IR615S WDS配置
针对IR600S设备WIFI功能无线桥接应用配置文档
准备两台IR615s路由器,一台IR615s做AP设备,另一台IR615S做WDS桥接设备,进入IR615S进行配置。
1.首先,配置AP设备:
进入IR615S“网络”菜单栏,WLAN模式默认即为AP模式,在WLAN端口进行配置,选定一个信道(建议选择比较空闲的信道),定义SSID名称,配置加密。如图:
2. 然后,配置WDS桥接设备:
进入IR615S“网络”菜单栏,WLAN模式也选择默认的AP模式,在WLAN端口进行配置,配置与AP端一致的信道,更改与AP端不同的SSID,配置加密,勾选启用WDS后,出现WDS配置选项,如下图:
桥接成功后,可以通过WDS设备下端主机访问AP设备下端主机了,也可以通过AP设备下端主机访问WDS设备下端主机,都在同一个网段。
此时,WDS设备会获取AP设备分配的一个IP地址,可以通过这个IP地址登陆WDS设备,也可以通过www.router.com登陆。桥接设备LAN口地址会消失,DHCP也会自动关闭,如下图:
收起阅读 »
准备两台IR615s路由器,一台IR615s做AP设备,另一台IR615S做WDS桥接设备,进入IR615S进行配置。
1.首先,配置AP设备:
进入IR615S“网络”菜单栏,WLAN模式默认即为AP模式,在WLAN端口进行配置,选定一个信道(建议选择比较空闲的信道),定义SSID名称,配置加密。如图:
2. 然后,配置WDS桥接设备:
进入IR615S“网络”菜单栏,WLAN模式也选择默认的AP模式,在WLAN端口进行配置,配置与AP端一致的信道,更改与AP端不同的SSID,配置加密,勾选启用WDS后,出现WDS配置选项,如下图:
桥接成功后,可以通过WDS设备下端主机访问AP设备下端主机了,也可以通过AP设备下端主机访问WDS设备下端主机,都在同一个网段。
此时,WDS设备会获取AP设备分配的一个IP地址,可以通过这个IP地址登陆WDS设备,也可以通过www.router.com登陆。桥接设备LAN口地址会消失,DHCP也会自动关闭,如下图:
收起阅读 »
IR900 WLAN无线中继配置
针对IR900设备WIFI功能无线桥接应用配置文档
1.首先,在具备无线AP环境的网络对IR900进行无线中继配置,进入IR900 web界面,通过“网络”→启用WLAN接口配置,选择AP-Client,定义中继SSID和密钥,填写AP的SSID和密钥,如下图:
2.确认信道的选择,进入SSID扫描状态栏查看,这里无线AP是2信道,所以,上图的配置选择的是信道2
3.查看IR900从无线AP获取的WLAN地址,如下图:
4.然后,进入“网络”→“以太网接口”→“桥接口”,修改桥接口配置,手动填写AP端给IR900分配的ip地址,并将网桥成员dot11radio 2打勾,如下图:
5.进入“服务”→“DHCP服务”→“DHCP服务器”,将桥接口“bridge 1”的DHCP服务器功能关闭,好让无线AP给IR900中继路由器下端连接的设备分配IP地址,如下图:
6.如果要IR900连接无线AP后能正常上网,还需要修改静态路由配置和防火墙NAT配置,路由配置选择桥接口,并将无线AP的网关地址加上,如下图:
7.用手机或其他电脑连接无线中继路由器IR900的SSID,能够正常连接获取无线AP分配的IP地址,即完成了整个IR900的无线中继配置。最后,测试下能否实现IR900下端的设备与无线AP下端设备之间的互通
收起阅读 »
1.首先,在具备无线AP环境的网络对IR900进行无线中继配置,进入IR900 web界面,通过“网络”→启用WLAN接口配置,选择AP-Client,定义中继SSID和密钥,填写AP的SSID和密钥,如下图:
2.确认信道的选择,进入SSID扫描状态栏查看,这里无线AP是2信道,所以,上图的配置选择的是信道2
3.查看IR900从无线AP获取的WLAN地址,如下图:
4.然后,进入“网络”→“以太网接口”→“桥接口”,修改桥接口配置,手动填写AP端给IR900分配的ip地址,并将网桥成员dot11radio 2打勾,如下图:
5.进入“服务”→“DHCP服务”→“DHCP服务器”,将桥接口“bridge 1”的DHCP服务器功能关闭,好让无线AP给IR900中继路由器下端连接的设备分配IP地址,如下图:
6.如果要IR900连接无线AP后能正常上网,还需要修改静态路由配置和防火墙NAT配置,路由配置选择桥接口,并将无线AP的网关地址加上,如下图:
7.用手机或其他电脑连接无线中继路由器IR900的SSID,能够正常连接获取无线AP分配的IP地址,即完成了整个IR900的无线中继配置。最后,测试下能否实现IR900下端的设备与无线AP下端设备之间的互通
收起阅读 »
IR900专网双卡备份方法
第一:打开路由器管理-网络-拨号接口-添加拨号参数集
第二、给对应的卡选择对应的拨号参数:
第三、启用双卡并配置好对应的参数:
四、设置探测服务器:
说明:
ICMP探测参数: 探测时间30s 超时时间3s 探测次数3次 //第1次探测是拨号成功30s,若不成功3s后探测第2次,36s后探测不成功重启拨号模块。
最小连接时间 60s //拨号连接成功的时间小于60秒重新拨号,该参数大于ICMP探测时间
最大拨号次数 3 //若每次拨号连接时间小于60s,拨号次数加1,3次后切备用SIM卡,若拨号连接世界大于60s 最小连接次数清零。
信号阀值 15
信号探测间隔 5秒
信号重新探测次数 3 //当信号低于15时,每隔5s探测一次型号,若3次探测都低于15选择备用SIM卡。
备卡超时时间 3600s //备用卡拨号成功后1小时,再次探测主卡是否可以拨号成功。
收起阅读 »
第二、给对应的卡选择对应的拨号参数:
第三、启用双卡并配置好对应的参数:
四、设置探测服务器:
说明:
ICMP探测参数: 探测时间30s 超时时间3s 探测次数3次 //第1次探测是拨号成功30s,若不成功3s后探测第2次,36s后探测不成功重启拨号模块。
最小连接时间 60s //拨号连接成功的时间小于60秒重新拨号,该参数大于ICMP探测时间
最大拨号次数 3 //若每次拨号连接时间小于60s,拨号次数加1,3次后切备用SIM卡,若拨号连接世界大于60s 最小连接次数清零。
信号阀值 15
信号探测间隔 5秒
信号重新探测次数 3 //当信号低于15时,每隔5s探测一次型号,若3次探测都低于15选择备用SIM卡。
备卡超时时间 3600s //备用卡拨号成功后1小时,再次探测主卡是否可以拨号成功。
收起阅读 »
工业和信息化部发布5G系统在3000-5000MHz频段内的频率使用规划
近日,我国第五代移动通信系统(简称“5G系统”)频率使用规划取得重大进展。为适应和促进5G系统在我国的应用和发展,根据《中华人民共和国无线电频率划分规定》,结合我国频率使用的实际情况,工业和信息化部发布了5G系统在3000-5000MHz频段(中频段)内的频率使用规划,我国成为国际上率先发布5G系统在中频段内频率使用规划的国家。
规划明确了3300-3400MHz(原则上限室内使用)、3400-3600MHz和4800-5000MHz频段作为5G系统的工作频段;规定5G系统使用上述工作频段,不得对同频段或邻频段内依法开展的射电天文业务及其他无线电业务产生有害干扰;同时规定,自发布之日起,不再受理和审批新申请3400-4200MHz和4800-5000MHz频段内的地面固定业务频率、3400-3700MHz频段内的空间无线电台业务频率和3400-3600MHz频段内的空间无线电台测控频率的使用许可。国家无线电管理机构将负责受理和审批上述工作频段内5G系统的频率使用许可,相关许可方案、设备射频技术指标和台站管理规定另行制定和发布。
5G系统是我国实施“网络强国”“制造强国”战略的重要信息基础设施,更是发展新一代信息通信技术的高地。频率资源是研发、部署5G系统最关键的基础资源,根据技术和应用特点及电波传播特性,5G系统需要高(24GHz以上毫米波频段)、中(3000-6000MHz频段)、低(3000MHz以下频段)不同频段的工作频率,以满足覆盖、容量、连接数密度等多项关键性能指标的要求。本次发布的中频段5G系统频率使用规划综合考虑了国际国内各方面因素,统筹兼顾国防、卫星通信、科学研究等部门和行业的用频需求,依法保护现有用户用频权益,能够兼顾系统覆盖和大容量的基本需求,是我国5G系统先期部署的主要频段。
为保证规划制定的科学性、合理性,工业和信息化部结合《中华人民共和国无线电频率划分规定》修订和国际电联2019年世界无线电通信大会相关议题的准备工作,全面梳理了相关频段国内外的规划和使用现状,跟踪研究全球主要国家或组织的5G系统频谱策略。根据频谱需求预测、电磁兼容和共存技术分析结论,经各方协调、科学分析论证、专家咨询、向社会公开征求意见等程序,最终形成了正式的频率使用规划方案,并向社会主动公开发布。
此次工业和信息化部率先发布5G系统在中频段的频率使用规划,将对我国5G系统技术研发、试验和标准等制定以及产业链成熟起到重要先导作用。后续,工业和信息化部将继续为5G系统的应用和发展规划调整出包含高频段(毫米波)、低频段在内的更多的频率资源。
收起阅读 »
规划明确了3300-3400MHz(原则上限室内使用)、3400-3600MHz和4800-5000MHz频段作为5G系统的工作频段;规定5G系统使用上述工作频段,不得对同频段或邻频段内依法开展的射电天文业务及其他无线电业务产生有害干扰;同时规定,自发布之日起,不再受理和审批新申请3400-4200MHz和4800-5000MHz频段内的地面固定业务频率、3400-3700MHz频段内的空间无线电台业务频率和3400-3600MHz频段内的空间无线电台测控频率的使用许可。国家无线电管理机构将负责受理和审批上述工作频段内5G系统的频率使用许可,相关许可方案、设备射频技术指标和台站管理规定另行制定和发布。
5G系统是我国实施“网络强国”“制造强国”战略的重要信息基础设施,更是发展新一代信息通信技术的高地。频率资源是研发、部署5G系统最关键的基础资源,根据技术和应用特点及电波传播特性,5G系统需要高(24GHz以上毫米波频段)、中(3000-6000MHz频段)、低(3000MHz以下频段)不同频段的工作频率,以满足覆盖、容量、连接数密度等多项关键性能指标的要求。本次发布的中频段5G系统频率使用规划综合考虑了国际国内各方面因素,统筹兼顾国防、卫星通信、科学研究等部门和行业的用频需求,依法保护现有用户用频权益,能够兼顾系统覆盖和大容量的基本需求,是我国5G系统先期部署的主要频段。
为保证规划制定的科学性、合理性,工业和信息化部结合《中华人民共和国无线电频率划分规定》修订和国际电联2019年世界无线电通信大会相关议题的准备工作,全面梳理了相关频段国内外的规划和使用现状,跟踪研究全球主要国家或组织的5G系统频谱策略。根据频谱需求预测、电磁兼容和共存技术分析结论,经各方协调、科学分析论证、专家咨询、向社会公开征求意见等程序,最终形成了正式的频率使用规划方案,并向社会主动公开发布。
此次工业和信息化部率先发布5G系统在中频段的频率使用规划,将对我国5G系统技术研发、试验和标准等制定以及产业链成熟起到重要先导作用。后续,工业和信息化部将继续为5G系统的应用和发展规划调整出包含高频段(毫米波)、低频段在内的更多的频率资源。
收起阅读 »
IPSEC VPN结合PPTP VPN实现外出工程师维护模式
一、 网络拓扑图
二、 网络拓扑说明
客户端现场:
客户端现场的PLC通过网线连接IR700的LAN口,并通过其联网,IR700通过与中心cisco建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;
中心端:
中心端使用cisco rv042进行网络接入,并要求固定公网IP(保证网络通讯的可靠性);中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;同时,中心端设定了PPTP SERVER,保证出差工程师电脑能够通过PPTP VPN连接到中心,实现通过中心间接访问每个客户端现场内网的应用。
出差工程师端:
出差工程师由于其接入网络的特殊性,可通过windows自带的vpn客户端功能,通过设定pptp vpn连接到中心端,实现通过中心间接访问每个客户端现场内网的应用。
三、 设备具体设定说明;
1) 中心端Cisco rv042设定
Cisco lan设定信息;此例中LAN:192.168.1.1/24
Cisco ipsec vpn设定;
Cisco ipsec vpn设定信息;
Tunnel name:自定义;
Interface:获得公网IP的接口;
Enable:打钩;
Local security gateway type:因为考虑到真实环境下网络可靠性,要求cisco端具备固定公网IP;所以这里选择的是ip only;
Local security group type:subnet;(子网)
Ip address:cisco内网网段网络号;
Subnet mask: cisco内网子网掩码;
Remote security gateway type:因为3G无线路由器侧是动态IP,所以这里选择“dynamic ip+domain name(FQDN)authentication”
Domain name:自定义字段,但是要和3G侧设定保持一致!
Remote security group type:subnet;(子网)
Ip address:3G侧内网网络号;
Subnet mask:3G侧内网子网掩码;
下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数,中心端和3G端必须要保持一致!
下图是cisco端高级选项设置,请保持为空,如下:
Cisco pptp vpn设定信息;
要设定PPTP SERVER,要先开启,即“enable pptp server”;
由于cisco rv042只能支持5个pptp 客户端连接,所以地址池也只能设定5个地址范围,比如下面例子;(地址池可自定义设定;)
Pptp server需要创建用户名和密码以供客户端验证用,可自定义设定;
2) 客户端现场IR700VZ/WH配置
备注:目前仅使用任意一台路由器配置演示!
拨号端口设定;
登录IR700,修改拨号端口处ICMP探测,以保证无线设备运行中网络的健壮性;
LAN口IP设定;
更改LAN口IP;点击“网络”-“LAN”
配置IPSEC VPN;
点击“VPN设置”-“IPSEC 隧道配置”-“新增”
基本参数: 设置IPSec隧道的基本参数
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN服务端IP/域名,例如:218.240.44.196
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式。
IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:10.5.12.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.0.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.0.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。
对端标识:根据选择的标识类型填入相应标识,此处我们选择FQDN,以Cisco的主机名为标识@Router
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接检测参数: 设置IPSec隧道的连接检测参数
DPD时间间隔:DPD检测时间间隔。建议不填。
DPD超时时间:DPD检测超时时间。建议不填。
ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。
ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。
ICMP检测时间间隔:建议60s。
ICMP检测超时时间:建议30s。
ICMP检测最大重试次数:建议5次。
配置完成后点击“保存”选项。
3) 移动(出差)电脑端设置:
配置PPTP
点击“开始”—“控制面板”-“网上邻居”,双击打开;
创建一个新连接,点击“下一步”
下面公司名称自定义;下图文字是举例。
下面主机地址请填真实公网ip信息,下图为举例
输入cisco端设定pptp server时创建的用户名和密码,点击“属性”-“安全”-“高级(自定义配置)”-“设置”,数据加密选择“可选加密”;最后点击确定;
在属性对话框中选择“网络”,VPN类型选择“PPTP VPN”,点击确定;
备注:
下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定,但是下图IP是举例!
注意:下图中“IP设置”中“在远程网络上使用默认网关”不要打钩!
在windows上增加一条到所有3G无线路由器现场的路由;下图是具体配置
Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1
备注:
(192.168.1.1是cisco ip)
该命令可制作一个.bat批处理文件给到客户,操作步骤:
1. 当客户连接好PPTP后,
2. 双击.bat批处理就可成功添加了路由;
“addroute.bat”文件使用方法:
右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容
四、 测试;
收起阅读 »
二、 网络拓扑说明
客户端现场:
客户端现场的PLC通过网线连接IR700的LAN口,并通过其联网,IR700通过与中心cisco建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;
中心端:
中心端使用cisco rv042进行网络接入,并要求固定公网IP(保证网络通讯的可靠性);中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;同时,中心端设定了PPTP SERVER,保证出差工程师电脑能够通过PPTP VPN连接到中心,实现通过中心间接访问每个客户端现场内网的应用。
出差工程师端:
出差工程师由于其接入网络的特殊性,可通过windows自带的vpn客户端功能,通过设定pptp vpn连接到中心端,实现通过中心间接访问每个客户端现场内网的应用。
三、 设备具体设定说明;
1) 中心端Cisco rv042设定
Cisco lan设定信息;此例中LAN:192.168.1.1/24
Cisco ipsec vpn设定;
Cisco ipsec vpn设定信息;
Tunnel name:自定义;
Interface:获得公网IP的接口;
Enable:打钩;
Local security gateway type:因为考虑到真实环境下网络可靠性,要求cisco端具备固定公网IP;所以这里选择的是ip only;
Local security group type:subnet;(子网)
Ip address:cisco内网网段网络号;
Subnet mask: cisco内网子网掩码;
Remote security gateway type:因为3G无线路由器侧是动态IP,所以这里选择“dynamic ip+domain name(FQDN)authentication”
Domain name:自定义字段,但是要和3G侧设定保持一致!
Remote security group type:subnet;(子网)
Ip address:3G侧内网网络号;
Subnet mask:3G侧内网子网掩码;
下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数,中心端和3G端必须要保持一致!
下图是cisco端高级选项设置,请保持为空,如下:
Cisco pptp vpn设定信息;
要设定PPTP SERVER,要先开启,即“enable pptp server”;
由于cisco rv042只能支持5个pptp 客户端连接,所以地址池也只能设定5个地址范围,比如下面例子;(地址池可自定义设定;)
Pptp server需要创建用户名和密码以供客户端验证用,可自定义设定;
2) 客户端现场IR700VZ/WH配置
备注:目前仅使用任意一台路由器配置演示!
拨号端口设定;
登录IR700,修改拨号端口处ICMP探测,以保证无线设备运行中网络的健壮性;
LAN口IP设定;
更改LAN口IP;点击“网络”-“LAN”
配置IPSEC VPN;
点击“VPN设置”-“IPSEC 隧道配置”-“新增”
基本参数: 设置IPSec隧道的基本参数
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN服务端IP/域名,例如:218.240.44.196
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式。
IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:10.5.12.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.0.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.0.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。
对端标识:根据选择的标识类型填入相应标识,此处我们选择FQDN,以Cisco的主机名为标识@Router
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接检测参数: 设置IPSec隧道的连接检测参数
DPD时间间隔:DPD检测时间间隔。建议不填。
DPD超时时间:DPD检测超时时间。建议不填。
ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。
ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。
ICMP检测时间间隔:建议60s。
ICMP检测超时时间:建议30s。
ICMP检测最大重试次数:建议5次。
配置完成后点击“保存”选项。
3) 移动(出差)电脑端设置:
配置PPTP
点击“开始”—“控制面板”-“网上邻居”,双击打开;
创建一个新连接,点击“下一步”
下面公司名称自定义;下图文字是举例。
下面主机地址请填真实公网ip信息,下图为举例
输入cisco端设定pptp server时创建的用户名和密码,点击“属性”-“安全”-“高级(自定义配置)”-“设置”,数据加密选择“可选加密”;最后点击确定;
在属性对话框中选择“网络”,VPN类型选择“PPTP VPN”,点击确定;
备注:
下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定,但是下图IP是举例!
注意:下图中“IP设置”中“在远程网络上使用默认网关”不要打钩!
在windows上增加一条到所有3G无线路由器现场的路由;下图是具体配置
Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1
备注:
(192.168.1.1是cisco ip)
该命令可制作一个.bat批处理文件给到客户,操作步骤:
1. 当客户连接好PPTP后,
2. 双击.bat批处理就可成功添加了路由;
“addroute.bat”文件使用方法:
右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容
四、 测试;
收起阅读 »
动态多点VPN技术基础知识
引言
动态多点VPN(Dynamic Multipoint VPN)是mGRE、NHRP(Next Hop Resolution Protocol)、IPSec结合产生的一种技术,简写为DMVPN。它为具有点多面广分支机构特点的企业和公司,提供了一种以 INTERNET为基础的低成本安全互联方案。其骨干网采用星形拓扑结构(Hub and Spoke)。结构示意图见图1,其中HUB为中心,SPOKE为分支。
图1:动态多点VPN结构示意
一、mGRE、IPSec、NHRP 的概念及相互关系
GRE是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议,DMVPN中是将IP包封装进另一个IP包并加上新的IP头。它有两种形式:Point-to-point(GRE),Point-to-multipoint(mGRE)。
IPSec是一种安全隧道技术,但不支持组播和广播的加密。在DMVPN中,要用到动态路由协议,动态路由协议用组播和广播宣告路由信息,所以不能直接使 用IPSec加密。GRE隧道支持组播和广播,所以DMVPN中采用GRE隧道,但是GRE隧道的数据是没有加密的,在因特网上传送不安全。因为GRE隧 道的数据包是单播的,所以GRE隧道的数据包采用IPSec加密,即GRE Over IPSec。GRE隧道的配置已经包括了GRE隧道对端的地址,这个地址同时也是IPSec隧道的对端地址,通过将GRE隧道与IPSec绑定,GRE隧道一旦建立,立刻触发IPSec加密。
mGRE是将GRE点对点隧道扩展成一点与多点建立隧道。一个mGRE接口包括一个IP地址、一个隧道源、一个隧道密钥,与GRE隧道不同,它没有隧道目 的。因为mGRE隧道不定义隧道目的地,所以它依赖NHRP,NHRP告诉mGRE向哪里发送数据包。NHRP协议的作用是将隧道的IP地址映射到 NBMA地址,可以是静态映射和动态映射。
mGRE怎样使用NHRP呢?当转发一个IP数据包时,总是沿着下一跳地址将数据包传给mGRE接口,下一跳地址就是对端的隧道IP地址。mGRE在 NHRP表中查找下一跳地址映射的对端NBMA地址。然后mGRE将数据包封装为另一个IP包的净负荷,新的IP包目的地址就是对端的NBMA地址。组播 包的地址由NHRP配置中指定。mGRE/NHRP路由通道示意如下页图2。
图2:mGRE/NHRP路由通道示意
图2可以这样理解,在192.168.0.0/24网络有一个IP包需要发送到192.168.1.0/24 网络中, 其源地址为192.168.0.1,目的地址为192.168.1.1。通过查路由表,到192.168.1.0/24,走隧道0,下一跳是隧道对端IP 地址10.0.0.2。通过查NHRP表,下一跳10.0.0.2对应的目的NBMA地址是172.16.0.2。再对IP包做GRE封装,加上新IP 头,源地址为172.16.0.1,目的地址为172.16.0.2,然后IP包就能发向对端。
二、NHRP 地址映射表的生成过程
NHRP地址映射表生成有三种方法:
手动配置静态映射、中心(Hub)通过登记请求(Registration Request)学习、分支(Spoke)用解析请求(Resolution Request)学习。NHRP映射表的初始化。开始时,中心的映射表是空表,分支的映射表有一个静态配置的映射项,即中心的隧道IP地址与其NBMA地 址的映射,例如IP NHRP MAP10.0.0.1、172.17.0.1,还配置有一个组播映射项,例如IP NHRP MAPmulticast 172.17.0.1。分支必须向中心登记,中心的NHRP表实际上由分支在控制,为了让分支能向中心登记,中心必须宣告自己为下一跳服务器(Next- Hop-Server,NHS),分支发送登记请求给中心,其中包括分支的隧道IP地址和NBMA地址,以及保存时长。中心在NHRP表中对应生成一个表 项,表项只在保存时长内有效。然后中心向分支回送登记确认信息。
NHRP登记请求过程示意见图3。
图3:NHRP登记请求过程示意
NHRP登记确认过程示意如图4。
图4:NHRP登记确认过程示意
NHRP注册功能至少解决了三个问题:
① 由于分支的NBMA地址是通过ISP的DHCP自动获取的,每次上线时的IP地址可能不同,所以中心通过注册过程可以自动学习该地址;
② 中心不必针对所有分支分别配置GRE或IPSec信息,大大简化中心的配置;所有相关信息可通过NHRP自动获取;
③ 当DMVPN网络扩展时,无须改动中心和其它分支的配置。新加入的分支将自动注册到中心,通过动态路由协议,所有其它分支可以学到这条新的路由,新加入的分支也可以学到到达其它所有分支的路由信息。
NHRP的作用可以概括为两点,一是地址的映射和解析,二是转发数据。通过静态配置、NHRP登记、NHRP解析实现地址映射,由路由表获得到目的IP地 址的隧道下一跳IP地址,通过解析隧道下一跳IP地址与NBMA地址的映射,获得隧道下一跳IP地址对应的NBMA地址,实现数据转发。
三、分支之间的动态隧道
在动态多点VPN中,分支与分支之间除了经过中心转发数据外,分支还可以向另一分支直接发送数据。分支到中心的隧道一旦建立便持续存在,但是各分支之间并 不配置持续的隧道。当一个分支需要向另一个分支发送数据包时,两个分支之间通过mGRE端口动态建立IPSec隧道,进行数据传输。
两个分支间路由和 NHRP过程见图5。
图5:两个分支间路由和NHRP过程
为了生成分支到分支的隧道,分支必须学到目的网络路由、下一跳必须是远端分支的隧道IP地址、分支必须学到了下一跳的NBMA地址。
分支采用动态路由协议学习到目的网络的路由。路由协议只在中心和分支之间用到,为了使分支与分支间能路由,首先分支要向中心宣告自己的私网路由信息,再由 中心向各分支宣告,中心对分支宣告的私网路由必须保留下一跳的私网地址,看起来就象是分支自己宣告的一样。分支用NHRP解析请求学习到下一跳分支的 NBMA地址。分支的NHRP解析与NHRP登记过程是有差别的,登记是分支在中心上登记自己,解析是分支通过中心寻址其他分支。分支首先向中心发送解析 请求,请求下一跳隧道IP地址映射的NBMA地址,中心解析出映射的NBMA地址后回复给请求分支,回复中还包括解析结果在中心的有效时长。然后,分支生 成一个NHRP表项,在没插入NHRP表之前,IPSec隧道就开始初始化,在隧道建立后,NHRP表项才被插入表中并能使用。一旦对应的NHRP表项超 时,分支与分支间隧道随之消失。
建立动态分支隧道的过程图示见图6。
图6:建立动态分支隧道的过程
四、结语
分析DMVPN的特点,在应用上它具有如下优势:分支之间可动态建立隧道传输数据,当两个分支在同一城市,而中心在另一城市时,分支之间直接发送数据可以 减小延时,降低对中心路由器资源消耗,并且更经济;增加分支不用改变中心和其他分支的配置,维护工作量成倍降低;分支节点可使用动态IP地址,节约了公网 IP地址资源;动态隧道的特点使它的网络规模可以很大。它的这些优势使它特别适合于分支机构点多面广的企业和公司做安全互联。
五、实验
HUB 配置
interface FastEthernet0/0
ip address 203.86.63.237 255.255.255.0
interface Loopback10
ip address 192.168.0.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.0.0
ip route 0.0.0.0 0.0.0.0 203.86.63.233
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key nozuonodie address 0.0.0.0 0.0.0.0
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec profile security-sopke
set transform-set ESP_3DES_MD5
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel mode gre multipoint //配置隧道为多点GRE
tunnel key 123456123456
ip mtu 1400 //调整MTU防止IPSec分片
tunnel protection ipsec profile security-sopke //对mGRE数据加密
ip nhrp authentication inhand //激活NHRP认证,密码inhand
ip nhrp map multicast dynamic //动态接收NHRP的组播映射
ip nhrp network-id 1 //激活HNRP
!
