锐捷的IPSEC分为服务端和客户端,可以支持两端都有公网IP,或其中只有一端有公网的IP的场景。
且不论是主模式还是野蛮模式都有服务端和客户端。
设置实例:
1,先设置服务端。
需要注意:
1,服务端为有公网IP的一端,一般为总部或中心节心。
2策略名称,无要求。
3,绑定接口,即互联网出口,选择WAN口。
4,本地子网范围,与对端建立通讯的子网,当有多个子网时,一次只能建立一个,需要建立多条IPSEC。
5,预共享密钥,两端都填一样。
IKE策略:根据需要选择,需要至少有一条和对端相同。
协商模式:
主模式(此时不分客户端和服务端),主模式下“本地ID类型“可以填”IP地址“也可以选”NAME".
野蛮模式(此模式公网IP端一定要选服务端),野蛮模式下“本地ID类型”必须选“NAME".
本地ID类型:当为主模式时,填写WAN口IP,同上面的地址。
当选“NAME"时,对名称没有要求,只要双方填写一致即可。
生存时间,双方填写一样。
阶段2选择:
需要注意生存时间两端一致即可。
当选服务端时,生成的策略中对端网关直接默认为“0.0.0.0”,这个和TP的需要手动填 写全0是一样的效果,且锐捷支持通过野蛮模式和TP建立IPSEC连接。
分部客户端设置:
1,客户端为一般为分部,或没有公网IP的一端。
2策略名称,无要求。
3.对端网关,填写服务端WAN口IP。
4,绑定接口,即互联网出口,选择WAN口。
5,本地子网范围,与对端建立通讯的子网,当有多个子网时,一次只能建立一个,需要建立多条IPSEC。
6,预共享密钥,两端都填一样。
阶段1和阶段2设置于总部一样,设置完成,查看IPSEC连接状态(即ipsec SA安全联盟)。