实验拓扑
配置运营商网络
在配置VPN之前,首先要保证模拟的运营商网络是可以正常通信的,这里我配置的是OSPF,需要注意的是两边的路由器不要把内网网段也给宣告出去了,如果是这样那VPN也就没有存在的意义了。
首先是左边的R1:
Router(config)#int f0/0
Router(config-if)#ip add 202.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#net 202.1.1.0 0.0.0.255 area 0
中间的R0:
Router(config)#int f0/0
Router(config-if)#ip add 202.1.1.254 255.255.255.0
Router(config-if)#no shut
Router(config)#int f0/1
Router(config-if)#ip add 210.1.1.254 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#net 202.1.1.0 0.0.0.255 area 0
Router(config-router)#net 210.1.1.0 0.0.0.255 area 0
右边的R2:
Router(config)#int f0/0
Router(config-if)#ip add 210.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#net 210.1.1.0 0.0.0.255 area 0
等待收敛完成验证网络是否可以正常通信。
配置内网
内网过于简单这里不再赘述,我的左边的区域1的网段是10.0.1.0/24,右边的区域2是10.0.2.0/24,网关则分别为1.1和2.1。
配置IPSec(site to site)
R1:
Router(config)#crypto isakmp enable #启用IKE,默认即为启动
Router(config)#crypto isakmp policy 1 #定义IKE安全策略集1
Router(config-isakmp)#authentication pre-share #IKE验证方式胃预共享密钥
Router(config-isakmp)#encryption 3des #IKE加密方式为3des
Router(config-isakmp)#group 1 #IKE使用Diffie-Hellman组1
Router(config-isakmp)#hash md5 #IKE的Hash验证为MD5
Router(config-isakmp)#exit
Router(config)#crypto isakmp key cyne address 210.1.1.1 #两端的KEY必须一致,210.1.1.1是对端的公网地址
Router(config)#crypto ipsec transform-set lab ah-md5-hmac esp-3des #定义VPN使用IPSec策略集,lab为策略集名称
Router(config)#access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 #定义在R1上需要加密的流量
Router(config)#crypto map test 110 ipsec-isakmp #定义加密图
Router(config-crypto-map)#match address 100 #在加密图中声明加密流量列表
Router(config-crypto-map)#set peer 210.1.1.1 #对端公网ip
Router(config-crypto-map)#set transform-set lab #在加密图中调用IPSec的策略集lab
Router(config-crypto-map)#exit
Router(config)#int f0/0
Router(config-if)#crypto map test #将加密图应用到此端口
Router(config-if)#exit
Router(config)#ip route 10.0.2.0 255.255.255.0 f0/0 #指定VPN的静态路由
R2:
Router(config)#crypto isakmp enable
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#group 1
Router(config-isakmp)#hash md5
Router(config-isakmp)#exit
Router(config)#crypto isakmp key cyne address 202.1.1.1 #两端的KEY必须一致,202.1.1.1是对端的公网地址
Router(config)#crypto ipsec transform-set lab ah-md5-hmac esp-3des
Router(config)#access-list 100 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Router(config)#crypto map test 110 ipsec-isakmp
Router(config-crypto-map)#match address 100
Router(config-crypto-map)#set peer 202.1.1.1 #对端公网ip
Router(config-crypto-map)#set transform-set lab
Router(config-crypto-map)#exit
Router(config)#int f0/0
Router(config-if)#crypto map test
Router(config-if)#exit
Router(config)#ip route 10.0.1.0 255.255.255.0 f0/0
验证结果
使用区域1内的PC ping 区域2中的PC,发现已经可以通信:
NAT + IPSec VPN
NAT和IPSec存在一些不兼容的情况,比如NAT更改了IP头部中的源地址和目的地址,校验和会被重新计算并修改,所以导致被对端IPSec丢弃等等。
那如果配置了NAT之后应该如何让IPSec正常工作呢?今天在敲实验的时候思考了很久,最后找到了通过更改ACL也就是更改IPSec的“感兴趣”流量来解决,简单拓扑如下:
两端公网接入路由器的ACL进行如下配置:
R1#sh access-lists 100
Extended IP access list 100
permit ip 172.16.5.0 0.0.0.255 172.16.2.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 218.18.1.0 0.0.0.3
permit ip 218.18.1.0 0.0.0.3 172.16.2.0 0.0.0.255
R2#sh access-lists 100
Extended IP access list 100
permit ip 172.16.2.0 0.0.0.255 172.16.5.0 0.0.0.255
permit ip host 218.18.1.2 172.16.2.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 218.18.1.0 0.0.0.3
上述ACL的作用也就是把NAT之后的公网IP地址加入到IPSec的感兴趣流量中。当然,这也只是我在实验中自己摸索的解决方法。
参考链接
https://wenku.baidu.com/view/aec4df5a5727a5e9856a61eb
http://www.solves.com.cn/doc-view-2025.html