SPOKE1 配置
interface FastEthernet0/0
ip address dhcp
interface Loopback10
ip address 192.168.1.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.1.0
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key nozuonodie address 203.86.63.237
!
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile security-sopke
set transform-set ESP_3DES_MD5
!
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 123456
ip mtu 1400 //调整MTU防止IPSec分片
tunnel protection ipsec profile security-sopke //对mGRE数据加密
ip nhrp authentication inhand //激活NHRP认证,密码inhand
ip nhrp map 10.0.0.1 203.86.63.237
//手动NHRP映射,映射中心站点的虚拟隧道IP动中心站点公网IP。有了这个映射,分支站点才能访问中心站点
ip nhrp map multicast 203.86.63.237
//映射组播到中心站点公网IP。mGRE是NBMA网,分支站点要和中心站点建立动态路由协议的邻居关系,必须在每个分支节点将组播映射到中心站点公网IP,这样才能把分支节点组播送到中心站点。分支站点之间不需要映射,所以分支只与中心建立动态路由邻居关系。
ip nhrp network-id 1 //激活HNRP
ip nhrp nhs 10.0.0.1 //NHS(Next Hop Server)就是NHRP服务器,定义了中心站点隧道接口虚拟地址。
!
IR900 作为spoke的配置
#system config
language Chinese
hostname Router
ip domain-name router.com.cn
clock timezone UTC-8
!
#log config
!
#user config
username adm privilege 15 password $MD5$zcYwH1JL7c18Q
!
enable password $MD5$2.UzICXN6rKjE
!
#aaa config
!
#cron config
!
#alarm config
!
#ipsec config
crypto keyring abc
pre-shared-key address 10.0.0.1 key nozuonodei
!
crypto isakmp nat keepalive 60
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
crypto isakmp profile abc
self-identity address
match identity address
keyring abc
policy 1
!
crypto ipsec transform-set abc esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile abc
set isakmp-profile abc
set transform-set abc
!
!
#loopback config
interface loopback 1
ip address 127.0.0.1 255.0.0.0
!
!
#ethernet interface config
interface fastethernet 0/1
!
!
#Ethernet sub interface config
!
#switch virtual interface config
interface vlan 1
ip address 192.168.2.1 255.255.255.0
!
!
!
#ethernet config
interface fastethernet 0/1
!
interface fastethernet 1/1
!
interface fastethernet 1/2
!
interface fastethernet 1/3
!
interface fastethernet 1/4
!
!
#cellular config
cellular 1 gsm profile 1 3gnet *99***1# auto gprs gprs
cellular 1 dial interval 10
cellular 1 signal interval 120
cellular 1 network auto
!
interface cellular 1
dialer profile 1
dialer timeout 120
dialer activate auto
ip address negotiated
ip mru 1500
ip mtu 1500
ppp ipcp dns request
ppp keepalive 55 5
!
!
#dialer config
!
#l2tp config
#openvpn config
!
#web config
ip http server port 80
!
#telnet server config
ip telnet server port 23
!
#dns config
ip name-server 202.106.0.20 8.8.8.8
!
#gre config
interface tunnel 1
ip address 10.0.0.11 255.255.255.0
ip nhrp map 10.0.0.1 203.86.63.236
ip nhrp nhs 10.0.0.1
ip nhrp authentication inhand
ip nhrp holdtime 3600
ip nhrp registration
tunnel source cellular 1
tunnel destination 203.86.63.236
tunnel key 123456
tunnel protection ipsec profile abc
!
!
#static route config
ip route 0.0.0.0 0.0.0.0 cellular 1
!
#rip config
router rip
network 192.168.77.0 255.255.255.0
network 192.168.2.0 255.255.255.0
access-list 100 permit ip any any
!
ip snat inside list 100 interface cellular 1
收起阅读 »
动态多点VPN(Dynamic Multipoint VPN)是mGRE、NHRP(Next Hop Resolution Protocol)、IPSec结合产生的一种技术,简写为DMVPN。它为具有点多面广分支机构特点的企业和公司,提供了一种以 INTERNET为基础的低成本安全互联方案。其骨干网采用星形拓扑结构(Hub and Spoke)。结构示意图见图1,其中HUB为中心,SPOKE为分支。
图1:动态多点VPN结构示意
一、mGRE、IPSec、NHRP 的概念及相互关系
GRE是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议,DMVPN中是将IP包封装进另一个IP包并加上新的IP头。它有两种形式:Point-to-point(GRE),Point-to-multipoint(mGRE)。
IPSec是一种安全隧道技术,但不支持组播和广播的加密。在DMVPN中,要用到动态路由协议,动态路由协议用组播和广播宣告路由信息,所以不能直接使 用IPSec加密。GRE隧道支持组播和广播,所以DMVPN中采用GRE隧道,但是GRE隧道的数据是没有加密的,在因特网上传送不安全。因为GRE隧 道的数据包是单播的,所以GRE隧道的数据包采用IPSec加密,即GRE Over IPSec。GRE隧道的配置已经包括了GRE隧道对端的地址,这个地址同时也是IPSec隧道的对端地址,通过将GRE隧道与IPSec绑定,GRE隧道一旦建立,立刻触发IPSec加密。
mGRE是将GRE点对点隧道扩展成一点与多点建立隧道。一个mGRE接口包括一个IP地址、一个隧道源、一个隧道密钥,与GRE隧道不同,它没有隧道目 的。因为mGRE隧道不定义隧道目的地,所以它依赖NHRP,NHRP告诉mGRE向哪里发送数据包。NHRP协议的作用是将隧道的IP地址映射到 NBMA地址,可以是静态映射和动态映射。
mGRE怎样使用NHRP呢?当转发一个IP数据包时,总是沿着下一跳地址将数据包传给mGRE接口,下一跳地址就是对端的隧道IP地址。mGRE在 NHRP表中查找下一跳地址映射的对端NBMA地址。然后mGRE将数据包封装为另一个IP包的净负荷,新的IP包目的地址就是对端的NBMA地址。组播 包的地址由NHRP配置中指定。mGRE/NHRP路由通道示意如下页图2。
图2:mGRE/NHRP路由通道示意
图2可以这样理解,在192.168.0.0/24网络有一个IP包需要发送到192.168.1.0/24 网络中, 其源地址为192.168.0.1,目的地址为192.168.1.1。通过查路由表,到192.168.1.0/24,走隧道0,下一跳是隧道对端IP 地址10.0.0.2。通过查NHRP表,下一跳10.0.0.2对应的目的NBMA地址是172.16.0.2。再对IP包做GRE封装,加上新IP 头,源地址为172.16.0.1,目的地址为172.16.0.2,然后IP包就能发向对端。
二、NHRP 地址映射表的生成过程
NHRP地址映射表生成有三种方法:
手动配置静态映射、中心(Hub)通过登记请求(Registration Request)学习、分支(Spoke)用解析请求(Resolution Request)学习。NHRP映射表的初始化。开始时,中心的映射表是空表,分支的映射表有一个静态配置的映射项,即中心的隧道IP地址与其NBMA地 址的映射,例如IP NHRP MAP10.0.0.1、172.17.0.1,还配置有一个组播映射项,例如IP NHRP MAPmulticast 172.17.0.1。分支必须向中心登记,中心的NHRP表实际上由分支在控制,为了让分支能向中心登记,中心必须宣告自己为下一跳服务器(Next- Hop-Server,NHS),分支发送登记请求给中心,其中包括分支的隧道IP地址和NBMA地址,以及保存时长。中心在NHRP表中对应生成一个表 项,表项只在保存时长内有效。然后中心向分支回送登记确认信息。
NHRP登记请求过程示意见图3。
图3:NHRP登记请求过程示意
NHRP登记确认过程示意如图4。
图4:NHRP登记确认过程示意
NHRP注册功能至少解决了三个问题:
① 由于分支的NBMA地址是通过ISP的DHCP自动获取的,每次上线时的IP地址可能不同,所以中心通过注册过程可以自动学习该地址;
② 中心不必针对所有分支分别配置GRE或IPSec信息,大大简化中心的配置;所有相关信息可通过NHRP自动获取;
③ 当DMVPN网络扩展时,无须改动中心和其它分支的配置。新加入的分支将自动注册到中心,通过动态路由协议,所有其它分支可以学到这条新的路由,新加入的分支也可以学到到达其它所有分支的路由信息。
NHRP的作用可以概括为两点,一是地址的映射和解析,二是转发数据。通过静态配置、NHRP登记、NHRP解析实现地址映射,由路由表获得到目的IP地 址的隧道下一跳IP地址,通过解析隧道下一跳IP地址与NBMA地址的映射,获得隧道下一跳IP地址对应的NBMA地址,实现数据转发。
三、分支之间的动态隧道
在动态多点VPN中,分支与分支之间除了经过中心转发数据外,分支还可以向另一分支直接发送数据。分支到中心的隧道一旦建立便持续存在,但是各分支之间并 不配置持续的隧道。当一个分支需要向另一个分支发送数据包时,两个分支之间通过mGRE端口动态建立IPSec隧道,进行数据传输。
两个分支间路由和 NHRP过程见图5。
图5:两个分支间路由和NHRP过程
为了生成分支到分支的隧道,分支必须学到目的网络路由、下一跳必须是远端分支的隧道IP地址、分支必须学到了下一跳的NBMA地址。
分支采用动态路由协议学习到目的网络的路由。路由协议只在中心和分支之间用到,为了使分支与分支间能路由,首先分支要向中心宣告自己的私网路由信息,再由 中心向各分支宣告,中心对分支宣告的私网路由必须保留下一跳的私网地址,看起来就象是分支自己宣告的一样。分支用NHRP解析请求学习到下一跳分支的 NBMA地址。分支的NHRP解析与NHRP登记过程是有差别的,登记是分支在中心上登记自己,解析是分支通过中心寻址其他分支。分支首先向中心发送解析 请求,请求下一跳隧道IP地址映射的NBMA地址,中心解析出映射的NBMA地址后回复给请求分支,回复中还包括解析结果在中心的有效时长。然后,分支生 成一个NHRP表项,在没插入NHRP表之前,IPSec隧道就开始初始化,在隧道建立后,NHRP表项才被插入表中并能使用。一旦对应的NHRP表项超 时,分支与分支间隧道随之消失。
建立动态分支隧道的过程图示见图6。
图6:建立动态分支隧道的过程
四、结语
分析DMVPN的特点,在应用上它具有如下优势:分支之间可动态建立隧道传输数据,当两个分支在同一城市,而中心在另一城市时,分支之间直接发送数据可以 减小延时,降低对中心路由器资源消耗,并且更经济;增加分支不用改变中心和其他分支的配置,维护工作量成倍降低;分支节点可使用动态IP地址,节约了公网 IP地址资源;动态隧道的特点使它的网络规模可以很大。它的这些优势使它特别适合于分支机构点多面广的企业和公司做安全互联。
五、实验
HUB 配置
interface FastEthernet0/0
ip address 203.86.63.237 255.255.255.0
interface Loopback10
ip address 192.168.0.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.0.0
ip route 0.0.0.0 0.0.0.0 203.86.63.233
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key nozuonodie address 0.0.0.0 0.0.0.0
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec profile security-sopke
set transform-set ESP_3DES_MD5
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel mode gre multipoint //配置隧道为多点GRE
tunnel key 123456123456
ip mtu 1400 //调整MTU防止IPSec分片
tunnel protection ipsec profile security-sopke //对mGRE数据加密
ip nhrp authentication inhand //激活NHRP认证,密码inhand
ip nhrp map multicast dynamic //动态接收NHRP的组播映射
ip nhrp network-id 1 //激活HNRP
!
SPOKE1 配置
interface FastEthernet0/0
ip address dhcp
interface Loopback10
ip address 192.168.1.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.1.0
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key nozuonodie address 203.86.63.237
!
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile security-sopke
set transform-set ESP_3DES_MD5
!
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 123456
ip mtu 1400 //调整MTU防止IPSec分片
tunnel protection ipsec profile security-sopke //对mGRE数据加密
ip nhrp authentication inhand //激活NHRP认证,密码inhand
ip nhrp map 10.0.0.1 203.86.63.237
//手动NHRP映射,映射中心站点的虚拟隧道IP动中心站点公网IP。有了这个映射,分支站点才能访问中心站点
ip nhrp map multicast 203.86.63.237
//映射组播到中心站点公网IP。mGRE是NBMA网,分支站点要和中心站点建立动态路由协议的邻居关系,必须在每个分支节点将组播映射到中心站点公网IP,这样才能把分支节点组播送到中心站点。分支站点之间不需要映射,所以分支只与中心建立动态路由邻居关系。
ip nhrp network-id 1 //激活HNRP
ip nhrp nhs 10.0.0.1 //NHS(Next Hop Server)就是NHRP服务器,定义了中心站点隧道接口虚拟地址。
!
IR900 作为spoke的配置
#system config
language Chinese
hostname Router
ip domain-name router.com.cn
clock timezone UTC-8
!
#log config
!
#user config
username adm privilege 15 password $MD5$zcYwH1JL7c18Q
!
enable password $MD5$2.UzICXN6rKjE
!
#aaa config
!
#cron config
!
#alarm config
!
#ipsec config
crypto keyring abc
pre-shared-key address 10.0.0.1 key nozuonodei
!
crypto isakmp nat keepalive 60
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
crypto isakmp profile abc
self-identity address
match identity address
keyring abc
policy 1
!
crypto ipsec transform-set abc esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile abc
set isakmp-profile abc
set transform-set abc
!
!
#loopback config
interface loopback 1
ip address 127.0.0.1 255.0.0.0
!
!
#ethernet interface config
interface fastethernet 0/1
!
!
#Ethernet sub interface config
!
#switch virtual interface config
interface vlan 1
ip address 192.168.2.1 255.255.255.0
!
!
!
#ethernet config
interface fastethernet 0/1
!
interface fastethernet 1/1
!
interface fastethernet 1/2
!
interface fastethernet 1/3
!
interface fastethernet 1/4
!
!
#cellular config
cellular 1 gsm profile 1 3gnet *99***1# auto gprs gprs
cellular 1 dial interval 10
cellular 1 signal interval 120
cellular 1 network auto
!
interface cellular 1
dialer profile 1
dialer timeout 120
dialer activate auto
ip address negotiated
ip mru 1500
ip mtu 1500
ppp ipcp dns request
ppp keepalive 55 5
!
!
#dialer config
!
#l2tp config
#openvpn config
!
#web config
ip http server port 80
!
#telnet server config
ip telnet server port 23
!
#dns config
ip name-server 202.106.0.20 8.8.8.8
!
#gre config
interface tunnel 1
ip address 10.0.0.11 255.255.255.0
ip nhrp map 10.0.0.1 203.86.63.236
ip nhrp nhs 10.0.0.1
ip nhrp authentication inhand
ip nhrp holdtime 3600
ip nhrp registration
tunnel source cellular 1
tunnel destination 203.86.63.236
tunnel key 123456
tunnel protection ipsec profile abc
!
!
#static route config
ip route 0.0.0.0 0.0.0.0 cellular 1
!
#rip config
router rip
network 192.168.77.0 255.255.255.0
network 192.168.2.0 255.255.255.0
access-list 100 permit ip any any
!
ip snat inside list 100 interface cellular 1
收起阅读 »
VPN配置WIN7_PPTP(L2TP)客户端
VPN—如何配置Win7 PPTP(L2TP)客户端?
1)、点击任务栏“开始”→“控制面板”→“网络和Internet”→ “网络和共享中心”,点击更改网络设置中的“设置新的连接或网络”图标。
2)、“选择一个连接选项”选择“连接到工作区”。
3)、“您想如何连接?”选择“使用我的Internet连接(VPN)”。
4)、“连接之前…”,选择“我稍后决定”。
5)、“键入要连接的Internet地址”中输入服务器的IP地址或者域名。
6)、 “键入您的用户名和密码“中可以选择不填或者填入VPN拨号所使用的用户名和密码。
7)、点击创建,一个新的VPN连接就建立成功了。
8)、返回网络和共享中心,选择更改适配器设置,找到刚建立的VPN连接拨号客户端,输入用户名和密码,点击“连接”按钮就额可以进行VPN拨号。
收起阅读 »
1)、点击任务栏“开始”→“控制面板”→“网络和Internet”→ “网络和共享中心”,点击更改网络设置中的“设置新的连接或网络”图标。
2)、“选择一个连接选项”选择“连接到工作区”。
3)、“您想如何连接?”选择“使用我的Internet连接(VPN)”。
4)、“连接之前…”,选择“我稍后决定”。
5)、“键入要连接的Internet地址”中输入服务器的IP地址或者域名。
6)、 “键入您的用户名和密码“中可以选择不填或者填入VPN拨号所使用的用户名和密码。
7)、点击创建,一个新的VPN连接就建立成功了。
8)、返回网络和共享中心,选择更改适配器设置,找到刚建立的VPN连接拨号客户端,输入用户名和密码,点击“连接”按钮就额可以进行VPN拨号。
收起阅读 »
PPTP(L2TP)登陆IPSecVPN网关
设置PC上的PPTP VPN
XP系统连接方式
打开网络连接
点击“创建一个新的连接”
点击下一步
选择“连接到我的工作场所的网络”
选择虚拟专用网络连接
点击下一步: 公司名为自定义
点击下一步
点击下一步
设置主机地址:203.86.63.237
点击下一步
点击完成
点击属性
选择安全
按照如下参数配置
点击确定
弹出
点击是
点击“网络”
VPN类型选择PPTP,若连接方式为L2TP则改为L2TP/IPSec。
点击确定
用户名luzq 密码luzq123
点击连接
连接成功之后
Ping一下现场数据采集设备IP:是可以ping通的,此时可以直接访问。(下图IP只是例子)
Windows 7 配置方式
Internet 地址为PPTP或L2TP服务器的公网IP地址。
若服务器的连接方式为L2TP则将VPN类型:
若用户名luzp 密码 luzp123 无法使用可以使用 用户名sunll 密码 sunll进行连接。
收起阅读 »
XP系统连接方式
打开网络连接
点击“创建一个新的连接”
点击下一步
选择“连接到我的工作场所的网络”
选择虚拟专用网络连接
点击下一步: 公司名为自定义
点击下一步
点击下一步
设置主机地址:203.86.63.237
点击下一步
点击完成
点击属性
选择安全
按照如下参数配置
点击确定
弹出
点击是
点击“网络”
VPN类型选择PPTP,若连接方式为L2TP则改为L2TP/IPSec。
点击确定
用户名luzq 密码luzq123
点击连接
连接成功之后
Ping一下现场数据采集设备IP:是可以ping通的,此时可以直接访问。(下图IP只是例子)
Windows 7 配置方式
Internet 地址为PPTP或L2TP服务器的公网IP地址。
若服务器的连接方式为L2TP则将VPN类型:
若用户名luzp 密码 luzp123 无法使用可以使用 用户名sunll 密码 sunll进行连接。
收起阅读 »
IR_L2TP Server-Client
Server 配置
LAN 接口配置
VPN设置-L2TP服务器
L2TP服务器配置
1、创建一个套账号和密码;
2、本机ip 借用LAN接口IP 192.168.2.1;
3、客户端起始IP地址-结束IP地址 192.168.1.2 ~ 192.168.1.10 ,L2TP地址池配置;
4、添加静态路由: 客户端IP 192.168.1.9 ,静态路由 192.168.10.0/24 , 客户端L2TP拨号IP地址为192.168.1.9,客户端路由器LAN地址为192.168.10.0/24 。
若L2TP客户端拨号成功后,在L2TP Server 路由器的路由状态中会出现L2TP客户端所获的IP地址,并且在L2TP 服务器配置中静态路由也会出现在路由条目中。
Client 配置
LAN 接口配置
L2TP客户端配置
1、L2TP服务器 ,L2TP 服务器的WAN端口IP;
2、用户名、密码填写在服务器已经定义的内容;
3、本地IP地址 192.168.1.9 ,L2TP 服务器地址池中的一个IP地址;
4、远端子网 : 192.168.2.1/ 255.255.255.0 , L2TP 服务器LAN 端口网段。
L2TP客户端连接成功后的状态
L2TP 客户端路由状态
L2TP 客户端下联PC ping L2TP服务器LAN端口。
收起阅读 »
IP814-l2TP-Client
IP814 L2TP 配置
计算机本地连接设置为“自动获取IP”
使用浏览器打开http://192.168.2.1:8080/
用户名 adm
密码 123456
查看无线网络拨号
建立L2TP VPN
Server
Cisco Router 参考配置:
vpdn-group l2tp
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication //不使用隧道认证
username sunzd password 0 sunzd
interface FastEthernet0/0 // 公网网口
ip address 203.86.63.237 255.255.255.248
interface FastEthernet0/1 //内网网口
ip address 172.16.1.1 255.255.255.0
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool l2tp // L2TP Client 调用的地址池
ppp authentication chap // 认证方式
ip route 192.168.2.0 255.255.255.0 172.16.1.191 // 去往3G路由器LAN接口路由
ip local pool l2tp 172.16.1.190 172.16.1.195 // L2TP Client 地址池
H3C MSR 参考配置
password simple sunzd service-type ppp sunzd //为分支创建用户 local-user pc
l2tp-group 1 //L2TP组
undo tunnel authentication //不进行隧道验证
allow l2tp virtual-template 0
interface Virtual-Template0 //用户进行ppp的chap认证
ppp authentication-mode chap
remote address pool 1
ip address 172.16.1.191 255.255.255.248
interface GigabitEthernet0/0 port link-mode route
ip address 203.86.63.238 255.255.255.248
ip route-static 192.168.2.0 255.255.255.0 172.16.1.191
Client 配置
L2TP Class
名称 1
认证 否
Pseudowire Class
名称1
L2tp class 1
源接口 cellular
L2TP隧道
启用
标识 1
L2TP服务 203.86.63.237
Pseudowire Class 1
认证方式 chap
用户名 sunzd
密码 XXXX
本地IP 172.16.1.191 // 此IP为Server 路由器L2TP 地址池中的一个IP
添加静态路由
网络-路由-静态路由
172.16.1.0 255.255.255.0 virtual-ppp 1 //去往Server LAN 网段路由从接口virtual-ppp 1出去。
点击新增-应用
WIFI 接口配置
网络-强制网络门户
启用 (不勾选)
WIFI 网络密码设置
SSID为 无线WIFI的的名称,就是计算机无线网卡扫描的热点的名称。
加密秘钥方式可以根据需要设定。
收起阅读 »
计算机本地连接设置为“自动获取IP”
使用浏览器打开http://192.168.2.1:8080/
用户名 adm
密码 123456
查看无线网络拨号
建立L2TP VPN
Server
Cisco Router 参考配置:
vpdn-group l2tp
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication //不使用隧道认证
username sunzd password 0 sunzd
interface FastEthernet0/0 // 公网网口
ip address 203.86.63.237 255.255.255.248
interface FastEthernet0/1 //内网网口
ip address 172.16.1.1 255.255.255.0
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool l2tp // L2TP Client 调用的地址池
ppp authentication chap // 认证方式
ip route 192.168.2.0 255.255.255.0 172.16.1.191 // 去往3G路由器LAN接口路由
ip local pool l2tp 172.16.1.190 172.16.1.195 // L2TP Client 地址池
H3C MSR 参考配置
password simple sunzd service-type ppp sunzd //为分支创建用户 local-user pc
l2tp-group 1 //L2TP组
undo tunnel authentication //不进行隧道验证
allow l2tp virtual-template 0
interface Virtual-Template0 //用户进行ppp的chap认证
ppp authentication-mode chap
remote address pool 1
ip address 172.16.1.191 255.255.255.248
interface GigabitEthernet0/0 port link-mode route
ip address 203.86.63.238 255.255.255.248
ip route-static 192.168.2.0 255.255.255.0 172.16.1.191
Client 配置
L2TP Class
名称 1
认证 否
Pseudowire Class
名称1
L2tp class 1
源接口 cellular
L2TP隧道
启用
标识 1
L2TP服务 203.86.63.237
Pseudowire Class 1
认证方式 chap
用户名 sunzd
密码 XXXX
本地IP 172.16.1.191 // 此IP为Server 路由器L2TP 地址池中的一个IP
添加静态路由
网络-路由-静态路由
172.16.1.0 255.255.255.0 virtual-ppp 1 //去往Server LAN 网段路由从接口virtual-ppp 1出去。
点击新增-应用
WIFI 接口配置
网络-强制网络门户
启用 (不勾选)
WIFI 网络密码设置
SSID为 无线WIFI的的名称,就是计算机无线网卡扫描的热点的名称。
加密秘钥方式可以根据需要设定。
收起阅读 »
Cisco L2TP 配置
Server
Cisco Router 参考配置:
aaa new-model
aaa authentication login default local //配置本地认证
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization network default local
Vpdn enable
vpdn-group l2tp
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication //不使用隧道认证
username xxx password 0 xxx // 配置登陆用户名密码
interface FastEthernet0/0 // 公网网口
ip address 203.86.63.XXX 255.255.255.248
interface FastEthernet0/1 //内网网口
ip address 172.16.1.1 255.255.255.0
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool l2tp // L2TP Client 调用的地址池
ppp authentication chap // 认证方式
ip local pool l2tp 172.16.1.190 172.16.1.195 // L2TP Client 地址池
Windows 7 Client 配置
运行:cmd
命令:route print
通信测试
收起阅读 »
Cisco Router 参考配置:
aaa new-model
aaa authentication login default local //配置本地认证
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization network default local
Vpdn enable
vpdn-group l2tp
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication //不使用隧道认证
username xxx password 0 xxx // 配置登陆用户名密码
interface FastEthernet0/0 // 公网网口
ip address 203.86.63.XXX 255.255.255.248
interface FastEthernet0/1 //内网网口
ip address 172.16.1.1 255.255.255.0
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool l2tp // L2TP Client 调用的地址池
ppp authentication chap // 认证方式
ip local pool l2tp 172.16.1.190 172.16.1.195 // L2TP Client 地址池
Windows 7 Client 配置
运行:cmd
命令:route print
通信测试
收起阅读 »
InRouter与Cisco Router构建L2tp VPN 配置指导
1. 概述
本文档主要讲述了关于映翰通InRouter路由器不中心端Cisco Router(支持VPN)构建L2TP VPN的方法。InRouter 61X,Inrouter 71X全系列产品均支持VPN功能,并不众多国际主流中心端设备厂商产品兼容。建立起L2TP VPN之后便可以实现下位机—InRouter设备LAN端不上位机—中心端设备LAN进行双向通信。
2. 网络拓扑
2.1 网络拓扑
2.2 网络拓扑说明
中心端设备为Cisco Router 2821,IOS 为C2800NM-ADVIPSERVICESK9-M,版本15.0(1)M8;外部IP地址173.17.99.100,掩码255.255.255.0;内部IP地址172.16.1.1,掩码255.255.255.0
接入端1设备为InRouter 61X/71X;外部IP地址193.169.99.100,掩码255.255.255.0;内部IP地址192.168.2.1,掩码255.255.255.0
接入端2设备为InRouter 61X/71X;外部IP地址193.169.99.101,掩码255.255.255.0;内部IP地址192.168.3.1,掩码255.255.255.0
3. 配置指导(一台InRouter)
3.1 中心端CiscoRouter基本配置
CiscoRouter>enable //进入特权模式
CiscoRouter# configure terminal //进入配置模式
CiscoRouter(config)#username cisco secret cisco //设置用户名和密码(思科新一代路由器在第一次启动完成后必须设置用户名和密码,否则在下次重启后将无法进入特权模式)
CiscoRouter(config)#enable secret cisco //设置特权模式密码(思科新一代路由器在第一次启动完成后必须设置特权模式密码,否则在下次重启后将无法进入特权模式)
CiscoRouter(config)#interface gigabitEthernet 0/0 //进入接口配置模式(外部或内部接口可自行选择 但必须是具有三层功能以太网口)
CiscoRouter(config-if)#ip address 173.17.99.100 255.255.255.0 //为外部接口指定IP和掩码
CiscoRouter(config-if)#no shutdown //开启接口 CiscoRouter(config-if)#speed auto //设置端口速率为自适应
CiscoRouter(config-if)#duplex auto //设置端口双工模式为自适应
CiscoRouter(config-if)#exit //退出接口配置模式
CiscoRouter(config)#interface gigabitEthernet 0/1 CiscoRouter(config-if)#ip address 172.16.1.1 255.255.255.0 //为内部接口指定IP和掩码
CiscoRouter(config-if)#no shutdown CiscoRouter(config-if)#speed auto CiscoRouter(config-if)#duplex auto CiscoRouter(config-if)#exit
CiscoRouter(config)#ip route 0.0.0.0 0.0.0.0 173.17.99.1 //配置静态默认路由(下一跳地址为ISP提供)
CiscoRouter(config)#access-list 100 permit ip any any //创建访问控制列表允许所有
CiscoRouter(config)#ip nat inside source list 100 interface GigabitEthernet0/0 overload //在外部接口上启用NAT(PAT)
CiscoRouter(config)#interface gigabitEthernet 0/0 CiscoRouter(config-if)#ip nat outside //划分NAT区域(外部接口为outside)
CiscoRouter(config-if)#exit CiscoRouter(config)#interface gigabitEthernet 0/1 CiscoRouter(config-if)#ip nat inside //划分NAT区域(外部接口为inside)
CiscoRouter(config-if)#end CiscoRouter#write memory //保存配置 至此中心端Cisco Router基本配置完成。
3.2 远端InRouter基本配置
3.2.1 远端InRouter WAN口配置(如无WAN口或采用3G拨号则跳过此步骤)
接通InRouter电源,用一根网线连接InRouter的LAN口和PC,打开浏览器,输入http://192.168.2.1,输入用户名adm,密码123456.
