交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
两个不同的局域网,V1600S_1以IPSEC客户端且为桥模式串接在网络中,V1600S_2以IPSEC服务端且为路由模式放在网络的出口,客户端主动发起VPN连接,
与服务端建立IPSEC VPN连接,实现两端局域网之间的互相访问。
二、网络拓扑
左边的内网网段:192.168.10.0/24,V1600S_1的管理IP为br0:192.168.10.254,网关192.168.1.1,出口路由器的外网接口172.18.10.114/24,网关172.18.10.1;
左边的内网网段:192.168.2.0/24,V1600S_2的外网接口eth0:172.18.10.99 网关:172.18.10.1;
PC1------V1600S_1(桥模式)----出口路由-----internet-------V1600S_2-----PC2
三、配置要点
以下配置是在确定当前两端局域网的用户都已经能正常上网的前提下配置的
1. RSR路由的上网配置:
配置内网的用户能够正常访问internet
(由于此案例中,V1600S_1是桥模式下VPN客户端,V1600S_2是路由模式下作为出口的VPN服务端,是客户端经过NAT转换后主动向服务端发起连接,而不是服务端主动发起的连接,这时候就无需在RSR上配置关于内网IPSEC VPN的相关端口映射)
2.V1600S_1的配置
1)配置访问规则,允许内网用户访问外网的数据通过桥组
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2).配置IPSEC:
本端FQDN标识为:abc 对端FQDN标识为:cba (此处标识的设置与V1600S_2的设置相反)
(注意:在2.50.90.X的软件版本之前的版本时,如果VPN不作为出口设备,只作为NAT网络下的旁挂或者内网串接设备,建立VPN设备时需要用字符标识或者证书方式,不能用地址标识)本案例中使用的软件版本是2.50.90以上的版本。
3.V1600S-2的配置
1).配置内网用户能正常访问internet
2).配置IPSEC:
本端FQDN标识为:cba 对端FQDN标识为:abc (此处标识的设置与V1600S_1的设置相反)
四、配置步骤
1.RSR路由的上网配置:
-------------以下是RSR路由器配置内网的用户能够正常访问internet------------------
以下是命令配置
interface GigabitEthernet 0/0 //内网口
ip nat inside
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.114 255.255.255.0
ip access-list extended 110 //与NAT相关的ACL
10 permit ip any any
ip nat inside source list 110 pool nat_pool overload
ip nat pool nat_pool prefix-length 24
address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置默认路由
2.V1600S_1的配置
1)配置访问规则,允许内网用户访问外网的数据通过桥组
------------以下配置V1600S_1允许内网用户访问外网的数据通过桥组-----------
把eth1和eth2加入到桥组
或者也可以不配置以上安全规则,默认情况下,V1600S初始化时就是放通任何的数据的,所以此处我们可以不新增访问规则
2)配置V1600S_1的IPSEC
----------------------------以下配置V1600S_1的IPSEC VPN-----------------------
预共享密钥:ruijie
本端FQDN标识为:abc 对端FQDN标识为:cba
对应的高级选项勾选”启动探测“
本地子网:V1600S_1的本地用户网段
对方子网:V1600S_2的内网用户网段
勾选自动启动
设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)
3.配置V1600S_2
----------------以下配置V1600S_2 内网的用户访问internet------------------------
1).配置内网用户能正常访问internet
调整以上访问规则到最前面,如下图
2)配置V1600S_2的IPSEC VPN
------------------以下配置V1600S_2的IPSEC VPN----------------------
预共享密钥:ruijie
本端FQDN标识为:cba 对端FQDN标识为:abc
本地子网:V1600S_2的本地用户网段
对方子网:V1600S_1的内网用户网段
勾选自动启动
设置对应隧道的通信策略:3DES+HMAC_MD5(两边要一致)
五、配置验证
当两端设备显示如下状态时,说明VPN隧道建立成功了
在V1600S_1上查看协商状态
在V1600S_2上查看协商状态