分部没有固定的IP地址时,配置ipsec vpn,应该采用野蛮模式去协商ike sa。并且要在分部首先发起连接,去找总部有固定ip的一端去协商。
配置好底层网络,让“共网”打通。
配置分部设备:
配置ike keychain
[fb]ike keychain fb
[fb-ike-keychain-fb]pre-shared-key address 10.10.12.1 24 key simple abc123
给自己定义一个主机名称
[fb]ike identity fqdn fb (定义本端的主机名称)
配置ike profile 协议框架
[fb]ike profile fb
[fb-ike-profile-fb]exchange-mode aggressive (改成野蛮模式)
[fb-ike-profile-fb]keychain fb
[fb-ike-profile-fb]match remote identity address 10.10.12.1 24
配置acl,定义感兴趣的数据流
[fb]acl ad 3000
[fb-acl-ipv4-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
配置ipsec 安全提议
[fb]ipsec transform-set fb
[fb-ipsec-transform-set-fb]esp authentication-algorithm sha1
[fb-ipsec-transform-set-fb]esp encryption-algorithm 3des-cbc
配置安全策略
[fb]ipsec policy fb 1 isakmp
[fb-ipsec-policy-isakmp-fb-1]security acl 3000
[fb-ipsec-policy-isakmp-fb-1]transform-set fb
[fb-ipsec-policy-isakmp-fb-1]ike-profile fb
[fb-ipsec-policy-isakmp-fb-1]remote-address 10.10.12.1
接口下应用安全策略
[fb]int g0/0
[fb-GigabitEthernet0/0]ipsec apply policy fb
配置总部设备:
配置keychain
[zb]ike keychain zb
[zb-ike-keychain-zb]pre-shared-key hostname fb key simple abc123
配置profile 协议框架
[zb]ike profile zb
[zb-ike-profile-zb]keychain zb
[zb-ike-profile-zb]exchange-mode aggressive (改成野蛮模式)
[zb-ike-profile-zb]match remote identity fqdn fb (远端的主机名称)
配置ipsec 安全提议
[zb]ipsec transform-set zb
[zb-ipsec-transform-set-zb]esp authentication-algorithm sha1
[zb-ipsec-transform-set-zb]esp encryption-algorithm 3des-cbc
配置一个安全模板
[zb]ipsec policy-template tmp 1
[zb-ipsec-policy-template-tmp-1]ike-profile zb (应用ike协议框架)
[zb-ipsec-policy-template-tmp-1]transform-set zb (应用安全提议)
利用安全模板创建要给安全策略
[zb]ipsec policy zb 1 isakmp template tmp
在接口上应该安全策略
[zb]int g0/1
[zb-GigabitEthernet0/1]ipsec apply policy zb
注意:要先在分部发起连接,因为总部的IP时固定的。