3.2.2 远端InRouter LAN口配置
至此InRouter基本配置完成
3.3 L2tp VPN配置
3.3.1中心端Cisco Router L2tp VPN配置
CiscoRouter>enable CiscoRouter# configure terminal CiscoRouter(config)#vpdn enable //开启VPDN功能
CiscoRouter(config)#vpdn-group l2tp //创建VPDN组
CiscoRouter(config-vpdn)#accept-dialin //定义允许拨入
CiscoRouter(config-vpdn-acc-in)#protocol l2tp //设置使用l2tp协议
CiscoRouter(config-vpdn-acc-in)#virtual-template 1 //关联虚拟拨号模板
CiscoRouter(config-vpdn-acc-in)#exit CiscoRouter(config-vpdn)#no l2tp tunnel authentication //关闭l2tp的隧道验证功能
CiscoRouter(config)#interface Virtual-Template 1 //创建虚拟拨号模板
CiscoRouter(config-if)#ip address 10.255.255.254 255.255.255.0 //为虚拟拨号模板指定一个IP地址,该IP地址建议不Local Pool同一网段
CiscoRouter(config-if)#peer default ip address pool l2tp //指定拨号用户虚拟IP地址池
CiscoRouter(config-if)#ppp authentication chap //定义拨号用户的验证方式
CiscoRouter(config-if)#exit CiscoRouter(config)#ip local pool l2tp 10.255.255.1 10.255.255.10 //定义拨号用户虚拟IP地址池
CiscoRouter(config)#exit CiscoRouter#wr 至此中心端Cisco Router L2tp VPN配置结束
3.3.2 远端InRouter L2tp VPN配置
3.4 验证
3.4.1 中心端验证
CiscoRouter#show vpdn tunnel L2TP Tunnel Information Total tunnels 1 sessions 1 LocID RemID Remote Name State Remote Address Port Sessions L2TP 23174 35630 s_L2TP_tunnel est 193.169.99.100 1701 0 l2tp 上述信息显示L2tp 隧道已建立成功
3.4.2 远端InRouter验证
3.5 补充 在完成上述配置之后,远端InRouter内部网络可以访问中心端CiscoRouter的内部网络,但是中心端CiscoRouter内部网络却无法访问远端InRouter的内部网络,因为中心端CiscoRouter上没有到远端InRouter内部网络的路由,所以需要在中心端添加一条静态路由,切记! CiscoRouter(config)#ip route 192.168.2.0 255.255.255.0 10.255.255.1 //192.168.2.0 255.255.255.0为远端InRouter的内部网络,10.255.255.1为在配置远端InRouter的L2TP时填写的“本地IP地址”
4. 配置指导(多台Inrouter)
4.1 新增远端InRouter配置
4.1.1 新增远端InRouter WAN口配置(如无WAN口或采用3G拨号则跳过此步骤)
接通InRouter电源,用一根网线连接InRouter的LAN口和PC,打开浏览器,输入http://192.168.3.1,输入用户名adm,密码123456.
4.1.2 新增远端InRouter LAN口配置
至此新增远端InRouter基本配置完成
4.1.3 新增远端InRouter L2TP VPN配置
4.2 中心端CiscoRouter路由器配置
只需增加一条静态路由,到新增远端InRouter内部网络的下一跳为在配置新增远端InRouter L2TP VPN时填写的”本地IP地址”,其他无需更改。 CiscoRouter(config)#ip route 192.168.3.0 255.255.255.0 10.255.255.2 //192.168.3.0 255.255.255.0为新增远端InRouter的内部网络,10.255.255.2为在配置远端InRouter的L2TP时填写的“本地IP地址”
4.3 验证
4.3.1 中心端验证
CiscoRouter#show vpdn tunnel L2TP Tunnel Information Total tunnels 2 sessions 2 LocID RemID Remote Name State Remote Address Port Sessions L2TP 23174 35630 s_L2TP_tunnel est 193.169.99.100 1701 0 l2tp 8463 63411 s_L2TP_tunnel est 193.169.99.101 1701 1 l2tp 上述信息显示L2tp 隧道已建立成功
4.3.2 远端InRouter验证
5.备注
中心Cisco Router的IOS版本要求高于12.0丏须支持IPsec VPN;
中心端外部接口建议采用静态IP地址,如采用拨号方式可获取固定IP地址也可;
远端IP地址采用静态和动态均可。 收起阅读 »
InRouter与Cisco Router构建IPSec VPN 配置指导
前言
声明
本手册为北京映翰通网络技术有限公司(以下简称映翰通或InHand)及其许可者版权所有,保留一切权利;
未经本公司书面许可,任何单位和个人丌得擅自复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途;
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有;
由于产品版本升级或其他原因,本手册内容有可能变更.映翰通保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利;
本手册仅作为使用指导,映翰通尽全力在本手册中提供准确的信息,但是映翰通并丌确保手册内容完全没有错误;
本手册中的所有陈述、信息和建议也丌构成任何明示或暗示的担保。
版本说明
本手册Inrouter对应的软件版本为:********
本手册Cisco对应的软件版本为:12.0以后丏须支持VPN
读者对象
本手册适合下列人员阅读:
映翰通客户方网络工程师
映翰通内部技术工程师
说明
本手册丼例说明部分的端口类型同实际可能丌符,实际操作中需要按照各产品所支持的端口类型进行配置;
本手册部分丼例的显示信息中可能含有其它产品系列的内容(如产品型号、描述等),具体显示信息请以实际使用的设备信息为准;
本手册中涉及的映翰通路由器产品图标为映翰通与用图标。
Technical Support Center Version: 4 CG V1.0
目 录
前言 .........................................................................................................................................................................................................2
1. 概述 ...............................................................................................................................................................................................5
2. 网络拓扑 .......................................................................................................................................................................................6
2.1 网络拓扑 ...............................................................................................................................................................................6
2.2 网络拓扑说明 ......................................................................................................................................................................7
3. 配置指导 .......................................................................................................................................................................................8
3.1 中心端CiscoRouter基本配置 ........................................................................................................................................8
3.1.1 接口配置(静态IP地址)...................................................................................................................................8
3.1.2 接口配置(动态获取固定IP地址) ................................................................................................................ 10
3.2 远端InRouter基本配置 ................................................................................................................................................ 12
3.2.1 远端InRouter WAN口配置(如无WAN口或采用3G拨号则跳过此步骤) ...................................... 12
3.2.2 远端InRouter LAN口配置 .............................................................................................................................. 16
3.3 IPsec VPN配置 ................................................................................................................................................................ 18
3.3.1中心端Cisco Router IPsec VPN配置 ............................................................................................................ 18
3.3.2 远端InRouter IPsec VPN配置 ....................................................................................................................... 20
3.4 验证 .................................................................................................................................................................................... 23
3.4.1 中心端验证 .......................................................................................................................................................... 23
3.4.2 远端InRouter验证 ........................................................................................................................................... 26
4.备注 ..................................................................................................................................................................................27
1. 概述
本文档主要讲述了关于映翰通InRouter路由器不中心端Cisco Router(支持VPN)构建LAN-to-LAN VPN的方法。InRouter 61X,Inrouter 71X全系列产品均支持VPN功能,并不众多国际主流中心端设备厂商产品兼容。建立起LAN-to-LAN VPN之后便可以实现下位机—InRouter设备LAN端不上位机—中心端设备LAN进行双向通信。
From: Technical Support Center Version: 6 CG V1.0
2. 网络拓扑
2.1 网络拓扑
2.2 网络拓扑说明
中心端设备为Cisco Router 2821,IOS 为C2800NM-ADVIPSERVICESK9-M,版本15.0(1)M8;外部IP地址125.69.128.108,掩码255.255.255.0;内部IP地址172.0.0.2,掩码255.255.255.0
接入端1设备为InRouter 61X/71X;外部IP地址172.20.1.2,掩码255.255.255.0;内部IP地址192.168.2.1,掩码255.255.255.0
接入端2设备为InRouter 61X/71X;外部IP地址113.118.91.138,掩码255.255.255.0;内部IP地址192.168.3.1,掩码255.255.255.0
3. 配置指导
3.1 中心端CiscoRouter基本配置
3.1.1 接口配置(静态IP地址)
Router>enable //进入特权模式 Router# configure terminal //进入配置模式 Router (config)#hostname inhand001 //设置路由器主机名 inhand001(config)#username cisco secret cisco //设置用户名和密码(思科新一代路由器在第一次启动完成后必须设置用户名和密码,否则在下次重启后将无法进入特权模式) inhand001(config)#enable secret cisco //设置特权模式密码(思科新一代路由器在第一次启动完成后必须设置特权模式密码,否则在下次重启后将无法进入特权模式) inhand001(config)#interface gigabitEthernet 0/0 //进入接口配置模式(外部或内部接口可自行选择 但必须是具有三层功能以太网口) inhand001(config-if)#ip address 125.69.128.108 255.255.255.0 //为外部接口指定IP和掩码 inhand001(config-if)#no shutdown //开启接口 inhand001(config-if)#speed auto //设置端口速率为自适应 inhand001(config-if)#duplex auto //设置端口双工模式为自适应 inhand001(config-if)#exit //退出接口配置模式 inhand001(config)#interface gigabitEthernet 0/1 inhand001(config-if)#ip address 172.0.0.2 255.255.255.0 //为内部接口指定IP和掩码 inhand001(config-if)#no shutdown
inhand001(config-if)#speed auto
inhand001(config-if)#duplex auto inhand001(config-if)#exit inhand001(config)#ip route 0.0.0.0 0.0.0.0 下一跳地址 //配置静态默认路由(下一跳地址为ISP提供) inhand001(config)# access-list 100 permit ip 172.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255 //创建访问列表允许中心端内部网段访问远端1内部网段 inhand001(config)# access-list 100 permit ip 172.0.0.0 0.0.0.255 192.168.3.0 0.0.0.255 //创建访问列表允许中心端内部网段访问远端2内部网段 inhand001(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 //创建访问列表允许远端1内部网段访问远端2内部网段(此条可选) inhand001(config)# access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 //创建访问列表允许远端2内部网段访问远端1内部网段(此条可选) inhand001(config)#ip nat inside source list 100 interface GigabitEthernet0/0 overload //创建NAT规则(此处选用PAT) inhand001(config)#interface gigabitEthernet 0/0 inhand001(config-if)#ip nat outside //划分NAT区域(外部接口为outside) inhand001(config-if)#exit inhand001(config)#interface gigabitEthernet 0/1 inhand001(config-if)#ip nat inside //划分NAT区域(外部接口为inside) inhand001(config-if)#end inhand001#write memory //保存配置
3.1.2 接口配置(动态获取固定IP地址)
Router>enable Router# configure terminal Router (config)#hostname inhand001 inhand001(config)#username cisco secret cisco inhand001(config)#enable secret cisco inhand001(config)#interface gigabitEthernet 0/0 inhand001(config-if)#no ip address inhand001(config-if)#pppoe enable group global //在外部接口上启用PPPOE拨号功能 inhand001(config-if)#pppoe-client dial-pool-number 10 //设置PPPOE拨号池号码(1~255) inhand001(config-if)#no shutdown inhand001(config-if)#speed auto inhand001(config-if)#duplex auto inhand001(config-if)#exit inhand001(config)#interface Dialer1 //创建拨号逻辑接口 inhand001(config-if)#ip address negotiated //指定逻辑拨号接口IP地址为自动协商 inhand001(config-if)#ip mtu 1492 //如果采用PPPOE或ADSL则此项必须设置 inhand001(config-if)#encapsulation ppp //设置采用PPP封装 inhand001(config-if)#dialer pool 10 //设置拨号池号码(此处号码须不上述外部接口配置的PPPOE拨号池号码一致) inhand001(config-if)#dialer-group 1 //设置拨号列表号(1~128) inhand001(config-if)#ppp pap sent-username 用户名 password 密码 //设置用户名和密码
inhand001(config-if)#ip nat outside //如采用拨号方式则outside必须应用在拨号逻辑接口上 inhand001(config-if)#exit inhand001(config)#interface gigabitEthernet 0/1 inhand001(config-if)#ip address 172.0.0.2 255.255.255.0 inhand001(config-if)#no shutdown inhand001(config-if)#speed auto inhand001(config-if)#duplex auto inhand001(config-if)#exit inhand001(config)#ip route 0.0.0.0 0.0.0.0 Dialer1 //如果采用拨号方式则静态默认路由的下一跳必须为拨号逻辑接口 inhand001(config)# access-list 100 permit ip 172.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255 inhand001(config)# access-list 100 permit ip 172.0.0.0 0.0.0.255 192.168.3.0 0.0.0.255 inhand001(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 inhand001(config)# access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 inhand001(config)#ip nat inside source list 100 interface GigabitEthernet0/0 overload inhand001(config)#interface gigabitEthernet 0/1 inhand001(config-if)#ip nat inside inhand001(config-if)#end inhand001#write memory 至此中心端Cisco Router基本配置完成。
3.2 远端InRouter基本配置
3.2.1 远端InRouter WAN口配置(如无WAN口或采用3G拨号则跳过此步骤)
接通InRouter电源,用一根网线连接InRouter的LAN口和PC,打开浏览器,输入http://192.168.2.1,输入用户名adm,密码123456.
3.2.2 远端InRouter LAN口配置
至此InRouter基本配置完成
3.3 IPsec VPN配置
3.3.1中心端Cisco Router IPsec VPN配置
Router>enable Router# configure terminal inhand001(config)#crypto isakmp policy 1 //定义IKE策略优先级(1为优先级) inhand001(config-isakmp)# encr 3des //定义加密算法 inhand001(config-isakmp)# hash md5 //定义散列算法(可丌配) inhand001(config-isakmp)# authentication pre-share //定义认证方式 inhand001(config-isakmp)# group 2 //定义密钥交换协议/算法标示符 inhand001(config-isakmp)#exit inhand001(config)#crypto isakmp key 123 address 0.0.0.0 0.0.0.0 //设置预共享密钥为123,vpn隧道远端为任意IP(远端InRouer通常为动态IP) inhand001(config)#crypto ipsec transform-set inhandtrans esp-3des esp-md5-hmac //创建转换集inhandtrans inhand001(config)#crypto dynamic-map inhandmap 1 //创建动态映射名和序列号 inhand001(config-crypto-map)#set transform-set inhandtrans //指定转换集 inhand001(config-crypto-map)#match address 100 //关联感兴趣流(设置需在VPN隧道中传输的流量) inhand001(config-crypto-map)#exit inhand001(config)#crypto map truemap 10000 ipsec-isakmp dynamic inhandmap //将动态映射加入到正规映射 inhand001(config)#interface gigabitEthernet 0/0
inhand001(config-if)#crypto map truemap //在外部接口上应用正规映射 inhand001(config-if)#end inhand001#write memory 至此中心端Cisco Router IPsec VPN配置结束
3.3.2 远端InRouter IPsec VPN配置
3.4 验证
3.4.1 中心端验证
在验证之前请从远端PC执行ping 172.0.0.X(中心端内部PC地址) inhand001#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 125.69.128.108 172.20.1.2 QM_IDLE 1001 ACTIVE IPv6 Crypto ISAKMP SA 如果出现上述显示则表示第一阶段协商成功 inhand001#show crypto ipsec sa interface: GigabitEthernet0/0 Crypto map tag: map, local addr 125.69.128.108 protected vrf: (none) local ident (addr/mask/prot/port): (172.0.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 172.20.1.2 port 500 PERMIT, flags={} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0 local crypto endpt.: 125.69.128.108, remote crypto endpt.: 172.20.1.2 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x2B39275B(725165915) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x7775A9E9(2004199913) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2005, flow_id: NETGX:5, sibling_flags 80000046, crypto map: map sa timing: remaining key lifetime (k/sec): (4404804/3527) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0x3EDBD96C(1054595436) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2011, flow_id: NETGX:11, sibling_flags 80000046, crypto map: map sa timing: remaining key lifetime (k/sec): (4426488/3558) IV size: 8 bytes replay detection support: Y Status: ACTIVE
inbound ah sas:
inbound pcp sas: outbound esp sas: spi: 0x428E575A(1116624730) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2006, flow_id: NETGX:6, sibling_flags 80000046, crypto map: map sa timing: remaining key lifetime (k/sec): (4404804/3527) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0x2B39275B(725165915) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2012, flow_id: NETGX:12, sibling_flags 80000046, crypto map: map sa timing: remaining key lifetime (k/sec): (4426488/3558) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: 如出现上述显示则表示第二阶段协商成功,IPsec VPN建立成功
3.4.2 远端InRouter验证
4.备注
中心Cisco Router的IOS版本要求高于12.0丏须支持IPsec VPN;
中心端外部接口建议采用静态IP地址,如采用拨号方式可获取固定IP地址也可;
远端IP地址采用静态和动态均可。 收起阅读 »
中心CISCO配置建立VPN配置
Username: admin
Password:
Router>en
Password:
Router#show run
Building configuration...
Current configuration : 2060 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY
!
no aaa new-model
!
ip cef
!
!
!
ip dhcp excluded-address 192.168.0.165
ip dhcp excluded-address 192.168.0.180
ip dhcp excluded-address 192.168.0.201
!
ip dhcp pool vlan101
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 219.141.136.10
!
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FGL170812WS
!
!
username admin password 0 cisco
!
redundancy
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNMAP 100 //创建动态保密图
set transform-set ESP-3DES-MD5 //使用上面定义的变换集ESP-3DES-MD5
match address 100
crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description connect internet
ip address 124.126.246.210 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex full
speed 100
crypto map OUTSIDE_MAP
!
interface GigabitEthernet0/1
description connect neiwang
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex full
speed 100
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip nat inside source static 192.168.0.165 219.143.223.152
ip nat inside source static 192.168.0.180 219.143.223.153
ip nat inside source static 192.168.0.201 219.143.223.154
ip route 0.0.0.0 0.0.0.0 124.126.246.209
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.2.0 0.255.255.255
//定义VPN Station 1受保护的流量
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.3.0 0.255.255.255
//定义VPN Station 2受保护的流量
access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.2.0 0.255.255.255
access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.3.0 0.255.255.255
//定义NAT规则访问列表
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
!
!
!
control-plane
!
!
!
line con 0
password cisco
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login local
transport input all
!
scheduler allocate 20000 1000
!
end 收起阅读 »
Password:
Router>en
Password:
Router#show run
Building configuration...
Current configuration : 2060 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY
!
no aaa new-model
!
ip cef
!
!
!
ip dhcp excluded-address 192.168.0.165
ip dhcp excluded-address 192.168.0.180
ip dhcp excluded-address 192.168.0.201
!
ip dhcp pool vlan101
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 219.141.136.10
!
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FGL170812WS
!
!
username admin password 0 cisco
!
redundancy
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNMAP 100 //创建动态保密图
set transform-set ESP-3DES-MD5 //使用上面定义的变换集ESP-3DES-MD5
match address 100
crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description connect internet
ip address 124.126.246.210 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex full
speed 100
crypto map OUTSIDE_MAP
!
interface GigabitEthernet0/1
description connect neiwang
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex full
speed 100
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip nat inside source static 192.168.0.165 219.143.223.152
ip nat inside source static 192.168.0.180 219.143.223.153
ip nat inside source static 192.168.0.201 219.143.223.154
ip route 0.0.0.0 0.0.0.0 124.126.246.209
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.2.0 0.255.255.255
//定义VPN Station 1受保护的流量
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.3.0 0.255.255.255
//定义VPN Station 2受保护的流量
access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.2.0 0.255.255.255
access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.3.0 0.255.255.255
//定义NAT规则访问列表
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
!
!
!
control-plane
!
!
