交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
两个局域网,一端V600S以桥模式串接在网络中,另外一端出口是RSR路由器,两端要建立IPSEC来实现互访。
二、网络拓扑
局域网A;192.168.10.0/24 局域网B:192.168.2.0/24;
RSR_1的出接口Gi0/1的IP:172.18.10.96/24 ,内网口地址Gi0/0:192.168.10.1/24;
V1600S_1的 桥接口Br0:192.168.10.254/24 网关是:192.168.10.1;
RSR路由器外网接口Gi0/1:172.18.10.114/24 ,内网口Gi0/0:192.168.2.1/254;
三、配置要点
以下配置是在确定当前两端局域网的用户都已经能正常上网的前提下配置的
1 .RSR路由器的配置
2.V1600S_1的配置
1)配置访问规则,允许内网用户访问外网的数据通过桥组
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2)配置IPSEC:
预共享密钥-----ruijie
身边标识:使用“IP地址"方式 本地标识----IP地址:出口RSR路由器的外网接口IP 对端标识------IP:对端V1600S_2的外网接口IP
高级选项:“自动探测”不勾选;
对端子网-------V1600S_2的内网用户网段
隧道的通信策略:3DES+HMAC_MD5(两边要一致)
(注意:在2.50.90.X的软件版本之前的版本时,如果VPN不作为出口设备,只作为NAT网络下的旁挂或者内网串接设备,建立VPN设备时需要用字符标识或者证书方式,不能用地址标识)本案例中使用的软件版本是2.50.90以上的版本。
3.对端RSR路由器的配置
1)配置内网用户能够访问互联网
2)配置IPSEC
四、配置步骤
1.RSR_1路由的配置
--------------以下配置 RSR_1路由器的内网用户的基本配置----------------
以下是命令配置
interface GigabitEthernet 0/0 //内网口
ip nat inside
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.96 255.255.255.0
ip access-list extended 110 //与NAT相关的ACL
10 permit ip any any
ip nat inside source list 110 pool nat_pool overload
ip nat pool nat_pool prefix-length 24
address 172.18.10.96 172.18.10.96 match interface GigabitEthernet 0/1
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置默认路由
----------------以下是映射V1600S的IPSEC VPN相关的端口的映射配置---------------------------------------------------
ip nat inside source statci udp 192.168.10.254 500 172.18.10.96 500 //映射V1600S的IPSEC VPN的UDP 500端口
ip nat inside source statci udp 192.168.10.254 4 500 172.18.10.96 4500 //映射V1600S的IPSEC VPN的UDP 4500端口
2.V1600S_1的配置
----------以下配置V1600S_1的内网用户基本的上网配置--------------
配置V1600S_1的访问规则,是内网用户能通过VPN设备访问外网
把eth1和eth2加入到桥组
配置允许内网用户访问互联网的访问规则
配置好以后,把该条规则上调到所有规则的最前面,或者也可以不配置以上安全规则,默认情况下,V1600S初始化时就是放通任何的数据的,所以此处我们可以不新增访问规则
2)配置IPSEC
---------------------以下配置 V1600_1的IPSEC VPN配置-----------------
身份标识使用“IP地址"方式 本地标识----IP地址:出口RSR路由器的外网接口IP 对端标识------IP:对端V1600S_2的外网接口IP
添加设备》高级选项:“自动探测”不勾选
本地子网-------V1600S_1的本地用户网段
对端子网-------V1600S_2的内网用户网段
隧道的通信策略:3DES+HMAC_MD5(两边要一致)
3.RSR_2路由器的配置
1)配置内网用户能够访问互联网
--------------以下配置 RSR_2路由器的内网用户的基本配置----------------
interface GigabitEthernet 0/0 //内网口
ip nat inside
ip address 192.168.2.1 255.255.255.0
interface GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.114 255.255.255.0
ip access-list extended 110 //与NAT相关的ACL
1000 deny ip 192.168.2.0 0.0.0.255 192.168.10.0 0.0.0.255 //阻断IPSEC互访的流量不走NAT
99999 permit ip any any
ip nat inside source list 110 pool nat_pool overload
ip nat pool nat_pool prefix-length 24
address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置默认路由
2)配置IPSEC
-------------------------以下是RSR_2路由器的IPSEC配置------------------------------
ip access-list extended 101
10 permit ip 192.168.2.0 0.0.0.255 192.168.10.0 0.0.0.255 //设置匹配感兴趣流的ACL,使两端局域网互访的流量走IPSEC VPN隧道
crypto isakmp policy 1
authentication pre-share
hash md5
crypto isakmp key 0 ruijie address 172.18.10.96 //预共享密钥是 ruijie
crypto ipsec transform-set myset esp-3des esp-md5-hmac //此处的“esp-3des esp-md5-hmac”等价于V1600S的3DES+HMAC_MD5
crypto map mymap 1 ipsec-isakmp
set peer 172.18.10.96
set transform-set myset
match address 101
interface GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.114 255.255.255.0
crypto map mymap //把IPSEC策略应用在外网接口
五、配置验证
本地V1600S:
对端RSR路由器:
Ruijie#sh crypto is sa
destination source state conn-id lifetime(second)
172.18.10.95 172.18.10.114 QM_IDLE 33 28792