一、拓扑说明:

1、  下图中左侧为公司办公网络,运营商有线网络首先进入公司防火墙;

2、  防火墙局域网为192.168.100.0/24 在防火墙中将公网IP 地址 219.232.192.xxxUDP 50045001723 映射到局域网IP 192.168.100.36UDP 50045001723 ,该映射的作用是在Internet中到的其他节点访问该公网地址219.232.192.xxx防火墙自动将数据转发到CiscoRV042

3、  CiscoRV042 ××× 路由器WAN Internet)接口为192.168.100.36LAN接口为172.16.0.0/24

4、  无线路由器使用联通/电信3G网络无线联网,LAN 网段 172.16.1.1 /24

5、  CiscoRV042 3G 路由器之间建立IPSec××× 后,RV042 LAN网段172.16.0.0/24 就可以与3G路由器 LAN 网段 172.16.1.0/24 相互访问。

6、  工程师在公网可以使用PPTP ××× 连接至RV042 后即可访问3G路由器及下联设备;

  wKiom1ZfouHza6lgAAC5Z_C6VFE330.png


       说明 在该拓扑中防火墙将公网IP 219.232.192.xxx 映射为内IP192.168.100.36,在通常情况若无防火墙则可以将公网IP直接配置到CiscoRV042 WAN端口即可。CiscoRV042是一款低端×××路由器,若需要性能更强的可以根据具体替换。


二、RV042 配置

1、LAN接口配置

        RV042默认的LAN接口IP地址为192.168.1.1/24,初次配置时计算机本地连接设置为自动获取IP地址即可,打开IE浏览器登陆:https://192.1681.1 用户名密码均为admin

Setup – Network – LAN Seting

Device IP address: 172.16.0.1

Subnet: 255.255.255.0

wKioL1Zfo3jxJomVAAItC3i_mzg509.png

2、WAN接口配置

*若该拓扑中没有前置防火墙或路由器做NAT,可以直接将公网IP配置到“Specify WAN IP Address”中。


wKiom1ZfoxTQOMfCAAKLSV0ig1Q702.png


wKioL1Zfo4ChS70HAAGyiKxQF3w503.png



2、创建IPSec×××

××× – Gateway to Gateway

wKiom1Zfo26Bb0ONAAJO9XKOP5E678.png

*由于对端路由器使用无线3G或4G网络,没有固定IP地址,所以在协商时使用FQDN方式,此参数在对端路由器中也需要配置为无线路由器Local FQDN。


wKioL1Zfo9qy96XQAAG7diKwFSE154.png

wKioL1Zfo93BVj6cAAF-0u3hygA500.png


进入 “Advanced”

使用:主动模式 Aggressive Mode,NAT穿越

wKiom1Zfo3iA7_IqAAHLHxMUAck533.png



3、对端无线×××路由器IR7XX路由器配置

LAN 接口配置

网络-LAN接口

wKiom1ZfpB6QGunIAADDPoIYjrU005.png

2、创建IPSec××× 

wKioL1ZfpD7BMCyiAAC597SHIp4735.png

wKiom1Zfo9PC83qgAAC1vOjA-wU139.pngwKiom1Zfo9LSb-7tAADADHciWd4810.png


若隧道创建成功,在日志中会显示IPSec的两个阶段的 SA estabilished

wKiom1ZfpFzCr49gAACSel6zEy8322.png


3、测试连通性

注意,在ping对端路由器LAN接口时,需要以本地路由器LAN接口IP为源地址。

wKiom1ZfpLeB_psJAACwWhtTzlQ508.png






总结:在配置中容易范的细节错误较多,如两个阶段的加密算法不匹配,FQDN没有互指,隧道密码错误等问题。由于文档中使用的都是简单的图形化界面,所以不用我们去管理底层的配置如ACL等,在troubleshuting中比较直接的方法是查看日志,另外一方面就是对两端的配置。