!
line con 0
password cisco
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login local
transport input all
!
scheduler allocate 20000 1000
!
end 收起阅读 »
深信服防火墙和IR700 建立IPSec VPN 配置说明
深信服防火墙和IR700
建立IPSec VPN 配置说明
本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec VPN)双方的相关配置而编写
注:并未完全使用深信服防火墙的所有型号,如有出入,望谅解
1、深信服防火墙
查看网络配置,默认的用户名密码是Admin;Admin。
本图中LAN口为192.168.1.1/24
点击左侧ipsec vpn配置,拉到最下边选择第3方对接,第1阶段,并选择新增。
填写项目名称,将设备地址类型选择为对端是动态ip
并设置相应的预共享密钥,点击高级。
配置第1阶段详尽参数,模式必须为野蛮模式,并设置FQDN和算法。(模版如图所示)确定并保存。
选择第2阶段配置进出策略(与JUNIPER相似)。
入站策略的源子网设置为路由器的子网地址(模版中为10.5.0.0/24),并确定
出站策略的源子网设置为深信服服务器的子网地址(模板中为192.168.1.0/24),并取消启用完美向前保密,2阶段安全设置选择为默认安全选项。最后点击确定
进入第3方对接内设置安全选项.(即配置2阶段中的默认安全选项)。
即可。
2、IR700相关配置
3、总结
Ping截图如上图所示
短暂的测试认为深信服的防火墙有以下优点
3.1日志较为直观,中文描述,基本可以反应问题
3.2支持较为完善的web配置界面。
3.3包含行为管理功能。
收起阅读 »
建立IPSec VPN 配置说明
本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec VPN)双方的相关配置而编写
注:并未完全使用深信服防火墙的所有型号,如有出入,望谅解
1、深信服防火墙
查看网络配置,默认的用户名密码是Admin;Admin。
本图中LAN口为192.168.1.1/24
点击左侧ipsec vpn配置,拉到最下边选择第3方对接,第1阶段,并选择新增。
填写项目名称,将设备地址类型选择为对端是动态ip
并设置相应的预共享密钥,点击高级。
配置第1阶段详尽参数,模式必须为野蛮模式,并设置FQDN和算法。(模版如图所示)确定并保存。
选择第2阶段配置进出策略(与JUNIPER相似)。
入站策略的源子网设置为路由器的子网地址(模版中为10.5.0.0/24),并确定
出站策略的源子网设置为深信服服务器的子网地址(模板中为192.168.1.0/24),并取消启用完美向前保密,2阶段安全设置选择为默认安全选项。最后点击确定
进入第3方对接内设置安全选项.(即配置2阶段中的默认安全选项)。
即可。
2、IR700相关配置
3、总结
Ping截图如上图所示
短暂的测试认为深信服的防火墙有以下优点
3.1日志较为直观,中文描述,基本可以反应问题
3.2支持较为完善的web配置界面。
3.3包含行为管理功能。
收起阅读 »
华三VRRP配置案列
VRRP单备份组配置
1. 组网需求
•Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;
•Switch A和Switch B属于虚拟IP地址为202.38.160.111/24的备份组1;
•当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。
2. 组网图
图1-7 VRRP单备份组配置组网图
3. 配置步骤
(1) 配置Switch A
# 配置VLAN2。
<SwitchA> system-view
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。
[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110
# 设置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Switch A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[SwitchA-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5
(2) 配置Switch B
# 配置VLAN2。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-Vlan2] port gigabitethernet 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。
[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置Switch B工作在抢占方式,抢占延迟时间为5秒。
[SwitchB-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5
基于IPv4的VRRP典型配置举例
1. 组网需求
•Switch A和Switch B属于虚拟IPv6地址为1::10/64和FE80::10的备份组1;
•Host A需要访问Internet上的Host B;Host A通过交换机发送的RA消息学习到缺省网关地址为1::10/64;
•当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。
2. 组网图
图1-10 VRRP单备份组配置组网图
3. 配置步骤
(1) 配置Switch A
# 配置VLAN2。
<SwitchA> system-view
[SwitchA] ipv6
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ipv6 address fe80::1 link-local
[SwitchA-Vlan-interface2] ipv6 address 1::1 64
# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10
# 配置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 priority 110
# 配置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Router A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode timer delay 5
# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。
[SwitchA-Vlan-interface2] undo ipv6 nd ra halt
(2) 配置Switch B
# 配置VLAN2。
<SwitchB> system-view
[SwitchB] ipv6
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interfacevlan-interface 2
[SwitchB-Vlan-interface2] ipv6 address fe80::2 link-local
[SwitchB-Vlan-interface2] ipv6 address 1::2 64
# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10
# 配置Switch B工作在抢占方式,抢占延迟时间为5秒。
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode timer delay 5
# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。
[SwitchB-Vlan-interface2] undo ipv6 nd ra halt
收起阅读 »
1. 组网需求
•Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;
•Switch A和Switch B属于虚拟IP地址为202.38.160.111/24的备份组1;
•当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。
2. 组网图
图1-7 VRRP单备份组配置组网图
3. 配置步骤
(1) 配置Switch A
# 配置VLAN2。
<SwitchA> system-view
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。
[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110
# 设置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Switch A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[SwitchA-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5
(2) 配置Switch B
# 配置VLAN2。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-Vlan2] port gigabitethernet 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。
[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置Switch B工作在抢占方式,抢占延迟时间为5秒。
[SwitchB-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5
基于IPv4的VRRP典型配置举例
1. 组网需求
•Switch A和Switch B属于虚拟IPv6地址为1::10/64和FE80::10的备份组1;
•Host A需要访问Internet上的Host B;Host A通过交换机发送的RA消息学习到缺省网关地址为1::10/64;
•当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。
2. 组网图
图1-10 VRRP单备份组配置组网图
3. 配置步骤
(1) 配置Switch A
# 配置VLAN2。
<SwitchA> system-view
[SwitchA] ipv6
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ipv6 address fe80::1 link-local
[SwitchA-Vlan-interface2] ipv6 address 1::1 64
# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10
# 配置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 priority 110
# 配置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Router A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode timer delay 5
# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。
[SwitchA-Vlan-interface2] undo ipv6 nd ra halt
(2) 配置Switch B
# 配置VLAN2。
<SwitchB> system-view
[SwitchB] ipv6
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interfacevlan-interface 2
[SwitchB-Vlan-interface2] ipv6 address fe80::2 link-local
[SwitchB-Vlan-interface2] ipv6 address 1::2 64
# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10
# 配置Switch B工作在抢占方式,抢占延迟时间为5秒。
[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode timer delay 5
# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。
[SwitchB-Vlan-interface2] undo ipv6 nd ra halt
收起阅读 »
北京映翰通IR700与SSG5防火墙建立VPN模板
防火墙配置
登录用户名和密码:netscreen/netscreen
设置WAN接口
编辑“ethernet0/0”接口
设置LAN接口
编辑“bgroup0”
设置DNS
设置DHCP
点击编辑“broup0”
设置路由
IPSEC VPN
1建立tunuls
Network-interface-list
点击NEW
2 IPSec配置
2.1建立IPSecvpn第一阶段
VPNsAutokeyAdvancedGateway
2.2建立IPSecvpn第二阶段
vpnsautokeyike
3 建立安全策略
3.1TRUST---UNTRUST
选择fromTRUSTtoUNTRUST
如果对于新的地址段,则可以选择“NEW Address”方式添加
源地址填写防火墙内网地址,目的地址填写无线路由器内网地址
3.2UNTRUST---TRUST
4建立路由
Network=routering-destination
北京映翰通无线路由器配置
登录 IP地址是192.168.2.1 用户名:adm 密码123456
1 无线路由器LAN基本配置参数
2 无线路由器VPN配置参数
本地标识:inhand@inhand.com
对端标识:zhongxin@inhand.com
共享密钥是123456
3 无线路由器建立IPSec vpn的成功标识
4 无线路由器建立VPN成功之后,能够ping同防火墙LAN地址
收起阅读 »
登录用户名和密码:netscreen/netscreen
设置WAN接口
编辑“ethernet0/0”接口
设置LAN接口
编辑“bgroup0”
设置DNS
设置DHCP
点击编辑“broup0”
设置路由
IPSEC VPN
1建立tunuls
Network-interface-list
点击NEW
2 IPSec配置
2.1建立IPSecvpn第一阶段
VPNsAutokeyAdvancedGateway
2.2建立IPSecvpn第二阶段
vpnsautokeyike
3 建立安全策略
3.1TRUST---UNTRUST
选择fromTRUSTtoUNTRUST
如果对于新的地址段,则可以选择“NEW Address”方式添加
源地址填写防火墙内网地址,目的地址填写无线路由器内网地址
3.2UNTRUST---TRUST
4建立路由
Network=routering-destination
北京映翰通无线路由器配置
登录 IP地址是192.168.2.1 用户名:adm 密码123456
1 无线路由器LAN基本配置参数
2 无线路由器VPN配置参数
本地标识:inhand@inhand.com
对端标识:zhongxin@inhand.com
共享密钥是123456
3 无线路由器建立IPSec vpn的成功标识
4 无线路由器建立VPN成功之后,能够ping同防火墙LAN地址
收起阅读 »
Juniper 防火墙端口映射
以下操作均通过WEB用户管理界面进行:
一、添加自定义服务端口
1、选择菜单Policy > Policy Elements > Services > Custom,进入自定义服务管理页面
2、点击右上角的New按钮进入自定义服务添加页面
在Service Name处填写自定义的服务名称,在Transport protocol处选择需要使用的协议,在Destination Port 处填写自定义服务的目的端口,点击OK按钮提交操作。在上图中,我们添加了了一个名为udp-3311的服务,它使用UDP协议,目的端口号为3311。
3、选择菜单Network > Interfaces(List),找到Untrust Zone对应的端口名(图中Untrust Zone对应的端口为ethernet0/0),点击右边的Edit按钮进入端口编辑页面
4、点击Properties中的VIP按钮,切换到VIP管理页面
初次添加VIP设置时,如果你有多个外网IP地址,你可以选择填入你的Virtual IP Address,如果ISP只提供给你一个外网IP地址或者你通过PPPOE方式获得外网IP,你可以选择Same as the untrusted interface IP address,点击Add按钮提交。
5、点击New VIP Service按钮,进入VIP服务添加页面
6、添加VIP Service相关信息
A、在Map to Service 下拉列表中选择现有服务类型或者自定义的服务,图中我们选择了之前添加的udp-3311服务
B、在Map to IP中填写提供服务的主机IP,Virtual Port与自定义服务的端口一致,不要勾选Server Auto Detection后Enable选项,点击OK按钮提交
7、选择菜单Policy > Policies,进入策略管理页面
8、左上角的From选择Untrust Zone,To选择Trust Zone,点击NEW进入From Untrust To Trust策略新增页面
Source Address(源地址)从Address Book Entry中选择Any,Destination Address(目的地址)从Address Book Entry中选择相关的VIP服务,Service选择自定义的服务。图中目的地址我们选择了之前添加的VIP(ethernet0/0),Service选择之前自定义的udp-3311服务,完成后,点击OK按钮提交。
至此,端口映射就完成了,如需添加多个端口映射,方法类似。
SSG-5是Juniper 防火墙里入门级的产品,某些紧急情况需要登录到内网的某台PC或者Server时,需要临时把防火墙的3389端口打开及做相应的VIP映射。
命令行自然是设定最快,最不容易错的方式啦。设定方法如下:
set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389 -------打开远程登录的3389端口
set interface ethernet0/0 vip interface-ip 3389 "3389" 192.168.1.5-------- 添加要远程登录设备的IP端口映射
set policy id 3 from "Untrust" to "Trust" "Any" "VIP(ethernet0/0)" "3389" permit log -------设定端口policy及ID
set policy id 3
exit
以上设定只是在untrust to trust 和trust to untrust 都是permit any的情况,如果有deny 的policy存在的话,需要注意policy的顺序。
收起阅读 »
一、添加自定义服务端口
1、选择菜单Policy > Policy Elements > Services > Custom,进入自定义服务管理页面
2、点击右上角的New按钮进入自定义服务添加页面
在Service Name处填写自定义的服务名称,在Transport protocol处选择需要使用的协议,在Destination Port 处填写自定义服务的目的端口,点击OK按钮提交操作。在上图中,我们添加了了一个名为udp-3311的服务,它使用UDP协议,目的端口号为3311。
3、选择菜单Network > Interfaces(List),找到Untrust Zone对应的端口名(图中Untrust Zone对应的端口为ethernet0/0),点击右边的Edit按钮进入端口编辑页面
4、点击Properties中的VIP按钮,切换到VIP管理页面
初次添加VIP设置时,如果你有多个外网IP地址,你可以选择填入你的Virtual IP Address,如果ISP只提供给你一个外网IP地址或者你通过PPPOE方式获得外网IP,你可以选择Same as the untrusted interface IP address,点击Add按钮提交。
5、点击New VIP Service按钮,进入VIP服务添加页面
6、添加VIP Service相关信息
A、在Map to Service 下拉列表中选择现有服务类型或者自定义的服务,图中我们选择了之前添加的udp-3311服务
B、在Map to IP中填写提供服务的主机IP,Virtual Port与自定义服务的端口一致,不要勾选Server Auto Detection后Enable选项,点击OK按钮提交
7、选择菜单Policy > Policies,进入策略管理页面
8、左上角的From选择Untrust Zone,To选择Trust Zone,点击NEW进入From Untrust To Trust策略新增页面
Source Address(源地址)从Address Book Entry中选择Any,Destination Address(目的地址)从Address Book Entry中选择相关的VIP服务,Service选择自定义的服务。图中目的地址我们选择了之前添加的VIP(ethernet0/0),Service选择之前自定义的udp-3311服务,完成后,点击OK按钮提交。
至此,端口映射就完成了,如需添加多个端口映射,方法类似。
SSG-5是Juniper 防火墙里入门级的产品,某些紧急情况需要登录到内网的某台PC或者Server时,需要临时把防火墙的3389端口打开及做相应的VIP映射。
命令行自然是设定最快,最不容易错的方式啦。设定方法如下:
set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389 -------打开远程登录的3389端口
set interface ethernet0/0 vip interface-ip 3389 "3389" 192.168.1.5-------- 添加要远程登录设备的IP端口映射
set policy id 3 from "Untrust" to "Trust" "Any" "VIP(ethernet0/0)" "3389" permit log -------设定端口policy及ID
set policy id 3
exit
以上设定只是在untrust to trust 和trust to untrust 都是permit any的情况,如果有deny 的policy存在的话,需要注意policy的顺序。
收起阅读 »
IRouter_奥联科技STAR16Firewall_IPSec_ConfigGuides
WLAN-PPPoE
LAN
DHCP
DNS
DDNS
IPSec
Configure IPSec the first step:
专网特性-专网隧道属性设置
数据加密算法:3DES/168
传输认证算法:MD5-96
Configure IPSec the second step:
手工隧道配置-隧道基本特征:
本地网络模式:有线固定IP线路
(该配置为ADSL有线网络,可获得动态公务IP,为便于3G路由器可以连接至该防火墙,所以在该防火墙上配置了DDNS服务,在此处填写“域名”即可。)
对端网络模式:非固定IP
自检测设置:192.168.0.1 (LAN接口IP地址)
启动状态:服务器
隧道名称:(自定义本地隧道标识)
第一阶段模式:主模式
(该设备生产厂给的文档提出的要求是:如果对端使用动态IP地址则要使用野蛮模式,起初按照野蛮模式+ User FQDN配置,该防火墙日志提示“无法验证对端ID”)
认证方式:预共享密钥
ISSKMP SA 密钥周期: 4 (小时)
ID:(全部为空)
保护套件:
数据加密算法:3DES/168
传输认证算法:MD5-96
端子网:
本地子网:192.168.0.0/255.255.255.0
对端子网:192.168.20.0/255.255.255.0
数据封装协议:ESP
IRouter IPSec config:
IKE生命周期:14400秒(为对应防火墙ISSKMP SA 密钥周期:4小时)
IPSec Status:
状态标注: 表示连接正常 表示连接异常或处于监听状态 表示未启用
收起阅读 »
LAN
DHCP
DNS
DDNS
IPSec
Configure IPSec the first step:
专网特性-专网隧道属性设置
数据加密算法:3DES/168
传输认证算法:MD5-96
Configure IPSec the second step:
手工隧道配置-隧道基本特征:
本地网络模式:有线固定IP线路
(该配置为ADSL有线网络,可获得动态公务IP,为便于3G路由器可以连接至该防火墙,所以在该防火墙上配置了DDNS服务,在此处填写“域名”即可。)
对端网络模式:非固定IP
自检测设置:192.168.0.1 (LAN接口IP地址)
启动状态:服务器
隧道名称:(自定义本地隧道标识)
第一阶段模式:主模式
(该设备生产厂给的文档提出的要求是:如果对端使用动态IP地址则要使用野蛮模式,起初按照野蛮模式+ User FQDN配置,该防火墙日志提示“无法验证对端ID”)
认证方式:预共享密钥
ISSKMP SA 密钥周期: 4 (小时)
ID:(全部为空)
保护套件:
数据加密算法:3DES/168
传输认证算法:MD5-96
端子网:
本地子网:192.168.0.0/255.255.255.0
对端子网:192.168.20.0/255.255.255.0
数据封装协议:ESP
IRouter IPSec config:
IKE生命周期:14400秒(为对应防火墙ISSKMP SA 密钥周期:4小时)
IPSec Status:
状态标注: 表示连接正常 表示连接异常或处于监听状态 表示未启用
收起阅读 »
IR900GRE-VPN
Cisco路由器GRE配置
ip route 0.0.0.0 0.0.0.0 203.86.63.233
ip route 192.168.20.0 255.255.255.0 10.10.9.200
ip route 192.168.111.0 255.255.255.0 172.16.1.194
ip route 192.168.222.0 255.255.255.0 Tunnel0
!
!
!
interface Loopback10
ip address 192.168.0.1 255.255.255.0
!
interface Loopback100
ip address 192.168.237.6 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 111.206.103.10
!
interface FastEthernet0/0
ip address 203.86.63.237 255.255.255.248
ip nat outside
duplex auto
speed auto
crypto map outside
!
interface FastEthernet0/1
ip address 10.128.1.62 255.255.255.224 secondary
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
收起阅读 »
ip route 0.0.0.0 0.0.0.0 203.86.63.233
ip route 192.168.20.0 255.255.255.0 10.10.9.200
ip route 192.168.111.0 255.255.255.0 172.16.1.194
ip route 192.168.222.0 255.255.255.0 Tunnel0
!
!
!
interface Loopback10
ip address 192.168.0.1 255.255.255.0
!
interface Loopback100
ip address 192.168.237.6 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 111.206.103.10
!
interface FastEthernet0/0
ip address 203.86.63.237 255.255.255.248
ip nat outside
duplex auto
speed auto
crypto map outside
!
interface FastEthernet0/1
ip address 10.128.1.62 255.255.255.224 secondary
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
收起阅读 »
InRouter与 OpenVPN服务器(Windows Platform)构建OpenVPN 配置指导
本文档主要讲述了关于映翰通InRouter路由器与中心端OpenVPN 服务器构建OpenVPN的方法。InRouter 61X,Inrouter 71X全系列产品均支持VPN功能,并与众多国际主流中心端设备厂商产品兼容。建立起OpenVPN之后便可以实现下位机—InRouter设备LAN端与上位机—中心端设备LAN进行双向通信。
2. 网络拓扑
2.1 网络拓扑
2.2 网络拓扑说明
中心端边缘设备公网IP地址为222.211.221.48,掩码为255.255.255.255,内网LAN口IP地址为10.5.99.1,掩码为255.255.255.0.
备注:如果中心端公网IP采用动态获取,则需要采用DDNS技术辅助Openvpn的搭建(具体操作步骤请查阅相关文档)
OpenVPN服务端采用PC服务器,操作系统为Windows XP Professional SP3,IP地址为10.5.99.198,掩码为255.255.255.0,网关为10.5.99.1.
在中心端边缘设备上做端口映射,将所有来自外部的目的地址为221.237.13.34,目的端口为UDP 1194的包转发给10.5.99.125.
备注:因各个厂家的中心端边缘设备在端口映射方面配置不一样,所以本手册在此不作介绍(具体配置方法请查阅相关文档)
接入端1设备为InRouter 61X/71X;外部IP地址采用3G拨号,内部IP地址192.168.2.1,掩码255.255.255.0
接入端2设备为InRouter 61X/71X;外部IP地址采用3G拨号,内部IP地址192.168.3.1,掩码255.255.255.0
2.3 OpenVPN简介
OpenVPN是一个用于创建虚拟专用网络(Virtual Private Network)加密通道的免费开源软件。使用OpenVPN可以方便地在家庭、办公场所、住宿酒店等不同网络访问场所之间搭建类似于局域网的专用网络通道。OpenVPN使用方便,运行性能优秀,支持Solaris、Linux 2.2+(Linux 2.2+表示Linux 2.2及以上版本,下同)、OpenBSD 3.0+、FreeBSD、NetBSD、Mac OS X、Android和Windows 2000+的操作系统,并且采用了高强度的数据加密,再加上其开源免费的特性,使得OpenVPN成为中小型企业及个人的VPN首选产品。
OpenVPN的大致工作原理就是在服务器端和客户端之间搭建一个独立于当前网络环境的加密通道,将服务器端和多个客户端组建成一个独立的虚拟局域网,从而实现服务器端和客户端、客户端和客户端之间的相互通信。
可以点击下列链接直接从360云盘下载OpenVPN 2.3.0的官方正式版Windows安装文件(特别值得注意的是:由于Windows自身的限制,Windows版本的OpenVPN只有具备管理员权限的用户才能成功安装。当前最新版本的OpenVPN 2.3.0 只能在Windows XP及以上版本的操作系统上安装)。
下载网站:http://openvpn.ustc.edu.cn/
官方网站:http://openvpn.se/
3. 配置指导
3.1 中心端OpenVPN服务器配置
3.1.1 服务端软件安装
在安装的时候,必须注意的是:在OpenVPN 2.3.0中,默认是不安装easy-rsa(一个加密证书生成程序)的,因此,我们必须手动勾选如下图所示的两个选项(在OpenVPN 2.2中是默认选中的)。
然后一路Next(如果询问是否安装TAP-Win32驱动程序时,请选择“仍然继续”),就安装成功了。
3.1.2 OpenVPN服务端配置概述
OpenVPN的配置工作主要分为如下两步:
A. 创建加密证书和私钥,其中包括服务器端和客户端都要用到的核心CA证书和私钥,服务器端自身的加密证书(即公钥)和私钥,以及每个客户端对应的加密证书和私钥。
B. 为服务器和客户端编写对应的配置文件,然后将其与第一步中生成的相应证书、私钥放在OpenVPN安装目录的config文件夹下。
OpenVPN支持基于加密证书的双向认证。在OpenVPN中,不管是服务器还是客户端,所有的证书和私钥都需要由服务器端生成,客户端要先获得服务器端分配给它的加密证书和密钥才能成功连接。这与使用网上银行有些类似,大多数银行网站都会要求先下载并安装一个数字证书,才允许进行网上付款或其他操作。
3.1.3 OpenVPN服务端配置步骤一:创建加密证书和私钥
3.1.3.1 修改OpenVPN服务器端的vars.bat.sample文件
使用记事本或其他文本编辑工具打开OpenVPN安装目录\easy-rsa\vars.bat.sample文件,如下图所示:
备注:变量HOME表示easy-rsa文件夹的路径 (本手册的OpenVPN服务器端安装在D:\OpenVPN)。变量KEY_SIZE表示生成的私钥大小,一般填写为1024或2048,默认为1024位,可以根据自己的需要进行修改,本手册使用默认值。
由于稍后给客户端生成对应加密证书和私钥时,程序会要求我们输入一些注册信息。如果需要配置多个客户端,并且许多信息都相同(比如国家、省市、地址、公司名称等)还可以修改vars.bat.sample文件后面的一些相关变量的默认值,这样在稍后生成客户端证书的时候,如果该信息项不输入就会采用默认值。
3.1.3.2运行DOS命令,初始化执行环境。
在作为服务器端的电脑上打开DOS命令窗口,并进入到%OpenVPN的安装目录%\easy-rsa目录。本手册的服务器端安装目录是D:\OpenVPN,因此这里进入D:\OpenVPN\easy-rsa。
然后依次输入并执行以下命令(括号内是附加的注释):
init-config(初始化配置,将vars.bat.sample文件的内容复制到vars.bat。实际上,也可以直接双击执行easy-rsa目录下的init-config.bat文件来代替这一步。)
vars(设置相应的局部环境变量,就是我们在vars.bat.sample文件中设置的内容)
clean-all(相关设置和清理工作)
3.1.3.3 创建CA根证书:build-ca
如上图所示,在build-ca的时候需要输入一些注册信息。在输入信息的时候,如果不输入任何信息,就表示采用默认值(前面中的内容就是默认值);如果输入.,则表示当前信息项留空白。值得注意的是,上图中红色矩形框中的inhand_CA是证书的通用名称(Common Name),相当于我们常说的账号,也可以自行输入其他名称。
3.1.3.4 创建服务器端证书:build-key-server server
如上图所示,命令中的参数server指的是生成的证书文件名称,可以按照自己的需要进行修改,不过后面的Common Name也应保持一致。第二个红色矩形框中是输入的密码,也可以根据意愿自行输入。最后程序会询问是否注册并提交证书,两次均输入y即可。
3.1.3.5 创建迪菲•赫尔曼密钥:build-dh
迪菲•赫尔曼密钥交换(Diffie–Hellman key exchange,简称“D–H”) 是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥,这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。
3.1.3.6 创建客户端证书:build-key client
如上图所示,命令中的参数client表示生成的证书文件名称,可以按照自己的需要进行修改,不过后面的Common Name也应保持一致。第二个红色矩形框中是输入的密码,也可以根据意愿自行输入。最后程序会询问是否注册并提交证书,两次均输入y即可。
如果想创建多个不同的客户端证书,只需要重复此步骤即可。切记,Common Name不要重复,这是OpenVPN用来区分不同客户端的关键所在。
创建完证书后,我们会发现easy-rsa目录下多了一个keys文件夹。现在我们将keys文件夹中对应的文件复制到OpenVPN服务器或客户端的安装目录的config文件夹下。
服务器端config目录需要的文件包括:
ca.crt
ca.key(核心CA证书和私钥)
dh1024.pem(如果最初的变量KEY_SIZE设为2048,这里就是dh2048.pem)
server.crt
server.key(名称server根据个人设置可能有所不同)
客户端config目录需要的文件包括:
ca.crt
client.crt
client.key(名称client根据个人设置可能有所不同)
非常重要的提醒:以上命令都是在同一个DOS窗口中执行的,如果以后需要打开新窗口来执行命令(比如创建新的客户端证书):不需要再执行init-config命令,除非再次改动了vars.bat.sample文件;每一次打开新窗口时都需要先执行vars命令,后面才能执行其他命令。
3.1.4 OpenVPN服务端配置步骤二:编写对应的配置文件
上面我们已经创建了OpenVPN配置所需要的各种证书和私钥,现在我们开始为服务器和客户端编写对应的配置文件。
在OpenVPN的安装目录的sample-config文件夹中存放有3个示例模板文件:server.ovpn、client.ovpn、sample.ovpn。其中,server.ovpn是服务器的配置模板,client.ovpn是客户端的配置模板(sample.ovpn也可用作客户端配置模板,不过配置比较简单,不够全面。
我们就复制server.ovpn到服务器的config目录,并在此基础上进行修改。在OpenVPN的配置文件中,前面带“#”或“;”的表示注释内容。
3.1.4.1 编辑服务器端配置文件。
server.ovpn的英文注释中已经比较清楚地解释了每一个设置的作用,本手册对配置文件的英文注释作了全文翻译,可以点击查看server.ovpn的配置内容详解,在此不再赘述,下面只提取所有用到的命令。
local 10.5.99.198 #指定监听的本机IP(因为有些计算机具备多个IP地址),该命令是可选的,默认监听所有IP地址。
port 1194 #指定监听的本机端口号
proto udp #指定采用的传输协议,可以选择tcp或udp
dev tun #指定创建的通信隧道类型,可选tun或tap
ca ca.crt #指定CA证书的文件路径
cert server.crt #指定服务器端的证书文件路径
key server.key #指定服务器端的私钥文件路径
dh dh1024.pem #指定迪菲赫尔曼参数的文件路径
server 172.16.1.0 255.255.255.0 #指定虚拟局域网占用的IP地址段和子网掩码,此处配置的服务器自身占用172.16.1.1。
ifconfig-pool-persist ipp.txt #服务器自动给客户端分配IP后,客户端下次连接时,仍然采用上次的IP地址(第一次分配的IP保存在ipp.txt中,下一次分配其中保存的IP)。
keepalive 10 120 #每10秒ping一次,连接超时时间设为120秒。
comp-lzo #开启VPN连接压缩,如果服务器端开启,客户端也必须开启
client-to-client #允许客户端与客户端相连接,默认情况下客户端只能与服务器相连接
persist-key
persist-tun #持久化选项可以尽量避免访问在重启时由于用户权限降低而无法访问的某些资源。
status openvpn-status.log #指定记录OpenVPN状态的日志文件路径
verb 3 #指定日志文件的记录详细级别,可选0-9,等级越高日志内容越详细
3.1.4.2实际修改内容截图
3.1.5 创建路由
在OpenVPN建立成功后,服务器可以ping通OpenVPN客户端创建的虚拟接口IP,但无法ping通客户端路由器的LAN网段,所以需要在服务器端添加静态路由去往相应客户端LAN网段的路由。
1、在config文件夹下创建一个“ccd”文件夹
2、在ccd文件夹创建一个文本文件“client”,需要注意不是client.txt,该文件没有后缀。这个文件的名字与证书名字对应,该配置主要功能是,当以客户端clinet为证书连接服务器后,服务器将去往该客户端的路由192.168.2.0/24 添加到服务器本地路由表中。
3、若在客户端中使能NAT模式,则不需要创建路由。
3.2 中心端OpenVPN服务器后续操作
3.2.1 启动OpenVPN服务
点击桌面“开始”菜单,在运行框中输入”services.msc”,然后回车。
双击OpenVPN Service
至此,OpenVPN服务已启动完成。
3.2.2 拷贝客户端证书和根证书
在中心端OpenVPN服务器配置完成后,需要将为客户端生成的数字证书和根证书拷贝出来便于客户端在证书导入时使用。
3.2 远端IRouter基本配置
3.2.1 远端InRouter LAN口配置
3.3 远端OpenVPN配置
3.3.1进入IR700证书管理
3.3.2导入客户端的证书
首先选择(CA)证书(服务器端所生成的CA.crt文件)点击导入根(CA)证书。
选择公钥证书(服务器生成的Client.crt文件)点击导入公钥证书
选择私人证书(服务器生成的Client.key文件)点击导入私人证书
一定要点导入证书,显示导入成功之后,在点击应用才能生效,注意若没有启用自申请证书功能,手动换证书时,需要将设备恢复出厂值(系统-配置管理,恢复出厂之前可以备份配置)。
3.3.3 配置OpenVPN
选择新增按钮
OPENVPN服务器:222.211.221.48(中心端的IP地址)
认证方式:数字证书(多客户端)(通过证书的方式认证)
远端子网:10.5.99.0(中心端的子网地址)
远端子网掩码:255.255.255.0
启用NAT:勾选(vpn内流量将改写源地址,若使用路由模式则不需要勾选)
启用LZO压缩(服务器端启用了该选项,所以必须启用)
加密算法:Blowfish128(默认)
接口类型:TUN(默认)
保存成功以后1分钟内隧道状态会显示已连接
3.4 IR900 OpenVPN客户端配置
3.4.1 IR900 LAN端口配置
3.4.2 证书导入
分别3次导入CA、公钥、私钥
首先选择(CA)证书(服务器端所生成的CA.crt文件)点击导入根(CA)证书。选择公钥证书(服务器生成的Client.crt文件)点击导入公钥证书、选择私人证书(服务器生成的Client.key文件)点击导入私人证书。一定要点导入证书,显示导入成功之后,在点击应用才能生效。注意若没有启用自申请证书功能,手动换证书时,需要将设备恢复出厂值(系统-配置管理,恢复出厂之前可以备份配置)。
3.4.3 创建OpenVPN
OPENVPN服务器:222.211.221.48(中心端的IP地址)
认证方式:数字证书 (通过证书的方式认证)
远端子网:10.5.99.0(中心端的子网地址)
远端子网掩码:255.255.255.0
启用NAT:勾选(vpn内流量将改写源地址,若使用路由模式则不需要勾选)
启用LZO压缩(服务器端启用了该选项,所以必须启用)
加密算法:Blowfish128(默认)
接口类型:TUN(默认)
IR900 简易配置手册
http://wenku.baidu.com/view/9c595023284ac850ac024225
3.5 验证
3.5.1 中心端验证
Thu Jun 27 18:14:14 2013 119.4.252.148:17794 TLS: Initial packet from [AF_INET]119.4.252.148:17794, sid=af241491 4ee45d00
Thu Jun 27 18:14:19 2013 119.4.252.148:17794 VERIFY OK: depth=1, C=CN, ST=SC, L=ChengDu, O=inhand, OU=TS, CN=inhand_CA, name=inhand, emailAddress=inhand@inhand.com.cn
Thu Jun 27 18:14:19 2013 119.4.252.148:17794 VERIFY OK: depth=0, C=CN, ST=SC, L=ChengDu, O=inhand, OU=Branch, CN=client, name=inhand, emailAddress=inhand@inhand.com.cn
Thu Jun 27 18:14:20 2013 119.4.252.148:17794 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 27 18:14:20 2013 119.4.252.148:17794 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 27 18:14:20 2013 119.4.252.148:17794 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 27 18:14:20 2013 119.4.252.148:17794 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 27 18:14:21 2013 119.4.252.148:17794 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 27 18:14:21 2013 119.4.252.148:17794 [client] Peer Connection Initiated with [AF_INET]119.4.252.148:17794
Thu Jun 27 18:14:21 2013 MULTI: new connection by client 'client' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Thu Jun 27 18:14:21 2013 MULTI_sva: pool returned IPv4=172.16.1.6, IPv6=(Not enabled)
Thu Jun 27 18:14:21 2013 MULTI: Learn: 172.16.1.6 -> client/119.4.252.148:17794
Thu Jun 27 18:14:21 2013 MULTI: primary virtual IP for client/119.4.252.148:17794: 172.16.1.6
Thu Jun 27 18:14:23 2013 client/119.4.252.148:17794 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun 27 18:14:23 2013 client/119.4.252.148:17794 send_push_reply(): safe_cap=940
Thu Jun 27 18:14:23 2013 client/119.4.252.148:17794 SENT CONTROL [client]: 'PUSH_REPLY,route 172.16.1.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 172.16.1.6 172.16.1.5' (status=1)
上述信息显示服务端已将172.16.1.6分配给远端InRouter
3.4.2 远端InRouter验证
打开远端计算机的cmd工具ping一下中心端的虚拟IP地址172.16.1.1。
如果可以ping通则成功
收起阅读 »
IPSecVPN + PPTP VPN Demo 搭建配置
拓扑说明
1、 下图中左侧为公司办公网络,运营商有线网络首先进入公司防火墙;
2、 防火墙局域网为192.168.100.0/24 在防火墙中将公网IP 地址 219.232.192.xxx的UDP 500、4500、1723 映射到局域网IP 192.168.100.36的UDP 500、4500、1723 ,该映射的作用是在Internet中到的其他节点访问该公网地址219.232.192.xxx防火墙自动将数据转发到CiscoRV042;
3、 CiscoRV042 为VPN 路由器 ,WAN (Internet)接口为 192.168.100.36,LAN接口为172.16.0.0/24
4、 无线路由器使用联通/电信3G网络无线联网,LAN 网段 172.16.1.1 /24;
5、 CiscoRV042 与3G 路由器之间建立IPSecVPN 后,RV042 LAN网段172.16.0.0/24 就可以与3G路由器 LAN 网段 172.16.1.0/24 相互访问。
6、 工程师在公网可以使用PPTP VPN 连接至RV042 后即可访问3G路由器及下联设备;
说明 : 在该拓扑中防火墙将公网IP 219.232.192.xxx 映射为内IP 192.168.100.36,在通常情况若无防火墙则可以将公网IP直接配置到CiscoRV042 的WAN端口即可。CiscoRV042是一款低端VPN路由器,若需要性能更强的可以根据具体情况咨询。
RV042 配置
LAN接口配置
RV042默认的LAN接口IP地址为192.168.1.1/24,初次配置时计算机本地连接设置为自动获取IP地址即可,打开IE浏览器登陆:https://192.1681.1 用户名密码均为admin。
Setup – Network – LAN Seting
Device IP address: 172.16.0.1
Subnet: 255.255.255.0
WAN:
WAN1 点击“configuration”
若该拓扑中没有前置防火墙,可以直接将公网IP配置到“Specify WAN IP Address”中。
创建IPSecVPN
VPN – Gateway to Gateway
IR7XX路由器配置
LAN 接口配置
网络-LAN接口
创建IPSecVPN
IPSec 建立成功状态
IR9XX路由器配置
配置LAN接口
新建IPSecVPN
增加ICMP探测
VPN建立后,IPSec状态选项卡中的隧道“IPSEC_1”的状态为Conneted。
测试隧道连通性
PPTP VPN 创建
收起阅读 »
IPSEC DMVPN 实验配置
SPOKE1,SPOKE2,VPN-gateway为C网络边界路由器,loopback0接口模拟企业内部PC,C网络运行的IGP为OSPF,CE2为OSPF DR。为了防止OSPFneighbor关系不同步进而造成OSPF database不同步,因此CE1,CE2的tunnel 0接口的ospf priority配置为0。将各个分支tunnel 0接口ospf 网络类型配置为broadcast(默认ospf 网络类型为点到多点),这样分支路由器才能在前往目标前缀的路由中将合适的分支指定为下一跳,这样分支之间的数据流就可以直接进行收发而无需经由VPN gateway中转,进而可以动态建立分支与分支之间的IPSEC VPN连接。如果C网络使用距离矢量路由选择协议时,必须禁用水平分割,这样中心路由器才能将路由选择更新从收到他们的mGRE接口重新通告出去。链路状态路由选择协议将自动确定合适的下一跳(网络类型为broadcast)。VPN-gateway为NHRP NHS。
SPOKE1 configuration
SPOKE1#sh run
Building configuration...
