RouterA所在地为公司分支机构网关, RouterB为公司总部网关,分公司与总部是通过Internet 建立通信的。分公司子网为10.1.1.0 /24 网段;总部子网为 10.1.2.0/24 网段;现公司希望通过Internet 实现互访,且它们之间通信流量受IPSec安全保护。
案例分析
可采用IKE动态协商方式来建立IPSec隧道,简化配置对绝大多数安全参数采用缺省配置,来减少工作量,同时也可在安全方面满足用户要求。
思路配置
一、配置各个网关内/外网接口IP地址以及相互访问的静态路由、ACL定义需要保护IPSec的数据流、IPSec安全提议,定义IPSec的保护方法。
【RouterA】
[Huawei]sysname RouterA
[RouterA-GigabitEthernet0/0/1]ip address 202.138.163.1 24
[RouterA-GigabitEthernet0/0/2]ip address 10.1.1.1 24
[RouterA]ip route-static 202.138.162.1 32 202.138.163.2 //配置到达总部internet网关静态路由。
[RouterA]ip route-static 10.1.2.0 24 202.138.163.2