总部ipsec 与分部连通 出差人员通过 l2tp 拨号与总部连接 去访问分部
网络拓扑图如下
一、分部能ping 通总部的公网地址
二、二地的IPSec 搭建
二地的协商配置一直即可
#
ipsec proposal def
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //配置IKE提议
encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128
dh group14
authentication-algorithm sha2-256
#
ike peer branch v1
pre-shared-key cipher huawei //配置预共享密钥认证字为“huawei”,以密文显示,该命令在V2R3C00以前的版本中为“pre-shared-key huawei”,以明文显示
ike-proposal 5
local-address 1.1.1.1
#
ipsec policy-template branch 1 //配置IPSec策略模板
ike-peer branch
proposal def
#
ipsec policy hk 1 isakmp template branch //配置IPSec策略
#
interface Ethernet2/0/0 //配置互联接口,用于建立IKE连接和隧道封装外层IP地址
ip address 1.1.1.1 255.255.255.0
ipsec policy hk //配置接口下绑定IPSec策略
#
display ike sa 看到 Flag的状态是 RD 及第一阶段协商成功。
第一阶段没协商起来的,使用display ike error-info 查看当前ike 协商失败的原因
如果后面内网不能互通有问题就是数据流没做好 。请二端的检查数据流是否匹配
总部的数据流
分部的数据流
查看当前的数据流
三、总部的l2tp的搭建
步骤如下:
-
建立l2tp账户
-
启用l2tp服务
-
搭建l2tp服务器
-
测试联通性
-
路由器二端的关于l2tp的数据流