Current configuration : 1879 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 192.168.1.2 172.16.2.2
ip nhrp map multicast 172.16.2.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 0
tunnel source Serial1/1
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/1
ip address 172.16.1.1 255.255.255.0
serial restart-delay 0
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 Serial1/1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
SPOKE1#
SPOKE2 configuration
SPOKE2#sh run
Building configuration...
Current configuration : 1854 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 192.168.1.2 172.16.2.2
ip nhrp map multicast 172.16.2.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 0
tunnel source Serial1/0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface Serial1/0
ip address 172.16.3.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 3.3.3.3 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 Serial1/0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
SPOKE2#
VPN-gateway configuration
VPN-gateway#sh run
Building configuration...
Current configuration : 1829 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 100
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
ip address 172.16.2.2 255.255.255.0
duplex half
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
VPN-gateway#
Internet configuration
Internet#sh run
Building configuration...
Current configuration : 1099 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Internet
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
ip address 172.16.2.1 255.255.255.0
duplex half
!
interface Serial1/0
ip address 172.16.1.2 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
ip address 172.16.3.2 255.255.255.0
serial restart-delay 0
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
ip route 1.1.1.1 255.255.255.255 Serial1/0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
Internet#
Show信息(只展示SPOKE2 与VPN-gateway的信息,SPOKE1与SPOKE2大同小异因此忽略)
VPN-gateway#sh ip ospf nei
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 0 FULL/DROTHER 00:00:37 192.168.1.1 Tunnel0
3.3.3.3 0 FULL/DROTHER 00:00:30 192.168.1.3 Tunnel0
VPN-gateway#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
172.16.2.2 172.16.3.1 QM_IDLE 1002 0 ACTIVE
172.16.2.2 172.16.1.1 QM_IDLE 1001 0 ACTIVE
IPv6 Crypto ISAKMP SA
VPN-gateway#sh cry ipse sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.2.2
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 308, #pkts encrypt: 308, #pkts digest: 308
#pkts decaps: 306, #pkts decrypt: 306, #pkts verify: 306
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.2.2, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xACC377A1(2898491297)
inbound esp sas:
spi: 0xD41C8FC5(3558641605)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: 1, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4474774/1345)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xACC377A1(2898491297)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: 2, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4474774/1343)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
current_peer 172.16.3.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 308, #pkts encrypt: 308, #pkts digest: 308
#pkts decaps: 302, #pkts decrypt: 302, #pkts verify: 302
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.2.2, remote crypto endpt.: 172.16.3.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x10182812(270018578)
inbound esp sas:
spi: 0x34DC2EF2(886845170)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 3, flow_id: 3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4562923/1345)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x10182812(270018578)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 4, flow_id: 4, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4562922/1344)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
VPN-gateway#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 172.16.2.1 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11112] via 192.168.1.1, 00:27:12, Tunnel0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11112] via 192.168.1.3, 00:27:12, Tunnel0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.2.0 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, Tunnel0
S* 0.0.0.0/0 [1/0] via 172.16.2.1
VPN-gateway#
SPOKE2#sh ip ospf nei
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 100 FULL/DR 00:00:34 192.168.1.2 Tunnel0
SPOKE2#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
172.16.3.1 172.16.1.1 QM_IDLE 1002 0 ACTIVE
172.16.2.2 172.16.3.1 QM_IDLE 1001 0 ACTIVE
172.16.1.1 172.16.3.1 QM_IDLE 1003 0 ACTIVE
IPv6 Crypto ISAKMP SA
SPOKE2#sh cry ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.3.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.3.1, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x1469C8EF(342477039)
inbound esp sas:
spi: 0x5AA55914(1520785684)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 7, flow_id: 7, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576485/1398)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1469C8EF(342477039)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 8, flow_id: 8, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576485/1397)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
current_peer 172.16.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 309, #pkts encrypt: 309, #pkts digest: 309
#pkts decaps: 315, #pkts decrypt: 315, #pkts verify: 315
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 76, #recv errors 0
local crypto endpt.: 172.16.3.1, remote crypto endpt.: 172.16.2.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x34DC2EF2(886845170)
inbound esp sas:
spi: 0x10182812(270018578)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: 1, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4448851/1278)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x34DC2EF2(886845170)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: 2, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4448852/1277)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
SPOKE2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11112] via 192.168.1.1, 00:28:17, Tunnel0
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/11112] via 192.168.1.2, 00:28:17, Tunnel0
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.3.0 is directly connected, Serial1/0
C 192.168.1.0/24 is directly connected, Tunnel0
S* 0.0.0.0/0 is directly connected, Serial1/0
SPOKE2#
DMVPN连通性测试
SPOKE1#ping 2.2.2.2 source loop 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/81/112 ms
SPOKE1#ping 3.3.3.3 source loop 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/56/72 ms
收起阅读 »
SPOKE1 configuration
SPOKE1#sh run
Building configuration...
Current configuration : 1879 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 192.168.1.2 172.16.2.2
ip nhrp map multicast 172.16.2.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 0
tunnel source Serial1/1
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/1
ip address 172.16.1.1 255.255.255.0
serial restart-delay 0
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 Serial1/1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
SPOKE1#
SPOKE2 configuration
SPOKE2#sh run
Building configuration...
Current configuration : 1854 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 192.168.1.2 172.16.2.2
ip nhrp map multicast 172.16.2.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 0
tunnel source Serial1/0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface Serial1/0
ip address 172.16.3.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 3.3.3.3 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 Serial1/0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
SPOKE2#
VPN-gateway configuration
VPN-gateway#sh run
Building configuration...
Current configuration : 1829 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key xinjialove address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set xinjialove esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile xinjialove
set transform-set xinjialove
!
!
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp nhs 192.168.1.2
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 100
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile xinjialove
!
interface FastEthernet0/0
ip address 172.16.2.2 255.255.255.0
duplex half
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
router ospf 1
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end
VPN-gateway#
Internet configuration
Internet#sh run
Building configuration...
Current configuration : 1099 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Internet
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
ip address 172.16.2.1 255.255.255.0
duplex half
!
interface Serial1/0
ip address 172.16.1.2 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
ip address 172.16.3.2 255.255.255.0
serial restart-delay 0
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
ip route 1.1.1.1 255.255.255.255 Serial1/0
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
Internet#
Show信息(只展示SPOKE2 与VPN-gateway的信息,SPOKE1与SPOKE2大同小异因此忽略)
VPN-gateway#sh ip ospf nei
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 0 FULL/DROTHER 00:00:37 192.168.1.1 Tunnel0
3.3.3.3 0 FULL/DROTHER 00:00:30 192.168.1.3 Tunnel0
VPN-gateway#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
172.16.2.2 172.16.3.1 QM_IDLE 1002 0 ACTIVE
172.16.2.2 172.16.1.1 QM_IDLE 1001 0 ACTIVE
IPv6 Crypto ISAKMP SA
VPN-gateway#sh cry ipse sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.2.2
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 308, #pkts encrypt: 308, #pkts digest: 308
#pkts decaps: 306, #pkts decrypt: 306, #pkts verify: 306
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.2.2, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xACC377A1(2898491297)
inbound esp sas:
spi: 0xD41C8FC5(3558641605)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: 1, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4474774/1345)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xACC377A1(2898491297)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: 2, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4474774/1343)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
current_peer 172.16.3.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 308, #pkts encrypt: 308, #pkts digest: 308
#pkts decaps: 302, #pkts decrypt: 302, #pkts verify: 302
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.2.2, remote crypto endpt.: 172.16.3.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x10182812(270018578)
inbound esp sas:
spi: 0x34DC2EF2(886845170)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 3, flow_id: 3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4562923/1345)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x10182812(270018578)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 4, flow_id: 4, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4562922/1344)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
VPN-gateway#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 172.16.2.1 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11112] via 192.168.1.1, 00:27:12, Tunnel0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11112] via 192.168.1.3, 00:27:12, Tunnel0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.2.0 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, Tunnel0
S* 0.0.0.0/0 [1/0] via 172.16.2.1
VPN-gateway#
SPOKE2#sh ip ospf nei
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 100 FULL/DR 00:00:34 192.168.1.2 Tunnel0
SPOKE2#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
172.16.3.1 172.16.1.1 QM_IDLE 1002 0 ACTIVE
172.16.2.2 172.16.3.1 QM_IDLE 1001 0 ACTIVE
172.16.1.1 172.16.3.1 QM_IDLE 1003 0 ACTIVE
IPv6 Crypto ISAKMP SA
SPOKE2#sh cry ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.3.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.3.1, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x1469C8EF(342477039)
inbound esp sas:
spi: 0x5AA55914(1520785684)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 7, flow_id: 7, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576485/1398)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1469C8EF(342477039)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 8, flow_id: 8, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576485/1397)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.3.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.2.2/255.255.255.255/47/0)
current_peer 172.16.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 309, #pkts encrypt: 309, #pkts digest: 309
#pkts decaps: 315, #pkts decrypt: 315, #pkts verify: 315
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 76, #recv errors 0
local crypto endpt.: 172.16.3.1, remote crypto endpt.: 172.16.2.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x34DC2EF2(886845170)
inbound esp sas:
spi: 0x10182812(270018578)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: 1, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4448851/1278)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x34DC2EF2(886845170)
transform: esp-des esp-md5-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: 2, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4448852/1277)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
SPOKE2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11112] via 192.168.1.1, 00:28:17, Tunnel0
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/11112] via 192.168.1.2, 00:28:17, Tunnel0
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.3.0 is directly connected, Serial1/0
C 192.168.1.0/24 is directly connected, Tunnel0
S* 0.0.0.0/0 is directly connected, Serial1/0
SPOKE2#
DMVPN连通性测试
SPOKE1#ping 2.2.2.2 source loop 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/81/112 ms
SPOKE1#ping 3.3.3.3 source loop 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/56/72 ms
收起阅读 »
Inrouter与Juniper Netscreen Firewall构建IPsec VPN 配置指导
Future Inhand! 1
版本说明 2
声明 3
技术支持 4
前言 5
目录 6
概述 7
应用拓扑 8
配置步骤 9
1.NetScreen基本配置 9
1.1配置WAN端口 12
1.1.1 静态IP地址模式 12
1.1.2 PPPoE模式 13
1.1.3 DHCP动态地址模式 16
1.2配置LAN端口 17
1.3配置tunnel接口 20
1.4配置策略 21
2.与一台远端设备对接VPN配置 25
2.1 InRouter远端1配置 25
2.2. NetScreen配置 27
2.2.1 NetScreen阶段一 27
2.2.2 NetScreen阶段二 29
2.2.3 配置远端1路由条目 32
3.与多台远端设备对接VPN配置 33
3.1 InRouter远端2配置 33
3.2 NetScreen配置 34
3.1.1 NetScreen阶段一 34
3.1.2 NetScreen阶段二 35
3.1.3 配置远端2路由条目 37
3.1.4 配置NHTB表 38
3.1.5 配置多个远端的路由条目 40
注意事项 42
关于SSG系列所支持的VPN通道数量参数说明: 42
SSG5/SSG20 43
SSG140 44
概述
本文档主要记录了关于映翰通InRouter路由器与中心端为其他厂商支持VPN的配置进行LAN-to-LAN VPN对接的配置方法。InRouter 600,Inrouter 700全系列产品均支持VPN功能,并与众多国际中心端主流中心端设备厂商产品兼容。建立起LAN-to-LAN VPN之后便可以实现下位机—InRouter设备LAN端与上位机—中心端设备LAN进行双向通信。
应用拓扑
配置步骤
1.NetScreen基本配置
在NetScreen系列防火墙端口的初始配置下(这里以SSG5系列为例), Bgroup0在trust区域并关联上了ethernet0/2-6,Bgroup1-3在Null区域。ethernet0/0口在Untrust区域。ethernet0/1在DMZ区域,Serial0/0工作在Null区域,vlan1工作在Null区域。
在对WAN口进行配置之前可以对接口做一个规划。在这我们把ethernet0/0做为WAN口放在Untrust区域。把ethernet0/1也放入到Bgoup0中去做为LAN口。
WEBUI
Network > Interfaces (List)
WEBUI
Zone Name:Null(只有在Null区域的接口才能被关联到Bgroup中)
WEBUI
Network > Interfaces (List)
WEBUI
Network > Interfaces > Edit > Bind Port
Bind to current Bgroup
Ethernet0/2:(勾选)
Ethernet0/3:(勾选)
Ethernet0/4:(勾选)
Ethernet0/5:(勾选)
Ethernet0/6:(勾选)
现在E0/1-6就都成为了LAN端口了
1.1配置WAN端口
1.1.1 静态IP地址模式
下图中ethernet0/0 的IP为172.0.0.254/24 为设备的出厂默认值。若运用商为该线路分配了IP为125.69.128.0/24的地址,则需要根据将WAN接口的地址修改为此IP地址。
WEBUI
Network > Interfaces (List)
WEBUI
Network > Interfaces > Edit
Static IP
IP Address/Netmask:125.69.128.108/24(中心端的固定IP地址)
1.1.2 PPPoE模式
WEBUI
Network > Interfaces(List)
Zone Name:Untrust
Obtain IP using PPPoE:Create new pppoe setting
WEBUI
Network > PPPoE > Edit
Enable:(勾选)
Bound to Interface:ethernet0/0
Username:(填写pppoe的账号)
Password:(填写pppoe的密码)
Authentication:any(包含了CHAP PAP两种认证方式)
现在Ethernet0/0就已经设置成为了pppoe的WAN端拨号口。
检查pppoe状态
配置好后在
WEBUI
Network > PPPoE (List)
可以看到State栏会变成Connected状态
回到
WEBUI
Network > Interfaces (List)
如图所示在ethernet0/0的pppoe栏会看到一个绿色的 表示拨号已经成功。并且IP/Network栏会看到pppoe分配的ip地址和掩码。如果看到是一个红色的 表示拨号没成功,如果点击一下 系统会重启拨号过程,如果还是失败就检查是否线路或者配置有错误。
1.1.3 DHCP动态地址模式
WEBUI
Network > Interfaces (List)
WEBUI
Network > Interfaces > Edit
Obtain IP using DHCP:选取
点击ok之后30秒以内就可以获取到IP地址。
1.2配置LAN端口
WEBUI
Network > Interfaces (List)>Edit
Properties:Basic
Zone Name:Trust
Static IP:IP Address/Netmask 172.0.0.1/24 Manageable(勾选)
Interface Mode:NAT
这里需要注意一个问题,在吧Bgroup0的地址从192.168.1.1/24配置到实际需要的地址(172.0.0.1/24)之后。由于DHCP中关于该接口的地址池配置不会自动创建,所以会导致不能通过WEB界面继续对SSG5进行配置。需要给自己的主机手工设置一个地址。如172.0.0.33/24。再在WEB界面登录172.0.0.1就可以继续对SSG5进行配置了。
WEBUI
Network > DHCP (List)
WEBUI
Network > DHCP (List)
WEBUI
Network > DHCP > DHCP Server Address Edit
Dynamic: IP Address Start:172.0.0.2(网段中的起始地址)
IP Address End:172.0.0.254(网段中的结束地址)
现在取消掉手动配置的ip地址以后就可以通过DHCP自动获得IP地址了。
1.3配置tunnel接口
WEBUI
Network > Interfaces (List)>New
WEBUI
Unnumbered:选择 Interface:ethernet0/0(trust-vr)
创建一个tunnel接口并将改接口关联到WAN口上。以备ipsec发送数据时使用。
1.4配置策略
在系统默认的情况下我们有一条重Trust区域所有条目到Untrust区域的所有条目的策略。而在VPN的环境中我们必须要做到无论哪个区域优先发起的流量都能通信,所以需要在Untrust到Trust的区域添加一条策略。
WEBUI
Policy > Policy Elements > Addresses > List
WEBUI
Policy > Policy Elements > Addresses > Configuration
Address Name:远端1LAN(为远端1的列表配置一个名称)
IP Address/Netmask(wildcard mask):192.168.2.0/24(对端1LAN的地址)
Zone:Untrust(远端1的流量从tunnel口进来属于Untrust区域)
WEBUI
Policy > Policy Elements > Addresses > List
Policy > Policy Elements > Addresses > Configuration
Address Name:本地LAN(给本地LAN的条目配置一个名称)
IP Address/Netmask(wildcard mask):172.0.0.0/24(本地LAN的地址和掩码)
Zone:Trust(本地LAN应该属于Trust区域)
WEBUI
Policy > Policies (From Untrust To Trust)
From:Untrust(选取) to:Trust(选取)
WEBUI
Policy > Policies (From Untrust To Trust)
Source Address:Address Book Enty:远端1LAN(之前为远端1条目创建的列表,因为是从Untrust到trust所以这里为源)
Destination Address:Address Book Enty:本地LAN(本地LAN列表名)
点击OK一条从Untrust到Trust的策略就配置好了。使得双方的LAN端可以顺利通信。
2.与一台远端设备对接VPN配置
2.1 InRouter远端1配置
相对而言InRouter配置就简单多了。
WEBUI
VPN配置>IPSec隧道配置
对端地址:填入中心端NetScreen的WAN口地址
启动方法:自动启动(设备会自动发送流量去激活隧道)
协商模式:野蛮模式(和对端一样aggressive模式)
隧道类型:子网-子网(选择LAN-2-LAN的VPN)
本地子网地址:192.168.2.0(本地子网号)
本地子网掩码:255.255.255.0
对端子网地址:172.0.0.0(对端子网号)
对端子网掩码:255.255.255.0
第一阶段配置
IKE策略:选择3DES-MD5-DH2(中心端的compabible level包含了此模式)
本地标识类型:User FQDN(FQDN用邮件的方式表示,IP地址用IP地址来验证)
本地标识:700@InRouter1(和中心端的Remote Gateway Peer ID必须一致)
对端标识类型:IP地址(用中心端的ip地址认证对端是否合法)
认证方式:共享密钥 (就是Preshare key)
密钥:inhand(和中心端的preshare key必须一致)
第二阶段配置
IPSec策略:3DES-MD5-96(中心端第二阶段的compabible level包含了此模式)
IPSec生命周期:3600(默认即可)
点击保存30秒以内ipsec的两个SA就可以established了。说明ipsec的隧道已经打通了。如果不成功的话。那说明一个问题就是----你配错了。
2.2. NetScreen配置
2.2.1 NetScreen阶段一
WEBUI
VPNs > AutoKey Advanced > Gateway>New
WEBUI
VPNs > AutoKey Advanced > Gateway > Edit
Gateway Name: Nets2Inrou(为第一阶段定义一个名字,以便在第二阶段去调用。名字可以自由定义)
Remote Gateway:(选取)
Dynamic IP Address:Peer ID- 700@InRouter1(验证方式设置为验证对端的user fqdn-以邮件地址的方式。也可以设置成fqdn-以地址的方式)
选择Advanced
VPNs > AutoKey Advanced > Gateway > Edit
Preshared Key:inhand
Outgoing Interface:ethernet0/0(这里选择了pppoe拨号的WAN端口)
Security Level:Compatible(选取此模式包含了pre-g2-3des-md5,详见附录1)
Mode:Aggressive(选择为野蛮模式如选错会导致第一阶段失败)
2.2.2 NetScreen阶段二
WEBUI
VPNs > AutoKey IKE > New
WEBUI
