步驟 2:在 R1 上創建 IKE 提議,配置驗證模式為預共享密鑰,并配置加密算法
[R1]ike proposal 1[R1-ike-proposal-1]authentication-method pre-share[R1-ike-proposal-1]encryption-algorithm aes-cbc-128
步驟 3:在 R1 上創建預共享密鑰
[R1]ike keychain r3
[R1-ike-keychain-r3]pre-shared-key address 100.2.2.3 key simple 123456
步驟 4:在 R1 上創建 IKE Profile,指定本端和對端公網地址,并調用預共享密鑰和 IKE 提議
[R1]ike profile r3[R1-ike-profile-r3]keychain r3[R1-ike-profile-r3]local-identity address 100.1.1.1 [R1-ike-profile-r3]match remote identity address 100.2.2.3[R1-ike-profile-r3]proposal 1
步驟 5:在 R1 上創建IPsec 轉換集,配置加密和驗證算法。由于工作模式默認是隧道模式,且協議默認使用 ESP,所以無需配置
[R1]ipsec transform-set r3
[R1-ipsec-transform-set-r3]esp authentication-algorithm sha1
[R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128
步驟 6:在 R1 上創建 IPsec 策略,調用上述配置
[R1]ipsec policy r3 1 isakmp [R1-ipsec-policy-isakmp-r3-1]security acl 3000[R1-ipsec-policy-isakmp-r3-1]ike-profile r3[R1-ipsec-policy-isakmp-r3-1]transform-set r3[R1-ipsec-policy-isakmp-r3-1]remote-address 100.2.2.3
步驟 7:在 R1 的公網接口上下發 IPsec 策略
[R1-GigabitEthe.NET0/0]ipsec Apply policy r3
步驟 8:在 R3 上完成 IPsec 相關配置,方法和命令與 R1 一致,本端和對端地址對調即可
效果測試:在 PC4 上 Ping PC5,可以直接 Ping 通
<PC4>ping 192.168.2.5
Ping 192.168.2.5 (192.168.2.5): 56 data bytes, press CTRL_C to break56 bytes from 192.168.2.5: icmp_seq=0 ttl=253 time=26.000 ms56 bytes from 192.168.2.5: icmp_seq=1 ttl=253 time=29.000 ms56 bytes from 192.168.2.5: icmp_seq=2 ttl=253 time=34.000 ms56 bytes from 192.168.2.5: icmp_seq=3 ttl=253 time=52.000 ms56 bytes from 192.168.2.5: icmp_seq=4 ttl=253 time=25.000 ms