VPNs > AutoKey IKE > Edit
VPN Name:Nets2InrouVPN
Remote Gateway:Predefinad 选取 Nets2Inrou (关联阶段一配置的Gateway)
点击Advanced
WEBUI
VPNs > AutoKey IKE > Edit
Predefined:compabible(和阶段一相同如果是esp头3des加密方式md5的hmac的话可以直接选择compabible此模式包含了此种模式,详见附录1)
Bind to:Tunnel Interface: tunnel.1(关联上在1.4部所建立的tunnel口已确认ipsec数据发送的接口)
Prexy-ID:勾选
Local IP/Netmask:172.0.0.0/24(本地LAN的网络号)
Remote IP/Netmask:192.168.2.0/24(远端LAN的网络号)
Service:ANY
到此为止就是NetScreen作为中心端的一个常规配置。
2.2.3 配置远端1路由条目
不过这时如果两边互相ping是ping不通的。以下是ping中心端网关的截图。
这是因为在中心端的NetScreen上没有做路由
WEBUI
Network > Routing > Routing Entries > Configuration
IP Address/Netmask:192.168.2.0/24(对端LAN网段)
Gateway:Interface: tunnel.1(设置去对端LAN网段的数据包网关接口为tunnel.1口)
现在在中心端做好了去对端LAN网段的路由就可以ping通了。
到此处一台NetScreen一台InRouter设备之间的LAN to LAN的VPN就已经成功建立起来。如果需求只是这样的一个拓扑,到此处结束。
3.与多台远端设备对接VPN配置
3.1 InRouter远端2配置
和《2.1 InRouter远端1配置》的操作几乎一样,唯一需要注意的就是本地的LAN端地址,和preshare key需要和NetScreen上建立到对端2的配置保持一致。
配置完毕以后,数据流就可以根据NHTB关联的网关,去找到应该去的路径完成转发。到此NetScreen做为中心端与多个对端InRouter路由器建立IPSEC VPN的配置就结束了。
3.2 NetScreen配置
3.1.1 NetScreen阶段一
WEBUI
VPNs > AutoKey Advanced > Gateway > Edit
Gateway Name: Nets2Inrou2(为第一阶段定义一个名字,以便在第二阶段去调用。名字可以自由定义)
Remote Gateway:(选取)
Dynamic IP Address:Peer ID- 700@InRouter2(验证方式设置为验证对端2的user fqdn-以邮件地址的方式。也可以设置成fqdn-以地址的方式)
选择Advanced
VPNs > AutoKey Advanced > Gateway > Edit
Preshared Key:inhand123
Outgoing Interface:ethernet0/0(这里选择了pppoe拨号的WAN端口)
Mode:Aggressive(选择为野蛮模式如选错会导致第一阶段失败)
3.1.2 NetScreen阶段二
WEBUI
VPNs > AutoKey IKE > Edit
VPN Name:Nets2InrouVPN2
Remote Gateway:Predefinad 选取 Nets2Inrou2 (关联阶段一配置的Gateway)
点击Advanced
WEBUI
VPNs > AutoKey IKE > Edit
Predefined:compabible(和阶段一相同如果是esp头3des加密方式md5的hmac的话可以直接选择compabible此模式包含了此种模式)
Bind to:Tunnel Interface: tunnel.1(关联上在1.4部所建立的tunnel口已确认ipsec数据发送的接口)
Prexy-ID:勾选
Local IP/Netmask:172.0.0.0/24(本地LAN的网络号)
Remote IP/Netmask:192.168.4.0/24(远端2LAN的网络号)
Service:ANY
3.1.3 配置远端2路由条目
WEBUI
Network > Routing > Routing Entries > Configuration
IP Address/Netmask:192.168.4.0/24(对端2LAN网段)
Gateway:Interface: tunnel.1(设置去对端2LAN网段的数据包网关接口为tunnel.1口)
现在在中心端做好了去对端LAN网段的路由就可以ping通了?不能这时可以发现去远端一的LAN地址都不通了。原因在数据流量匹配到条目进入接口tunnel.1之后,流量就不知道应该去哪里了。这时候就需要用到NHTB表来然流量确认下一条去哪里。
3.1.4 配置NHTB表
WEBUI
Network > Interfaces (List)
WEBUI
Network > Interfaces > Edit
WEBUI
IP Address:10.168.2.1 (给去对端一的流量分配一个ip地址,用于做路由去向的标识。)
VPN:Nets2InrouVPN(关联上去对端一的VPN名称)
WEBUI
IP Address:10.168.4.1 (给去对端二的流量也配置上)
VPN:Nets2InrouVPN2(关联上去对端二的VPN名称)
在tunnel.1里为两个VPN都关联上ip地址以后就可以去做路由了。关联的这两个ip地址就可以做为路由的下一跳。
3.1.5 配置多个远端的路由条目
WEBUI
Network > Routing > Routing Entries
WEBUI
Network > Routing > Routing Entries > Configuration
IP Address/Netmask:192.168.2.0/24(对端1的LAN)
Gateway:选取
Interface:tunnel.1
Gateway IP Address:10.168.2.1(NBTH为tunnel.1中给对端1VPN关联的IP)
WEBUI
Network > Routing > Routing Entries > Configuration
IP Address/Netmask:192.168.4.0/24(对端2的LAN)
Gateway:选取
Interface:tunnel.1
Gateway IP Address:10.168.4.1(NBTH为tunnel.1中给对端2VPN关联的IP)
注意事项
阶段一:
阶段二:
关于SSG系列所支持的VPN通道数量参数说明:
该防火墙支持的VPN通道和本身支持的VPN通道数以及路由条目有关,如果该防火墙支持1000个路由条目,而支持500个VPN通道,那么该路由器支持建立500个VPN通道。如果支持500个路由条目,而支持1000个VPN通道,那么该路由器也只支持建立500个VPN通道。
以下SSG系列的技术参数:
收起阅读 »
InRouter 与 H3C Router 构建 IPSEC VPN配置指导
<H3CRouter>system-view //进入配置模式
[H3CRouter]local-user admin //添加本地用户
[H3CRouter-luser-cisco]password simple admin //为添加的用户设置密码
[H3CRouter-luser-cisco]service-type web //开启网页配置功能
[H3CRouter-luser-cisco]quit
[H3CRouter]Ethernetinterface Ethernet 0/0 //进入接口配置模式
[H3CRouter-Ethernet0/0] ip address 123.15.36.140 255.255.255.128//配置外网接口地址
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter-Ethernet0/1] ip address 172.18.253.1 255.255.255.0 //配置内外接口地址
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter] ip route-static 0.0.0.0 0.0.0.0 123.15.36.129 //配置静态路由
[H3CRouter]acl number 3000 //创建访问控制列表
[H3CRouter-acl-3000]rule 5 permit ip source 172.18.253.0 0.0.0.255//允许内网网段访问公网
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter]acl number 3001 //创建访问控制列表
[H3CRouter-acl-3001] rule 0 permit ip source 172.18.253.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 5 deny ip //拒绝除内网网段以为的网段访问远端子网
[H3CRouter]Ethernetinterface Ethernet 0/0 //进入接口配置模式
[H3CRouter-Ethernet0/0]nat outbound 3000 //在外网接口上启用ACL 3000
[H3CRouter-Ethernet0/0]quit //退出接口配置模式
[H3CRouter]ike proposal 1 //创建IKE提议,并进入IKE提议视图
[H3CRouter]ike peer fenzhi //创建一个IKE对等体,并进入IKE-Peer视图
[H3CRouter-ike-peer-fenzhi]exchange-mode aggressive //配置IKE第一阶段的协商为野蛮模式
[H3CRouter-ike-peer-fenzhi]proposal 1 //配置IKE对等体引用的IKE安全提议
[H3CRouter-ike-peer-fenzhi]pre-shared-key simple abc123 //配置采用预共享密钥认证时,所使用的预共享密钥
[H3CRouter-ike-peer-fenzhi]id-type name //选择IKE第一阶段的协商过程中使用ID的类型
[H3CRouter-ike-peer-fenzhi]remote-name fenzhi //配置对端安全网关的名字
[H3CRouter-ike-peer-fenzhi]remote-address fenzhi dynamic //配置对端安全网关的IP地址
[H3CRouter-ike-peer-fenzhi]local-address 123.15.36.140 //配置本端安全网关的IP地址
H3CRouter-ike-peer-fenzhi] local-name center //配置本端安全网关的名字
[H3CRouter-ike-peer-fenzhi] nat traversal //配置IKE/IPsec的NAT穿越功能
[H3CRouter-ike-peer-fenzhi]quit
[H3CRouter] ipsec transform-set fenzhi //配置IPsec安全提议fenzhi
[H3CRouter-ipsec-transform-set-tran1] encapsulation-mode tunnel //报文封装形式采用隧道模式
[H3CRouter-ipsec-transform-set-tran1] transform esp // 安全协议采用ESP协议
[H3CRouter-ipsec-transform-set-tran1] esp encryption-algorithm 3des //选择ESP协议采用的加密算法
[H3CRouter-ipsec-transform-set-tran1] esp authentication-algorithm md5 //选择ESP协议采用的认证算法
[H3CRouter-ipsec-transform-set-tran1] quit
[H3CRouter]ipsec policy 983040 1 isakmp //创建一条IPsec安全策略,协商方式为isakmp
[H3CRouter-ipsec-policy-isakmp-use1-10] security acl 3001 //引用访问控制列表3001
[H3CRouter-ipsec-policy-isakmp-use1-10] transform-set fenzhi //引用IPsec安全提议
[H3CRouter-ipsec-policy-isakmp-use1-10] ike-peer fenzhi // 引用IKE对等体
[H3CRouter-ipsec-policy-isakmp-use1-10] quit
[H3CRouter] interface ethernet 0/0 //进入外部接口
[H3CRouter-Ethernet0/1] ipsec policy 983040 //在外部接口上应用IPsec安全策略组
IR600 IPSEC VPN配置
收起阅读 »
[H3CRouter]local-user admin //添加本地用户
[H3CRouter-luser-cisco]password simple admin //为添加的用户设置密码
[H3CRouter-luser-cisco]service-type web //开启网页配置功能
[H3CRouter-luser-cisco]quit
[H3CRouter]Ethernetinterface Ethernet 0/0 //进入接口配置模式
[H3CRouter-Ethernet0/0] ip address 123.15.36.140 255.255.255.128//配置外网接口地址
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter-Ethernet0/1] ip address 172.18.253.1 255.255.255.0 //配置内外接口地址
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter] ip route-static 0.0.0.0 0.0.0.0 123.15.36.129 //配置静态路由
[H3CRouter]acl number 3000 //创建访问控制列表
[H3CRouter-acl-3000]rule 5 permit ip source 172.18.253.0 0.0.0.255//允许内网网段访问公网
[H3CRouter-Ethernet0/0] quit //退出接口配置模式
[H3CRouter]acl number 3001 //创建访问控制列表
[H3CRouter-acl-3001] rule 0 permit ip source 172.18.253.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 5 deny ip //拒绝除内网网段以为的网段访问远端子网
[H3CRouter]Ethernetinterface Ethernet 0/0 //进入接口配置模式
[H3CRouter-Ethernet0/0]nat outbound 3000 //在外网接口上启用ACL 3000
[H3CRouter-Ethernet0/0]quit //退出接口配置模式
[H3CRouter]ike proposal 1 //创建IKE提议,并进入IKE提议视图
[H3CRouter]ike peer fenzhi //创建一个IKE对等体,并进入IKE-Peer视图
[H3CRouter-ike-peer-fenzhi]exchange-mode aggressive //配置IKE第一阶段的协商为野蛮模式
[H3CRouter-ike-peer-fenzhi]proposal 1 //配置IKE对等体引用的IKE安全提议
[H3CRouter-ike-peer-fenzhi]pre-shared-key simple abc123 //配置采用预共享密钥认证时,所使用的预共享密钥
[H3CRouter-ike-peer-fenzhi]id-type name //选择IKE第一阶段的协商过程中使用ID的类型
[H3CRouter-ike-peer-fenzhi]remote-name fenzhi //配置对端安全网关的名字
[H3CRouter-ike-peer-fenzhi]remote-address fenzhi dynamic //配置对端安全网关的IP地址
[H3CRouter-ike-peer-fenzhi]local-address 123.15.36.140 //配置本端安全网关的IP地址
H3CRouter-ike-peer-fenzhi] local-name center //配置本端安全网关的名字
[H3CRouter-ike-peer-fenzhi] nat traversal //配置IKE/IPsec的NAT穿越功能
[H3CRouter-ike-peer-fenzhi]quit
[H3CRouter] ipsec transform-set fenzhi //配置IPsec安全提议fenzhi
[H3CRouter-ipsec-transform-set-tran1] encapsulation-mode tunnel //报文封装形式采用隧道模式
[H3CRouter-ipsec-transform-set-tran1] transform esp // 安全协议采用ESP协议
[H3CRouter-ipsec-transform-set-tran1] esp encryption-algorithm 3des //选择ESP协议采用的加密算法
[H3CRouter-ipsec-transform-set-tran1] esp authentication-algorithm md5 //选择ESP协议采用的认证算法
[H3CRouter-ipsec-transform-set-tran1] quit
[H3CRouter]ipsec policy 983040 1 isakmp //创建一条IPsec安全策略,协商方式为isakmp
[H3CRouter-ipsec-policy-isakmp-use1-10] security acl 3001 //引用访问控制列表3001
[H3CRouter-ipsec-policy-isakmp-use1-10] transform-set fenzhi //引用IPsec安全提议
[H3CRouter-ipsec-policy-isakmp-use1-10] ike-peer fenzhi // 引用IKE对等体
[H3CRouter-ipsec-policy-isakmp-use1-10] quit
[H3CRouter] interface ethernet 0/0 //进入外部接口
[H3CRouter-Ethernet0/1] ipsec policy 983040 //在外部接口上应用IPsec安全策略组
IR600 IPSEC VPN配置
收起阅读 »
H3C MSR 30-60路由器和IR700 建立IPSec VPN 配置说明
一、H3C路由器
#
version 5.20, Beta 1508P02
#
sysname H3C
#
ike local-name center //定义H3C路由器本地名称(FQDN标识)
#
nat address-group 1 203.86.43.190 203.86.43.190
#
domain default enable system
#
dns server 8.8.8.8
dns domain 8.8.8.8
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
ike proposal 1 //定义IKE策略加密算法
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
#
ike peer device //定义IPSec VPN IKE 策略
pre-shared-key 123456 //共享密钥
local-address 203.86.43.190 //H3C本地地址(公网接口)
nat traversal //启用NAT穿越
#
ipsec proposal 1 //定义ipsec策略
esp encryption-algorithm 3des
#
ipsec policy-template device 1 //定义IPSec VPN 引用的的ACL、IKE策略、IPSec策略
security acl 3005
ike-peer device
proposal 1
#
ipsec policy branch 1 isakmp template device // 定义branch 1 引用device模板的IPSec 参数
#
acl number 3000
rule 0 permit ip source 10.5.1.0 0.0.0.255
acl number 3005
rule 1 permit ip source 10.5.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
//定义IPSec VPN 受保护流量
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
nat outbound static
nat outbound 3000 address-group 1
description isth
ip address 203.86.43.190 255.255.255.248
ipsec policy branch //将IPSec 策略出口绑定在H3C外网口
#
interface Ethernet0/1
port link-mode route
nat outbound static
nat outbound 3000
ip address 10.5.1.1 255.255.255.0
#
interface Serial0/0
link-protocol ppp
#
interface Serial1/0
link-protocol ppp
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 203.86.43.185
#
user-interface aux 0
user-interface vty 0 4
#
Return
二、IR700相关配置
收起阅读 »
#
version 5.20, Beta 1508P02
#
sysname H3C
#
ike local-name center //定义H3C路由器本地名称(FQDN标识)
#
nat address-group 1 203.86.43.190 203.86.43.190
#
domain default enable system
#
dns server 8.8.8.8
dns domain 8.8.8.8
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
ike proposal 1 //定义IKE策略加密算法
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
#
ike peer device //定义IPSec VPN IKE 策略
pre-shared-key 123456 //共享密钥
local-address 203.86.43.190 //H3C本地地址(公网接口)
nat traversal //启用NAT穿越
#
ipsec proposal 1 //定义ipsec策略
esp encryption-algorithm 3des
#
ipsec policy-template device 1 //定义IPSec VPN 引用的的ACL、IKE策略、IPSec策略
security acl 3005
ike-peer device
proposal 1
#
ipsec policy branch 1 isakmp template device // 定义branch 1 引用device模板的IPSec 参数
#
acl number 3000
rule 0 permit ip source 10.5.1.0 0.0.0.255
acl number 3005
rule 1 permit ip source 10.5.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
//定义IPSec VPN 受保护流量
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
nat outbound static
nat outbound 3000 address-group 1
description isth
ip address 203.86.43.190 255.255.255.248
ipsec policy branch //将IPSec 策略出口绑定在H3C外网口
#
interface Ethernet0/1
port link-mode route
nat outbound static
nat outbound 3000
ip address 10.5.1.1 255.255.255.0
#
interface Serial0/0
link-protocol ppp
#
interface Serial1/0
link-protocol ppp
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 203.86.43.185
#
user-interface aux 0
user-interface vty 0 4
#
Return
二、IR700相关配置
收起阅读 »
H3C SecPath U200-A与IRouter建立IPSec VPN
1、前提准备工作
配置IPSec VPN时应保证该通过该设备已经可以正常上网,WAN,LAN,NAT等正常工作,如下图GigabitEthernet 0/1 为WAN公网IP X.X.X.242, GigabitEthernet 0/4为LAN,IP为172.x.x.x/24
Interface 所属安全域
2、感兴趣流的ACL添加以及配置
在设备中存在ACL3000和3004,该ACL是被NAT所调用,我们需要创建一条现场为192.168.2.0/24(目的网络) 网段与H3C内外网段172.22.12.0/24(源网络)的ACL进行配置,如下新建ALC3010。以源网络到目的网络的IP数据流为感兴趣流。
防火墙-ACL-新建
防火墙-ACL-新建-3010
防火墙-ACL-3010-操作
防火墙-ACL-3010-操作-新建:
在ALC 3010中添加规则ID 100, 匹配(permit)源网络至目的网络的的数据流,源网络为H3C其中的一个LAN172.22.12.0/24,目的网络为现场LAN 192.168.2.0/24。
3、在原有配置的NAT中排感兴趣流
防火墙-ACL-3000-操作-新建:
新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
防火墙-ACL-3004-操作-新建:
新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
4、创建IKE
4.1 VPN-IKE-对等体-新建
对等体名称: inhand-1 (自定义)
协商模式:Aggressive (主动模式或野蛮模式)
对端网关-主机名:inhand1
对端ID:inhand1 (FQDN,由于现场路由器拨号获得的是动态私网IP,所以使用FQDN来进行对每个对等体进行识别,每次新建ID不可以重复)
启用DPD功能: 打钩 选择下面配置的DPD策略号10
启用NAT穿越:打勾
预共享秘钥:abc123 (自定义)
4.2 VPN-IKE-安全提议-新建
IKE安全提议号10
认证方法:Preshared Key
认证算法:MD5
加密算法:3DES-CBC
DH组:Group2
SA生存周期:86400秒
(下图只是例图)
4.3 VPN-IKE -DPD(DPD Dead Peer Detection )
VPN-IKE -DPD 新建
DPD名称:10
触发DPD时间间隔:60s
等待DPD现有报文时:60s
(下图只是例图)
5、IPSec
5.1 IPSec 安全提议
IPSec 安全提议名:10
报文封装模式:tunnel
ESP认证算法:MD5
ESP加密算法:3des
5.2创建IPSec模板配置
模板名称: inhand-1 (自定义)
IKE对等体:inhand-1 (之前已经定义的IKE)
安全提议: 10
PFS: “选择空”(与截图不符注意)
ACL: 3010
5.3 调用IPSec模板配置
IPSec-应用-G0/1-操作
调用策略:inhand-1
6、Policy
防火墙-安全策略-域间策略-新建:
源域: untunst
目的域: trust
策略规则:10
源IP : 192.168.2.0 0.0.0.255 (与图中不符注意)
目的IP: 172.22.12.0 0.0.0.0255 (与图中不符注意)
7、Inhand Router配置方法
7.1VPN-IPSec隧道配置-新建
对端地址: H3C G0/1的IP地址
协商模式: 野蛮模式
本地子网地址: 192.168.2.0/24
对端子网地址:172.22.12.0/24
其他使用默认参数
7.2 第一、二阶段参数
本地标识类型:FQDN
本地标识:@inhand
秘钥: abc123
连接检测时间间隔: 60s
连接检查超时时间:60s
ICMP探测服务器地址: 172.22.12.1 (对端LAN接口地址,与图中不符)
其他参数使用默认参数。
7.2 IPSec VPN建立成功标识
ISAKMP SA established
IPSec SA established
计算机连接Inhand Router可以ping通 : 172.22.12.1
计算机连接H3C的LAN接口可以ping通: 192.168.2.1
收起阅读 »
配置IPSec VPN时应保证该通过该设备已经可以正常上网,WAN,LAN,NAT等正常工作,如下图GigabitEthernet 0/1 为WAN公网IP X.X.X.242, GigabitEthernet 0/4为LAN,IP为172.x.x.x/24
Interface 所属安全域
2、感兴趣流的ACL添加以及配置
在设备中存在ACL3000和3004,该ACL是被NAT所调用,我们需要创建一条现场为192.168.2.0/24(目的网络) 网段与H3C内外网段172.22.12.0/24(源网络)的ACL进行配置,如下新建ALC3010。以源网络到目的网络的IP数据流为感兴趣流。
防火墙-ACL-新建
防火墙-ACL-新建-3010
防火墙-ACL-3010-操作
防火墙-ACL-3010-操作-新建:
在ALC 3010中添加规则ID 100, 匹配(permit)源网络至目的网络的的数据流,源网络为H3C其中的一个LAN172.22.12.0/24,目的网络为现场LAN 192.168.2.0/24。
3、在原有配置的NAT中排感兴趣流
防火墙-ACL-3000-操作-新建:
新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
防火墙-ACL-3004-操作-新建:
新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
4、创建IKE
4.1 VPN-IKE-对等体-新建
对等体名称: inhand-1 (自定义)
协商模式:Aggressive (主动模式或野蛮模式)
对端网关-主机名:inhand1
对端ID:inhand1 (FQDN,由于现场路由器拨号获得的是动态私网IP,所以使用FQDN来进行对每个对等体进行识别,每次新建ID不可以重复)
启用DPD功能: 打钩 选择下面配置的DPD策略号10
启用NAT穿越:打勾
预共享秘钥:abc123 (自定义)
4.2 VPN-IKE-安全提议-新建
IKE安全提议号10
认证方法:Preshared Key
认证算法:MD5
加密算法:3DES-CBC
DH组:Group2
SA生存周期:86400秒
(下图只是例图)
4.3 VPN-IKE -DPD(DPD Dead Peer Detection )
VPN-IKE -DPD 新建
DPD名称:10
触发DPD时间间隔:60s
等待DPD现有报文时:60s
(下图只是例图)
5、IPSec
5.1 IPSec 安全提议
IPSec 安全提议名:10
报文封装模式:tunnel
ESP认证算法:MD5
ESP加密算法:3des
5.2创建IPSec模板配置
模板名称: inhand-1 (自定义)
IKE对等体:inhand-1 (之前已经定义的IKE)
安全提议: 10
PFS: “选择空”(与截图不符注意)
ACL: 3010
5.3 调用IPSec模板配置
IPSec-应用-G0/1-操作
调用策略:inhand-1
6、Policy
防火墙-安全策略-域间策略-新建:
源域: untunst
目的域: trust
策略规则:10
源IP : 192.168.2.0 0.0.0.255 (与图中不符注意)
目的IP: 172.22.12.0 0.0.0.0255 (与图中不符注意)
7、Inhand Router配置方法
7.1VPN-IPSec隧道配置-新建
对端地址: H3C G0/1的IP地址
协商模式: 野蛮模式
本地子网地址: 192.168.2.0/24
对端子网地址:172.22.12.0/24
其他使用默认参数
7.2 第一、二阶段参数
本地标识类型:FQDN
本地标识:@inhand
秘钥: abc123
连接检测时间间隔: 60s
连接检查超时时间:60s
ICMP探测服务器地址: 172.22.12.1 (对端LAN接口地址,与图中不符)
其他参数使用默认参数。
7.2 IPSec VPN建立成功标识
ISAKMP SA established
IPSec SA established
计算机连接Inhand Router可以ping通 : 172.22.12.1
计算机连接H3C的LAN接口可以ping通: 192.168.2.1
收起阅读 »
H3C MSR 30-60路由器和IR700 建立IPSec VPN 配置说明
本文档针对MSR 30-60 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec VPN)双方的相关配置而编写
注:因H3C设备各系列路由器配置命令略有不同,请根据实际配置命令灵活掌握,另外,H3C路由器WEB页面配置和命令行配置过程不同,优先选择命令行方式。
1、 H3C 路由器
H3C使用野蛮模式建立IPSec 隧道:
#
ike local-name center //定义H3C路由器本地名称(FQDN标识)
#
acl number 3005
rule 2 permit ip source 172.16.0.0 0.0.255.255 destination 192.168.10.0 0.0.0.255
//定义IPSec VPN 受保护流量
#
ike peer fenzhi //定义IPSec VPN IKE 策略
exchange-mode aggressive //隧道使用野蛮模式建立,H3C设备默认为主模式
pre-shared-key simple h3c@123 //共享密钥
id-type name
//隧道建立使用name作为标识,对应IR700路由器中的FQDN
remote-name fenzhi //远端标识为fenzhi,
local-address 219.142.5.186 //H3C本地地址
nat traversal //启用NAT穿越
#
ipsec proposal 1
//定义IKE策略,此处无参数,H3C默认为
IKE策略为DES-SHA1-DH1;IPSec策略为DES-MD5-96
#
ipsec policy-template fenzhi 1 //定义IPSec VPN 引用的的ACL、IKE策略、IPSec策略
security acl 3005
ike-peer fenzhi
proposal 1
#
ipsec policy branch 1 isakmp template fenzhi // 定义branch 1 引用fenzhi模板的IPSec 参数
#
interface Ethernet2/0
port link-mode route
description isth
ip address 219.142.5.186 255.255.255.252
ipsec policy branch //将IPSec 策略出口绑定在H3C外网口
IR700相关配置:
收起阅读 »
H3C MSV50 和IR900 IPSEC配置
H3C MSV50 和IR900 IPSEC配置文档
设备概览:查看设备基本硬件、型号等参数以及设备的运行状况
接口配置-WAN接口设置:设置H3C路由器网络连接模式(静态IP地址、动态IP地址、PPPOE拨号)
接口设置-LAN设置:设置局域网内部地址
NAT配置-动态地址转换:接口选择外网接口、转换方式选择接口地址
vpn-ipsec vpn配置
Ipsec隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看
接口:设定为外部网络接口
对端网关地址/主机名:设定为VPN客户端IP/域名,此处填写的fenzh是对端FQDN
本地网关地址:设定本端WAN口公网IP地址,也可填写域名方式
预共享密匙:设置IPSec VPN协商密钥abc@123,与对端密匙保持一致
对端ID类型:可选择IP地址和FQDN,由于对端IP地址不固定建议选择FQDN
本端ID类型:可以选择FQDN,User FQDN,IP地址,此处同上选择FQDN
筛选方式-流量控制:设定本地子网和对端子网
第一、二阶段参数:配置IPSec隧道在第一、二阶段协商时的参数,该参数两端路由器保持一致即可。
IR路由器ipsec参数配置
点击“配置向导”=> “IPSec隧道配置”菜单,如下图
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN客户端IP/域名,例如:59.xx.xx.xx
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式,快速模式。与H3C建VPN时选择野蛮模式。
IPSec协议:可以选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:192.168.2.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.1.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.255.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。与H3C建VPN时选择FQDN
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择FQDN。
对端标识:根据选择的标识类型填入相应标识。建议选择为空。
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。与H3C配置相对应填入abc@123。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接成功
收起阅读 »
设备概览:查看设备基本硬件、型号等参数以及设备的运行状况
接口配置-WAN接口设置:设置H3C路由器网络连接模式(静态IP地址、动态IP地址、PPPOE拨号)
接口设置-LAN设置:设置局域网内部地址
NAT配置-动态地址转换:接口选择外网接口、转换方式选择接口地址
vpn-ipsec vpn配置
Ipsec隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看
接口:设定为外部网络接口
对端网关地址/主机名:设定为VPN客户端IP/域名,此处填写的fenzh是对端FQDN
本地网关地址:设定本端WAN口公网IP地址,也可填写域名方式
预共享密匙:设置IPSec VPN协商密钥abc@123,与对端密匙保持一致
对端ID类型:可选择IP地址和FQDN,由于对端IP地址不固定建议选择FQDN
本端ID类型:可以选择FQDN,User FQDN,IP地址,此处同上选择FQDN
筛选方式-流量控制:设定本地子网和对端子网
第一、二阶段参数:配置IPSec隧道在第一、二阶段协商时的参数,该参数两端路由器保持一致即可。
IR路由器ipsec参数配置
点击“配置向导”=> “IPSec隧道配置”菜单,如下图
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN客户端IP/域名,例如:59.xx.xx.xx
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式,快速模式。与H3C建VPN时选择野蛮模式。
IPSec协议:可以选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:192.168.2.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.1.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.255.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。与H3C建VPN时选择FQDN
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择FQDN。
对端标识:根据选择的标识类型填入相应标识。建议选择为空。
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。与H3C配置相对应填入abc@123。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接成功
收起阅读 »
H3C MSR 30路由器和IR600 建立L2TP 配置说明
一、 H3C路由器
[H3C]dis cu
#
version 5.20, Beta 1508P02
#
sysname H3C
#
l2tp enable //启用L2TP服务
#
nat address-group 1 203.86.43.190 203.86.43.190 //定义设置NAT组
#
ip pool 1 192.168.1.2 192.168.1.100 //定义指定对端分配地址所用的地址池
#
domain default enable system
#
dns server 8.8.8.8 //定义DNS
dns domain 8.8.8.8
#
vlan 1
#
domain l2tp //定义L2TP域配置
authentication ppp local
authorization ppp local
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active ?
idle-cut disable
self-service-url disable
#
tunnel-policy l2tp_tunnel_1 //定义L2TP隧道策略
#
local-user abc //定义本端用户
password simple 123456 //定义用户密码
service-type ppp //定义服务类型
#
acl number 3000 //定义ACL
rule 0 permit ip source 10.5.1.0 0.0.0.255
#
l2tp-group //定义L2TP组
allow l2tp virtual-template 1 //指定接收呼出的虚拟接口模板
tunnel password simple l2tpvpn //配置隧道验证时的密码H3C 30-11路由器必须定义隧道密码
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
nat outbound static
nat outbound 3000 address-group 1
ip address 203.86.43.190 255.255.255.248
#
interface Ethernet0/1
port link-mode route
nat outbound static
nat outbound 3000
ip address 10.5.1.1 255.255.255.0
#
interface Serial0/0
link-protocol ppp
#
interface Serial1/0
link-protocol ppp
#
interface Virtual-Template1 //定义配置Virtual-Template虚接口模板
ppp authentication-mode chap domain l2tp //配置本端PPP用户进行验证
ppp ipcp remote-address forced
remote address pool 1 //定义虚拟模板指定对端分配地址所用的地址池
ip address 192.168.1.1 255.255.255.0
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 203.86.43.185
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2 //IR路由器端的地址虚接口静态路由此处容易不明确,2.0指IR路由器的子网地址(lan口);1.2是IR路由器虚地址。
#
user-interface aux 0
user-interface vty 0 4
#
Return
IR700路由器相关配置
收起阅读 »
[H3C]dis cu
#
version 5.20, Beta 1508P02
#
sysname H3C
#
l2tp enable //启用L2TP服务
#
nat address-group 1 203.86.43.190 203.86.43.190 //定义设置NAT组
#
ip pool 1 192.168.1.2 192.168.1.100 //定义指定对端分配地址所用的地址池
#
domain default enable system
#
dns server 8.8.8.8 //定义DNS
dns domain 8.8.8.8
#
vlan 1
#
domain l2tp //定义L2TP域配置
authentication ppp local
authorization ppp local
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active ?
idle-cut disable
self-service-url disable
#
tunnel-policy l2tp_tunnel_1 //定义L2TP隧道策略
#
local-user abc //定义本端用户
password simple 123456 //定义用户密码
service-type ppp //定义服务类型
#
acl number 3000 //定义ACL
rule 0 permit ip source 10.5.1.0 0.0.0.255
#
l2tp-group //定义L2TP组
allow l2tp virtual-template 1 //指定接收呼出的虚拟接口模板
tunnel password simple l2tpvpn //配置隧道验证时的密码H3C 30-11路由器必须定义隧道密码
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
nat outbound static
nat outbound 3000 address-group 1
ip address 203.86.43.190 255.255.255.248
#
interface Ethernet0/1
port link-mode route
nat outbound static
nat outbound 3000
ip address 10.5.1.1 255.255.255.0
#
interface Serial0/0
link-protocol ppp
#
interface Serial1/0
link-protocol ppp
#
interface Virtual-Template1 //定义配置Virtual-Template虚接口模板
ppp authentication-mode chap domain l2tp //配置本端PPP用户进行验证
ppp ipcp remote-address forced
remote address pool 1 //定义虚拟模板指定对端分配地址所用的地址池
ip address 192.168.1.1 255.255.255.0
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 203.86.43.185
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2 //IR路由器端的地址虚接口静态路由此处容易不明确,2.0指IR路由器的子网地址(lan口);1.2是IR路由器虚地址。
#
user-interface aux 0
user-interface vty 0 4
#
Return
IR700路由器相关配置
收起阅读 »
IR900路由器GRE测试流程
一.基本拓扑图如下:
拓扑图设备说明:R1代表一台IR915L,R2代表另一台IR915L。这两台4G路由器通过联通4GVPDN网络拨号上网。首先正确填写拨号参数,包括APN,拨号号码,用户名和密码。
说明:由于172网段的两台路由器在专网中无法实现PC之间的通信。所以我们采取了GRE通道的方法实现两个不同网段的通信问题。
R1配置:
关于R1配置其中需要注意的有 本端的虚拟地址23.1.1.2 和对端的虚拟地址 23.1.1.3
本端的IP地址172.16.2.1和对端IP地址172.16.2.11。
注意要配置一条静态路由去往192.168.3.0网段的从tunnel1(虚拟口)出。
R2配置:
这里需要注意的还是地址,这里的地址和上边的是相反的!
这里同样需要写一条静态路由去往192.168.2.0网段的路由从tunnel1(虚拟口)出
实验结果:192.168.2.21 ping192.168.3.21
收起阅读 »
拓扑图设备说明:R1代表一台IR915L,R2代表另一台IR915L。这两台4G路由器通过联通4GVPDN网络拨号上网。首先正确填写拨号参数,包括APN,拨号号码,用户名和密码。
说明:由于172网段的两台路由器在专网中无法实现PC之间的通信。所以我们采取了GRE通道的方法实现两个不同网段的通信问题。
R1配置:
关于R1配置其中需要注意的有 本端的虚拟地址23.1.1.2 和对端的虚拟地址 23.1.1.3
本端的IP地址172.16.2.1和对端IP地址172.16.2.11。
注意要配置一条静态路由去往192.168.3.0网段的从tunnel1(虚拟口)出。
R2配置:
这里需要注意的还是地址,这里的地址和上边的是相反的!
这里同样需要写一条静态路由去往192.168.2.0网段的路由从tunnel1(虚拟口)出
实验结果:192.168.2.21 ping192.168.3.21
收起阅读 »
GRE、PPTP、L2TP隧道协议对比介绍
GRE、PPTP、L2TP隧道协议介绍(转)在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。GRE将用户数据包封装到携带数据包中。因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接
• Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).
• Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger包头之间, 在GRE包头中定义了传输的协议
• Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).
GRE的特点:
• GRE是一个标准协议
• 支持多种协议和多播
• 能够用来创建弹性的VPN
• 支持多点隧道
• 能够实施QOS
GRE的缺点:
• 缺乏加密机制
• 没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)
• 隧道很消耗CPU
• 出现问题要进行DEBUG很困难
• MTU和IP分片是一个问题
配置:
这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。两端配置的tunnel ID必须配置相同。
在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是否还活着
GRE隧道
GRE建立的是简单的(不进行加密)VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用IPSec)的GRE隧道,这样可以为这些协议提供安全性。(相关配置请参看GRE over IPSec)网状连接(Full-Mesh)
由于GRE是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种Hub-and-spoke的拓扑形式
但是可以通过使用NHRP(Next-Hop Resolution Protocol)来自动建立全网状拓扑。(相关配置请参看NHRP 配置全网状互联GRE隧道)
VPDN简介
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN有下列两种实现方式:
1. 网络接入服务器(NAS)通过隧道协议,与 VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户 只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS支持VPDN协议, 需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。
2. 客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立 与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限 制,不需ISP介入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。
VPDN隧道协议可分为PPTP、L2F和L2TP三种Point to Point Tunneling Protocol(PPTP)
点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术, 它工作在第二层。通过该协议,远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows 98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过Internet安全链接到公司网络。
PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该 IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建 立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。
• PPTP Access Concentrator (PAC): 接入服务商,允许拨号接入连接(通常是由ISP担任,而且不需要ISP的协助来建立隧道)
• PPTP Network Server (PNS):通常是PPTP服务器或者路由器用来建立PPTP隧道
• Microsoft Point-to-Point Encryption (MPPE) :和IPSec一样,是一种数据加密协议,用来为PPP拨号连接传输的数据进行加密。MPPE使用RSA算法来进行加密,支持40-bit和128-bit的会话密钥
PPTP只能通过PAC和PNS来实施,其它系统没有必要知道PPTP。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。
PPTP VPN 协商过程:
1. 客户端(笔记本)通过PPP建立到ISP NAS的连接
2. 客户端建立到PNS(在这里是CISCO路由器)的PPTP连接
3. 客户端和PNS之间建立了一个2层的隧道。多种协议能够在这个隧道上传输
4. 使用MPPE加密PPP数据包,这些数据包接下来通过enhanced GRE封装,并在IP网络上传输
5. 在客户端和PPTP服务器之间建立第二个PPP over GRE会话
6. 数据能够在这个IP/GRE/PPP上传输
7. PPTP隧道使用不同的TCP连接来控制会话
PPTP使用GRE的扩展版本来传输用户PPP包。这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使 用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。
PPTP缺点:
• 不支持QOS
• 每个用户一个隧道
• 认证和加密比较脆弱
相关的配置请参照PPTP 配置Layer 2 Tunneling Protocol (L2TP)
L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信 息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准
• L2TP Access Concentrator (LAC) :表示L2TP访问集中器,类似于PPTP中的PAC,是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服 务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
• L2TP Network Server (LNS) :表示L2TP网络服务器,也叫做“home gateway”,类似于PPTP中的PNS,是PPP端系统上用于处理L2TP协议服务器端部分的设备。
L2TP隧道建立过程:
1. 用户使用PPP拨号到ISP,并获得一个IP地址。客户端和ISP之间建立邻接,客户端能够接入到Internet。这个步骤是用来作为普通的Internet连接
2. 客户端决定建立一个端到端的L2TP隧道到home gateway,并在下面建立一个新的PPP会话之前前会使用控制会话建立一个隧道
3. 在L2TP隧道里建立一个新的PPP隧道,并分配给客户端一个IP地址。客户端和home gateway之间会使用virtual point-to-point,通过PPP封装进L2TP隧道,建立一个新的IP邻接关系。
建立IPSec保护的L2TP VPN:
1. 客户端使用PPP拨入ISP,ISP分配IP地址给客户端
2. 客户端使用L2TP通过一个VPN端口连接到home gateway
3. home gateway使用AAA服务器对隧道进行认证,并分配一个隧道内部IP地址给客户端
4. 在客户端和gateway之间建立IPSec,来提供L2TP会话的加密。
VPDN拨号用户与总部路由服务器建立连接的过程如下:
1. 拨号用户拨打一个初始化呼叫有VPDN访问接入服务器(NAS)
2. NAS 接收此呼叫,并将启动一个到总部路由服务器(Home Gateway)的L2TP Tunnel 协商:Home Gateway 利用总部的Radius服务器来鉴定NAS 的Tunnel ID,认证通过以后,向NAS发起CHAP Challenge 信号;NAS对来自Home Gateway的Tunnel 进行认证,认证通过之后,就建立了NAS和Home Gateway之间的Tunnel连接。此时,Home Gateway就可以利用其Radius服务器对VPDN用户进行用户级的认证,如果认证通过将建立Home Gateway和用户间的端到端的PPP连接。如果在NAS和Home Gateway之间建立了Tunnel连接之后,又有另一VPDN用户拨打同一NAS,此时将不会重复上述建立Tunnel的过程,而是直接进行用户级的 认证。
3. 从拨号用户发出的帧被NAS接收到以后,被封装在L2TP中,通过IP隧道被转发到总部路由服务器。这样,用户就可以对总部的信息进行访问,实现信息共享。
两种典型的L2TP隧道模式
1. 由远程拨号用户发起:
远程系统拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求。拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。
2. 直接由LAC客户(指可在本地支持L2TP协议的用户)发起:
此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。此时,LAC客户地址的分配由LNS来完成。
L2TP的优势
• 灵活的身份验证机制以及高度的安全性:
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP也可与 IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻
击。L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对 端数据加密或应用层数据加密等方案来提高数据的安全性。
• 多协议传输:
L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
• 支持RADIUS服务器的验证:
LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
• 支持内部地址分配:
LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918)。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
• 网络计费的灵活性:
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
• 可靠性:
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求 网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 L2TP协议是由IETF起草,微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议,它结合了PPTP和L2F两种二层隧道协议的优 点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准,基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的,被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。
收起阅读 »
在GRE隧道中,路由器会在封装数据包的IP头部指定要携带的协议,并建立到对端路由器的虚拟点对点连接
• Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).
• Carrier: 封装passenger protocol的GRE协议,插入到transport和passenger包头之间, 在GRE包头中定义了传输的协议
• Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).
GRE的特点:
• GRE是一个标准协议
• 支持多种协议和多播
• 能够用来创建弹性的VPN
• 支持多点隧道
• 能够实施QOS
GRE的缺点:
• 缺乏加密机制
• 没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive)
• 隧道很消耗CPU
• 出现问题要进行DEBUG很困难
• MTU和IP分片是一个问题
配置:
这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。两端配置的tunnel ID必须配置相同。
在Cisco IOS versions 12.2(8)T允许配置keepalive,定期发送报文检测对端是否还活着
GRE隧道
GRE建立的是简单的(不进行加密)VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。
大部分协议都没有内建加密机制,所以携带他们穿越网络的很常见的方法就是使用加密(如使用IPSec)的GRE隧道,这样可以为这些协议提供安全性。(相关配置请参看GRE over IPSec)网状连接(Full-Mesh)
由于GRE是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种Hub-and-spoke的拓扑形式
但是可以通过使用NHRP(Next-Hop Resolution Protocol)来自动建立全网状拓扑。(相关配置请参看NHRP 配置全网状互联GRE隧道)
VPDN简介
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN有下列两种实现方式:
1. 网络接入服务器(NAS)通过隧道协议,与 VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户 只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS支持VPDN协议, 需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。
2. 客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立 与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限 制,不需ISP介入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。
VPDN隧道协议可分为PPTP、L2F和L2TP三种Point to Point Tunneling Protocol(PPTP)
点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术, 它工作在第二层。通过该协议,远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows 98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过Internet安全链接到公司网络。
PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该 IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建 立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。
• PPTP Access Concentrator (PAC): 接入服务商,允许拨号接入连接(通常是由ISP担任,而且不需要ISP的协助来建立隧道)
• PPTP Network Server (PNS):通常是PPTP服务器或者路由器用来建立PPTP隧道
• Microsoft Point-to-Point Encryption (MPPE) :和IPSec一样,是一种数据加密协议,用来为PPP拨号连接传输的数据进行加密。MPPE使用RSA算法来进行加密,支持40-bit和128-bit的会话密钥
PPTP只能通过PAC和PNS来实施,其它系统没有必要知道PPTP。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。
PPTP VPN 协商过程:
1. 客户端(笔记本)通过PPP建立到ISP NAS的连接
2. 客户端建立到PNS(在这里是CISCO路由器)的PPTP连接
3. 客户端和PNS之间建立了一个2层的隧道。多种协议能够在这个隧道上传输
4. 使用MPPE加密PPP数据包,这些数据包接下来通过enhanced GRE封装,并在IP网络上传输
5. 在客户端和PPTP服务器之间建立第二个PPP over GRE会话
6. 数据能够在这个IP/GRE/PPP上传输
7. PPTP隧道使用不同的TCP连接来控制会话
PPTP使用GRE的扩展版本来传输用户PPP包。这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使 用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。
PPTP缺点:
• 不支持QOS
• 每个用户一个隧道
• 认证和加密比较脆弱
相关的配置请参照PPTP 配置Layer 2 Tunneling Protocol (L2TP)
L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信 息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准
• L2TP Access Concentrator (LAC) :表示L2TP访问集中器,类似于PPTP中的PAC,是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服 务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
• L2TP Network Server (LNS) :表示L2TP网络服务器,也叫做“home gateway”,类似于PPTP中的PNS,是PPP端系统上用于处理L2TP协议服务器端部分的设备。
L2TP隧道建立过程:
1. 用户使用PPP拨号到ISP,并获得一个IP地址。客户端和ISP之间建立邻接,客户端能够接入到Internet。这个步骤是用来作为普通的Internet连接
2. 客户端决定建立一个端到端的L2TP隧道到home gateway,并在下面建立一个新的PPP会话之前前会使用控制会话建立一个隧道
3. 在L2TP隧道里建立一个新的PPP隧道,并分配给客户端一个IP地址。客户端和home gateway之间会使用virtual point-to-point,通过PPP封装进L2TP隧道,建立一个新的IP邻接关系。
建立IPSec保护的L2TP VPN:
1. 客户端使用PPP拨入ISP,ISP分配IP地址给客户端
2. 客户端使用L2TP通过一个VPN端口连接到home gateway
3. home gateway使用AAA服务器对隧道进行认证,并分配一个隧道内部IP地址给客户端
4. 在客户端和gateway之间建立IPSec,来提供L2TP会话的加密。
VPDN拨号用户与总部路由服务器建立连接的过程如下:
1. 拨号用户拨打一个初始化呼叫有VPDN访问接入服务器(NAS)
2. NAS 接收此呼叫,并将启动一个到总部路由服务器(Home Gateway)的L2TP Tunnel 协商:Home Gateway 利用总部的Radius服务器来鉴定NAS 的Tunnel ID,认证通过以后,向NAS发起CHAP Challenge 信号;NAS对来自Home Gateway的Tunnel 进行认证,认证通过之后,就建立了NAS和Home Gateway之间的Tunnel连接。此时,Home Gateway就可以利用其Radius服务器对VPDN用户进行用户级的认证,如果认证通过将建立Home Gateway和用户间的端到端的PPP连接。如果在NAS和Home Gateway之间建立了Tunnel连接之后,又有另一VPDN用户拨打同一NAS,此时将不会重复上述建立Tunnel的过程,而是直接进行用户级的 认证。
3. 从拨号用户发出的帧被NAS接收到以后,被封装在L2TP中,通过IP隧道被转发到总部路由服务器。这样,用户就可以对总部的信息进行访问,实现信息共享。
两种典型的L2TP隧道模式
1. 由远程拨号用户发起:
远程系统拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求。拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。
2. 直接由LAC客户(指可在本地支持L2TP协议的用户)发起:
此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。此时,LAC客户地址的分配由LNS来完成。
L2TP的优势
• 灵活的身份验证机制以及高度的安全性:
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP也可与 IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻
击。L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对 端数据加密或应用层数据加密等方案来提高数据的安全性。
• 多协议传输:
L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
• 支持RADIUS服务器的验证:
LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
• 支持内部地址分配:
LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918)。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
• 网络计费的灵活性:
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
• 可靠性:
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求 网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 L2TP协议是由IETF起草,微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议,它结合了PPTP和L2F两种二层隧道协议的优 点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准,基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的,被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。
收起阅读 »
DMVPN配置实验
动态多点VPN(DMVPN)介绍
DMVPN是一个高扩展性的IPSec VPN技术,什么叫做高扩展性呢?也就是适合企业级的大规模部署,例如:一个企业有几百个分支机构的场合,对于一个大型连锁企业而言,这种规模并不算夸张。那么DMVPN是高扩展性的IPSec VPN,那么传统技术的IPSec VPN又有什么高扩展性的问题呢?我们就从传统IPSec VPN的两种连接拓扑谈起,说说它们有什么高扩展性的问题。
传统IPSec VPN星形拓扑IPSec VPN有如下问题:
1.中心站点配置量大
不管是经典配置还是GRE Over IPSec或者SVI,多一个分支站点就要多一份配置,如果分支站点数量过多,配置就会变成沉重的负担,并且不容易管理。
2.分支站点间流量延时较大
因为一个分支站点的数据要抵达另外一个分支站点,首先需要加密数据送往中心,数据在中心站点被第一次解密,查看路由判断出隧道,然后在中心站点被第二次加密,并且送往目的站点。目的站点收到数据后,再进行第二次解密。由于数据被两次加解密,所以大大增加了延时。
3.分支站点间流量占用中心带宽
星形拓扑分支站点间的所有流量,都需要经过中心站点进行转发。如果分支站点间流量过大,会大大消耗中心站点的带宽。
综上所述,星形拓扑的传统IPSec VPN,很明显不是一个高扩展性的设计,不适合在有大量分支站点的网络中部署IPSec VPN。
传统IPSec VPN网状模型拓扑IPSec VPN有如下问题:
1.中心与分支站点配置量大
不管是经典配置还是GRE Over IPSec或者SVI,多一个分支站点,所有的站点都要多一份配置,如果在分支站点数量过多的网络,使用网状拓扑的IPSec VPN,配置将是一场噩梦。
2.分支站点需要维护过多IPSec SA
网状拓扑的IPSec VPN,分支站点要和每一个其它站点建立IPSecSA,如果站点过多,每一个分支站点就会维护很多的IPSec SA,一般分支站点都使用低端路由器产品,例如:18或者28系列路由器,维护过多的IPSec SA会让这些设备的内存和CPU不堪重负。
3.每一个分支站点需要固定IP地址
网状拓扑的IPSec VPN,因为两两站点之间需要建立IPSec VPN,所以每一个分支站点都需要有固定IP地址。很明显这在工程中很难实现,因为大多数分支机构可能都是通过ADSL这种廉价的接入技术,并且动态获取互联网地址。
由于传统IPSec VPN星形和网状拓扑存在高扩展性问题,Cisco提出了自己的高扩展性IPSec VPN技术,这个技术就叫做Dynamic Multipoint VPN(DMVPN)。
DMVPN相比于传统的IPSec VPN技术有如下几个优点:
1.简单的星形拓扑配置,提供了虚拟网状连通性
2.分支站点支持动态获取地址
3.增加新的分支站点,无需更改中心站点配置
4.分支站点到分支站点动态产生隧道
要了解DMVPN为什么能够提供上述的四大特点,我们首先需要了解组成DMVPN这个解决方案的四大协议。下面我们就对这四大协议进行详细的介绍。
协议一:Multiple GRE(MGRE)---动态多点GRE
MGRE是一种特殊的GRE技术,非常类似于多点帧中继技术,是一个典型NBMA网络。
MGRE拓扑
可以看到所有站点的MGRE隧道接口都处于一个网段,顾名思义多点GRE。也就是说任何一个分支站点不仅能够和中心站点进行通讯,而且还能够直接和其它分支站点进行通讯。这其实就说明了DMVPN的第一个优点,虚拟网状连通性。
协议二: Next Hop Resolution Protocol(NHRP)---下一跳解析协议
如果你认为配置了MGRE隧道,所有站点就能够直接进行通讯,那就大错而特错了。举两个例子来说明这个问题,第一个例子就是以太网,在以太网IP地址为逻辑地址,MAC地址才是物理地址。如果一台设备只知道对方的逻辑地址,是不能进行通讯的。一定需要知道对方的物理地址,才能够向网络发送数据包。ARP技术就是完成在以太网内,动态的或者手动的映射逻辑地址到物理地址。第二个例子就是和MGRE拓扑非常类似的多点帧中继网络,每一个帧中继接口都有一个逻辑的IP地址,但是要访问对方的逻辑IP必须要知道他的物理地址才行。在帧中继网络中物理地址就是DLCI,我们可以通过手动帧中继映射,或者动态反向ARP技术,映射IP地址到DLCI。同样的在MGRE网络中,也需要影射逻辑地址到物理地址,MGRE隧道的虚拟地址就是逻辑地址,站点获取的公网IP地址,就是物理地址。下一跳解析协议(NHRP)就是为了实现这个映射而设计的,首先每一个分支站点都需要手动影射中心站点的虚拟IP到公网IP,所以中心站点必须拥有固定IP地址。分支站点有了这个手动映射就能够和中心站点取得联系,并且通过NHRP协议,注册这个分支站点的隧道虚拟IP到动态获取的公网IP,一旦注册成功,中心站点就有所有分支站点的NHRP影射。这样中心站点也能够访问所有注册后的分支站点。因为注册是动态的,所以分支站点支持动态获取地址。当某一分支站点希望访问另外一个分支站点时,它首先会使用NHRP协议询问中心站点(NHRP的服务器),目的分支站点隧道虚拟IP所对应的公网IP,中心站点回送NHRP影射给发起方,发起方有了目的站点的NHRP影射以后,就能够通过MGRE直接发起隧道访问目的站点,这个流量是两个分支站点间直接发起的,并不占用中心站点资源。所以从这个角度来看,DMVPN技术是高扩展性的技术。
协议三:动态路由协议
动态路由协议的主要目的是宣告隧道接口网络和站点身后私有网络。绝大部分动态路由协议都使用组播来传输路由更新信息。但是MGRE隧道是典型的NBMA网络,这种网络类型不支持直接承载组播信息,所以我们需要配置组播映射,把组播转换成为单播。因为只有中心站点才拥有固定IP地址,所以默认只有能够配置分支站点和中心站点之间的组播映射。由于组播映射的这个特点,所以动态路由协议的邻居关系,只会出现在分支站点和中心站点之间,分支站点之间由于不存在组播映射,并且分支站点间的隧道是动态建立的,所以不存在动态路由协议的邻居关系。MGRE支持的路由协议有RIP,EIGRP,OSPF,ODR和BGP。
协议四:IPSec技术
其实DMVPN也可以理解成为MGRE over IPSec,IPSec其实就是对MGRE流量进行加密。虽然MGRE是一种特殊的GRE技术,但是协议号依然为GRE的47。所以配置和GRE over IPSec一般无二。
实验一:经典DMVPN实验
第一部分 实验目标
配置经典DMVPN
第二部分 经典DMVPN实验实际接线图
第三部分 实验拓扑
经典DMVPN实验拓扑(物理)
经典DMVPN实验拓扑(逻辑)
第四部分 基本网络配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第五部分 MGRE与NHRP配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第六部分 测试 NHRP
Hub的NHRP注册信息
Spoke1的NHRP映射信息
<注意:这是一个只有DMVPN才能够出现的现象,DMVPN为了实现零丢包特性,在还没有给分支站点做NHRP解析之前,会帮分支站点代转几个包,也就是说这个包是由中心抵达目的站点的,但是NHRP解析以后,分支站点有能力直接建立隧道和目的站点进行通讯,但是由于站点一没有站点二的arp解析,所以丢了第二个包,后面三个包,是两个分支站点间直接通信进进行转发的。>
第七部分 动态路由协议EIGRP配置
Hub动态路由协议EIGRP配置
Spoke1动态路由协议EIGRP配置
Spoke2动态路由协议EIGRP配置
第八部分 试与调整EIGRP
查看Hub EIGRP邻居关系
查看Hub 通过EIGRP学习到的路由
查看Spoke1 EIGRP邻居关系
查看Spoke1 通过EIGRP学习到的路由
<由于动态路由协议水平分割特性,分支站点只能够学习到中心站点内部网络的路由>
为了解决默认情况下,分支站点通过动态路由协议,只能够学习到中心站点内部网络路由的问题,需要在中心站点的隧道接口上关闭水平分割的特性。
中心站点关闭水平分割特性后,查看Spoke1 通过EIGRP学习到的路由
<Spoke1虽然学习到了Spoke2内部网络192.168.2.0/24的路由,但是路由的下一跳却是中心站点。很明显为了实现,DMVPN分支站点间直接建立隧道的特性,我们希望192.168.2.0/24的下一跳应该为172.16.1.2(Spoke2隧道虚拟IP地址)。>
配置Hub优化路由
Hub路由优化后,查看Spoke1通过EIGRP学习到的路由
第九部分 置IPSec VPN
Hub IPSec VPN配置
Spoke1 IPSec VPN配置
Spoke2 IPSec VPN配置
第十部分 看DMVPN状态
查看Hub上的IPSec SA状态
通过查看中心站点IPSec SA的状态,我们发现中心站点和分支站点之间的隧道是永恒建立的,只要分支站点在线这个隧道就存在。
查看Spoke1上的IPSec SA状态
触发分支站点间的流量
查看Spole1上的IPSec SA状态
第十一部分 MVPN中包治百病的大招
在配置DMVPN的过程当中,很可能出现配置完全正确,但是测试结果不正确的现象。这个时候就可以使用如下的大招来解决问题。请注意,配置DMVPN出现不可预期的问题比较常见,但是一般都能够使用下面的办法来解决。
大招第一步:关闭所有站点的隧道接口
大招第二步:从中心站点开始打开各个站点的隧道接口
如果确定配置没有问题,那么这个时候DMVPN应该能够正常工作了。
DMVPN三个发展阶段介绍
阶段一:星形拓扑设计(Hub-to-Spoke Designs)
第一阶段星形拓扑设计,是DMVPN技术的最原始阶段,除了中心站点为多点GRE隧道,所有分支站点为普通点对点GRE隧道。分支站点间的流量都必须经过中心站点转发。第一阶段星形拓扑DMVPN的优势就在于,增加分支站点不增加中心站点的配置,并且分支站点支持动态获取IP地址。
阶段二:虚拟网状拓扑设计(Spoke-to-Spoke Designs)
DMVPN发展到第二阶段,所有站点都采用多点GRE配置,功能大大提升,支持分支站点和分支站点间直接建立隧道。实现了虚拟网状拓扑,真正实现了DMVPN的高扩展性。
阶段三:层次化(树状)设计(Hierarchical (Tree-Based))Designs)
第三阶段也是DMVPN的最新发展阶段,主用运用于DMVPN的超大范围部署,实现DMVPN层次化的结构,并且能够实现不同区域的分支站点间直接建立隧道。如果使用第二阶段DMVPN实现层次化部署,两个不同DMVPN区域的分支站点必须经过本区域的中心站点才能建立连接。
为了更加深刻的理解DMVPN三个阶段的区别,可以看下表
第二和第三阶段分支站点间隧道处理方法比较表
我们从表中可以发现,第三阶段支持汇总路由,并且NHRP的处理方法也和第二阶段有明显不同,下面我们就会第三阶段NHRP的解析过程进行详细的介绍。
第二阶段DMVPN NHRP工作示意图
第一步:分支站点一到分支站点二数据通过中心站点代转。
第二步:分支站点一发送NHRP解析请求给中心站点,请求解析分支站点二虚拟IP地址。
第三步:中心站点回送NHRP解析回应给分支站点一。
第四步:分支站点一获取分支站点二NHRP解析后,直接建立分支站点间的IPSec隧道,后续数据在站点间IPSec隧道内进行转发
DMVPN NHRP工作的细节。
第一步:第三阶段DMVPN支持中心站点向分支站点发送汇总路由,流量总是会先送到中心站点,并由中心站点代转。
第二步:中心站点收到分支站点间数据后,回送NHRP重定向,这个重定向的主要目的是告诉分支站点一:中心站点不是最优的下一跳(虽然路由学习的下一跳是中心站点),最优的下一跳是分支站点二的虚拟隧道地址。
注意:由于NHRP重定向能够动态优化路由,所以第三阶段的DMVPN支持中心站点的路由汇总。
第三步:当分支站点一收到NHRP重定向信息,并且学习到最优的下一跳是分支站点二,就会马上发送NHRP解析请求给NHRP服务器(中心站点)。在DMVPN第三阶段,中心站点不会直接回送NHRP解析回应,而是把这个NHRP解析请求直接发给目的站点。
第四步:分支站点二收到分支站点一所发的NHRP解析请求后,站点二会主动和站点一建立IPSec隧道。
第五步:站点间IPSec隧道建立后,站点二会在隧道内直接回送NHRP解析回应给站点一。
注意:DMVPN第三阶段采取由目的站点触发IPSec,并且在IPSec隧道内回送NHRP回应信息。这样做的好处在于,如果分支站点二正在一个PAT设备内部,使用第三阶段的DMVPN就能够由站点二由内向外主动发起了,但是使用传统的第二阶段DMVPN技术,就很难穿越PAT设备,建立分支站点间隧道。
第六步:后续站点间流量就会直接在第四步建立的IPSec隧道内转发。
实验二 第三阶段DMVPN实验
第一部分 实验目标
配置第三阶段DMVPN
第二部分 实际接线状况
第三阶段DMVPN实验实际接线图
第三部分 实验拓扑
第四部分 基本网络配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第五部分 MGRE与NHRP配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第六部分 动态路由协议EIGRP配置
Hub动态路由协议EIGRP配置
Spoke1动态路由协议EIGRP配置
Spoke2动态路由协议EIGRP配置
第七部分 配置IPSec VPN
Hub IPSec VPN配置
Spoke1 IPSec VPN配置
Spoke2 IPSec VPN配置
第八部分 测试第三阶段DMVPN
Spoke1查看路由表
Spoke1查看NHRP映射
Spoke1发起分支站点间流量
Spoke1查看NHRP映射
Spoke1查看IPSec SA
DMVPN高可用性技术介绍
DMVPN有如下两种主要的高可用性方案
1.单云双中心
DMVPN单云表示只有一个隧道网络,并且这个隧道网络内有两个中心站点。每一个分支站点同时和两个中心站点建立两个永久的IPSec隧道,也同时和两个中心站点建立动态路由协议的邻居关系。分支站点会从两个中心站点同时学习到中心内部网络的路由。当分支站点访问中心内部网络时,可以利用两个中心站点实现负载均衡。并且当其中一个中心站点出现问题的时候,另外一个站点能够接管所有流量,实现DMVPN的高可用性。相对于本章最后要介绍的双云双中心的解决方案,我更推荐大家在工程中使用单云双中心的解决方案,因为这种设计在路由结构和配置上都比较简单。
DMVPN单云双中心配置
中心站点一配置
中心站点二配置
分支站点一配置
分支站点二配置
内部服务器配置
2.双云双中心
DMVPN双云表示有两个隧道网络,隧道一网段为172.16.1.0/24,隧道二网段为172.16.2.0/24。双中心表示每一个隧道有一个中心站点,两个隧道加在一起就有两个中心。双云双中心这种DMVPN,每一个分支站点都需要配置两个MGRE隧道接口,每一个隧道接口需要配置一个NHRP服务器。分支站点需要同时和两个隧道口的两个中心站点建立IPSec隧道和路由协议的邻居关系。和单云双中心一样,分支站点能够通过两个中心站点学习到内部网络(192.168.100.0/24)的路由,也同样能够利用两个分支站点实现负载均衡。任何一个中心站点出现故障另外一个中心站点能够接管所有流量。
中心站点一配置
中心站点二配置
分支站点一配置
分支站点二配置
内部服务器配置
收起阅读 »
DMVPN是一个高扩展性的IPSec VPN技术,什么叫做高扩展性呢?也就是适合企业级的大规模部署,例如:一个企业有几百个分支机构的场合,对于一个大型连锁企业而言,这种规模并不算夸张。那么DMVPN是高扩展性的IPSec VPN,那么传统技术的IPSec VPN又有什么高扩展性的问题呢?我们就从传统IPSec VPN的两种连接拓扑谈起,说说它们有什么高扩展性的问题。
传统IPSec VPN星形拓扑IPSec VPN有如下问题:
1.中心站点配置量大
不管是经典配置还是GRE Over IPSec或者SVI,多一个分支站点就要多一份配置,如果分支站点数量过多,配置就会变成沉重的负担,并且不容易管理。
2.分支站点间流量延时较大
因为一个分支站点的数据要抵达另外一个分支站点,首先需要加密数据送往中心,数据在中心站点被第一次解密,查看路由判断出隧道,然后在中心站点被第二次加密,并且送往目的站点。目的站点收到数据后,再进行第二次解密。由于数据被两次加解密,所以大大增加了延时。
3.分支站点间流量占用中心带宽
星形拓扑分支站点间的所有流量,都需要经过中心站点进行转发。如果分支站点间流量过大,会大大消耗中心站点的带宽。
综上所述,星形拓扑的传统IPSec VPN,很明显不是一个高扩展性的设计,不适合在有大量分支站点的网络中部署IPSec VPN。
传统IPSec VPN网状模型拓扑IPSec VPN有如下问题:
1.中心与分支站点配置量大
不管是经典配置还是GRE Over IPSec或者SVI,多一个分支站点,所有的站点都要多一份配置,如果在分支站点数量过多的网络,使用网状拓扑的IPSec VPN,配置将是一场噩梦。
2.分支站点需要维护过多IPSec SA
网状拓扑的IPSec VPN,分支站点要和每一个其它站点建立IPSecSA,如果站点过多,每一个分支站点就会维护很多的IPSec SA,一般分支站点都使用低端路由器产品,例如:18或者28系列路由器,维护过多的IPSec SA会让这些设备的内存和CPU不堪重负。
3.每一个分支站点需要固定IP地址
网状拓扑的IPSec VPN,因为两两站点之间需要建立IPSec VPN,所以每一个分支站点都需要有固定IP地址。很明显这在工程中很难实现,因为大多数分支机构可能都是通过ADSL这种廉价的接入技术,并且动态获取互联网地址。
由于传统IPSec VPN星形和网状拓扑存在高扩展性问题,Cisco提出了自己的高扩展性IPSec VPN技术,这个技术就叫做Dynamic Multipoint VPN(DMVPN)。
DMVPN相比于传统的IPSec VPN技术有如下几个优点:
1.简单的星形拓扑配置,提供了虚拟网状连通性
2.分支站点支持动态获取地址
3.增加新的分支站点,无需更改中心站点配置
4.分支站点到分支站点动态产生隧道
要了解DMVPN为什么能够提供上述的四大特点,我们首先需要了解组成DMVPN这个解决方案的四大协议。下面我们就对这四大协议进行详细的介绍。
协议一:Multiple GRE(MGRE)---动态多点GRE
MGRE是一种特殊的GRE技术,非常类似于多点帧中继技术,是一个典型NBMA网络。
MGRE拓扑
可以看到所有站点的MGRE隧道接口都处于一个网段,顾名思义多点GRE。也就是说任何一个分支站点不仅能够和中心站点进行通讯,而且还能够直接和其它分支站点进行通讯。这其实就说明了DMVPN的第一个优点,虚拟网状连通性。
协议二: Next Hop Resolution Protocol(NHRP)---下一跳解析协议
如果你认为配置了MGRE隧道,所有站点就能够直接进行通讯,那就大错而特错了。举两个例子来说明这个问题,第一个例子就是以太网,在以太网IP地址为逻辑地址,MAC地址才是物理地址。如果一台设备只知道对方的逻辑地址,是不能进行通讯的。一定需要知道对方的物理地址,才能够向网络发送数据包。ARP技术就是完成在以太网内,动态的或者手动的映射逻辑地址到物理地址。第二个例子就是和MGRE拓扑非常类似的多点帧中继网络,每一个帧中继接口都有一个逻辑的IP地址,但是要访问对方的逻辑IP必须要知道他的物理地址才行。在帧中继网络中物理地址就是DLCI,我们可以通过手动帧中继映射,或者动态反向ARP技术,映射IP地址到DLCI。同样的在MGRE网络中,也需要影射逻辑地址到物理地址,MGRE隧道的虚拟地址就是逻辑地址,站点获取的公网IP地址,就是物理地址。下一跳解析协议(NHRP)就是为了实现这个映射而设计的,首先每一个分支站点都需要手动影射中心站点的虚拟IP到公网IP,所以中心站点必须拥有固定IP地址。分支站点有了这个手动映射就能够和中心站点取得联系,并且通过NHRP协议,注册这个分支站点的隧道虚拟IP到动态获取的公网IP,一旦注册成功,中心站点就有所有分支站点的NHRP影射。这样中心站点也能够访问所有注册后的分支站点。因为注册是动态的,所以分支站点支持动态获取地址。当某一分支站点希望访问另外一个分支站点时,它首先会使用NHRP协议询问中心站点(NHRP的服务器),目的分支站点隧道虚拟IP所对应的公网IP,中心站点回送NHRP影射给发起方,发起方有了目的站点的NHRP影射以后,就能够通过MGRE直接发起隧道访问目的站点,这个流量是两个分支站点间直接发起的,并不占用中心站点资源。所以从这个角度来看,DMVPN技术是高扩展性的技术。
协议三:动态路由协议
动态路由协议的主要目的是宣告隧道接口网络和站点身后私有网络。绝大部分动态路由协议都使用组播来传输路由更新信息。但是MGRE隧道是典型的NBMA网络,这种网络类型不支持直接承载组播信息,所以我们需要配置组播映射,把组播转换成为单播。因为只有中心站点才拥有固定IP地址,所以默认只有能够配置分支站点和中心站点之间的组播映射。由于组播映射的这个特点,所以动态路由协议的邻居关系,只会出现在分支站点和中心站点之间,分支站点之间由于不存在组播映射,并且分支站点间的隧道是动态建立的,所以不存在动态路由协议的邻居关系。MGRE支持的路由协议有RIP,EIGRP,OSPF,ODR和BGP。
协议四:IPSec技术
其实DMVPN也可以理解成为MGRE over IPSec,IPSec其实就是对MGRE流量进行加密。虽然MGRE是一种特殊的GRE技术,但是协议号依然为GRE的47。所以配置和GRE over IPSec一般无二。
实验一:经典DMVPN实验
第一部分 实验目标
配置经典DMVPN
第二部分 经典DMVPN实验实际接线图
第三部分 实验拓扑
经典DMVPN实验拓扑(物理)
经典DMVPN实验拓扑(逻辑)
第四部分 基本网络配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第五部分 MGRE与NHRP配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第六部分 测试 NHRP
Hub的NHRP注册信息
Spoke1的NHRP映射信息
<注意:这是一个只有DMVPN才能够出现的现象,DMVPN为了实现零丢包特性,在还没有给分支站点做NHRP解析之前,会帮分支站点代转几个包,也就是说这个包是由中心抵达目的站点的,但是NHRP解析以后,分支站点有能力直接建立隧道和目的站点进行通讯,但是由于站点一没有站点二的arp解析,所以丢了第二个包,后面三个包,是两个分支站点间直接通信进进行转发的。>
第七部分 动态路由协议EIGRP配置
Hub动态路由协议EIGRP配置
Spoke1动态路由协议EIGRP配置
Spoke2动态路由协议EIGRP配置
第八部分 试与调整EIGRP
查看Hub EIGRP邻居关系
查看Hub 通过EIGRP学习到的路由
查看Spoke1 EIGRP邻居关系
查看Spoke1 通过EIGRP学习到的路由
<由于动态路由协议水平分割特性,分支站点只能够学习到中心站点内部网络的路由>
为了解决默认情况下,分支站点通过动态路由协议,只能够学习到中心站点内部网络路由的问题,需要在中心站点的隧道接口上关闭水平分割的特性。
中心站点关闭水平分割特性后,查看Spoke1 通过EIGRP学习到的路由
<Spoke1虽然学习到了Spoke2内部网络192.168.2.0/24的路由,但是路由的下一跳却是中心站点。很明显为了实现,DMVPN分支站点间直接建立隧道的特性,我们希望192.168.2.0/24的下一跳应该为172.16.1.2(Spoke2隧道虚拟IP地址)。>
配置Hub优化路由
Hub路由优化后,查看Spoke1通过EIGRP学习到的路由
第九部分 置IPSec VPN
Hub IPSec VPN配置
Spoke1 IPSec VPN配置
Spoke2 IPSec VPN配置
第十部分 看DMVPN状态
查看Hub上的IPSec SA状态
通过查看中心站点IPSec SA的状态,我们发现中心站点和分支站点之间的隧道是永恒建立的,只要分支站点在线这个隧道就存在。
查看Spoke1上的IPSec SA状态
触发分支站点间的流量
查看Spole1上的IPSec SA状态
第十一部分 MVPN中包治百病的大招
在配置DMVPN的过程当中,很可能出现配置完全正确,但是测试结果不正确的现象。这个时候就可以使用如下的大招来解决问题。请注意,配置DMVPN出现不可预期的问题比较常见,但是一般都能够使用下面的办法来解决。
大招第一步:关闭所有站点的隧道接口
大招第二步:从中心站点开始打开各个站点的隧道接口
如果确定配置没有问题,那么这个时候DMVPN应该能够正常工作了。
DMVPN三个发展阶段介绍
阶段一:星形拓扑设计(Hub-to-Spoke Designs)
第一阶段星形拓扑设计,是DMVPN技术的最原始阶段,除了中心站点为多点GRE隧道,所有分支站点为普通点对点GRE隧道。分支站点间的流量都必须经过中心站点转发。第一阶段星形拓扑DMVPN的优势就在于,增加分支站点不增加中心站点的配置,并且分支站点支持动态获取IP地址。
阶段二:虚拟网状拓扑设计(Spoke-to-Spoke Designs)
DMVPN发展到第二阶段,所有站点都采用多点GRE配置,功能大大提升,支持分支站点和分支站点间直接建立隧道。实现了虚拟网状拓扑,真正实现了DMVPN的高扩展性。
阶段三:层次化(树状)设计(Hierarchical (Tree-Based))Designs)
第三阶段也是DMVPN的最新发展阶段,主用运用于DMVPN的超大范围部署,实现DMVPN层次化的结构,并且能够实现不同区域的分支站点间直接建立隧道。如果使用第二阶段DMVPN实现层次化部署,两个不同DMVPN区域的分支站点必须经过本区域的中心站点才能建立连接。
为了更加深刻的理解DMVPN三个阶段的区别,可以看下表
第二和第三阶段分支站点间隧道处理方法比较表
我们从表中可以发现,第三阶段支持汇总路由,并且NHRP的处理方法也和第二阶段有明显不同,下面我们就会第三阶段NHRP的解析过程进行详细的介绍。
第二阶段DMVPN NHRP工作示意图
第一步:分支站点一到分支站点二数据通过中心站点代转。
第二步:分支站点一发送NHRP解析请求给中心站点,请求解析分支站点二虚拟IP地址。
第三步:中心站点回送NHRP解析回应给分支站点一。
第四步:分支站点一获取分支站点二NHRP解析后,直接建立分支站点间的IPSec隧道,后续数据在站点间IPSec隧道内进行转发
DMVPN NHRP工作的细节。
第一步:第三阶段DMVPN支持中心站点向分支站点发送汇总路由,流量总是会先送到中心站点,并由中心站点代转。
第二步:中心站点收到分支站点间数据后,回送NHRP重定向,这个重定向的主要目的是告诉分支站点一:中心站点不是最优的下一跳(虽然路由学习的下一跳是中心站点),最优的下一跳是分支站点二的虚拟隧道地址。
注意:由于NHRP重定向能够动态优化路由,所以第三阶段的DMVPN支持中心站点的路由汇总。
第三步:当分支站点一收到NHRP重定向信息,并且学习到最优的下一跳是分支站点二,就会马上发送NHRP解析请求给NHRP服务器(中心站点)。在DMVPN第三阶段,中心站点不会直接回送NHRP解析回应,而是把这个NHRP解析请求直接发给目的站点。
第四步:分支站点二收到分支站点一所发的NHRP解析请求后,站点二会主动和站点一建立IPSec隧道。
第五步:站点间IPSec隧道建立后,站点二会在隧道内直接回送NHRP解析回应给站点一。
注意:DMVPN第三阶段采取由目的站点触发IPSec,并且在IPSec隧道内回送NHRP回应信息。这样做的好处在于,如果分支站点二正在一个PAT设备内部,使用第三阶段的DMVPN就能够由站点二由内向外主动发起了,但是使用传统的第二阶段DMVPN技术,就很难穿越PAT设备,建立分支站点间隧道。
第六步:后续站点间流量就会直接在第四步建立的IPSec隧道内转发。
实验二 第三阶段DMVPN实验
第一部分 实验目标
配置第三阶段DMVPN
第二部分 实际接线状况
第三阶段DMVPN实验实际接线图
第三部分 实验拓扑
第四部分 基本网络配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第五部分 MGRE与NHRP配置
Hub基本网络配置
Spoke1基本网络配置
Spoke2基本网络配置
第六部分 动态路由协议EIGRP配置
Hub动态路由协议EIGRP配置
Spoke1动态路由协议EIGRP配置
Spoke2动态路由协议EIGRP配置
第七部分 配置IPSec VPN
Hub IPSec VPN配置
Spoke1 IPSec VPN配置
Spoke2 IPSec VPN配置
第八部分 测试第三阶段DMVPN
Spoke1查看路由表
Spoke1查看NHRP映射
Spoke1发起分支站点间流量
Spoke1查看NHRP映射
Spoke1查看IPSec SA
DMVPN高可用性技术介绍
DMVPN有如下两种主要的高可用性方案
1.单云双中心
DMVPN单云表示只有一个隧道网络,并且这个隧道网络内有两个中心站点。每一个分支站点同时和两个中心站点建立两个永久的IPSec隧道,也同时和两个中心站点建立动态路由协议的邻居关系。分支站点会从两个中心站点同时学习到中心内部网络的路由。当分支站点访问中心内部网络时,可以利用两个中心站点实现负载均衡。并且当其中一个中心站点出现问题的时候,另外一个站点能够接管所有流量,实现DMVPN的高可用性。相对于本章最后要介绍的双云双中心的解决方案,我更推荐大家在工程中使用单云双中心的解决方案,因为这种设计在路由结构和配置上都比较简单。
DMVPN单云双中心配置
中心站点一配置
中心站点二配置
分支站点一配置
分支站点二配置
内部服务器配置
2.双云双中心
DMVPN双云表示有两个隧道网络,隧道一网段为172.16.1.0/24,隧道二网段为172.16.2.0/24。双中心表示每一个隧道有一个中心站点,两个隧道加在一起就有两个中心。双云双中心这种DMVPN,每一个分支站点都需要配置两个MGRE隧道接口,每一个隧道接口需要配置一个NHRP服务器。分支站点需要同时和两个隧道口的两个中心站点建立IPSec隧道和路由协议的邻居关系。和单云双中心一样,分支站点能够通过两个中心站点学习到内部网络(192.168.100.0/24)的路由,也同样能够利用两个分支站点实现负载均衡。任何一个中心站点出现故障另外一个中心站点能够接管所有流量。
中心站点一配置
中心站点二配置
分支站点一配置
分支站点二配置
内部服务器配置
收起阅读 »
CISCO_DMVPN原理与配置
一.CISCO DMVPN概览
CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:
1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.
2.自动应用IPSec.
3.当增加远程站点时无需做额外部署.
4.减小延迟与节约带宽.
如下图:
CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.
通常情况下,DMVPN适用于以下场合:
1.中型与大型企业.
2.SOHO.
3.企业网外网.
4.企业WAN备份连接.
5.SP VPN业务.
二.CISCO DMVPN的部署与结构.
CISCO DMVPN部署方案有两种方式:纽爱科网络实验室社区
1.星型(hub-and-spoke)结构:
在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:
2.边缘(spoke-to-spoke)结构:
CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:
至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区
1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.
2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.
为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦.
CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:
CISCO DMVPN的关键组件如下:
1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.
2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.
3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.
三.CISCO DMVPN的实施
可以通过CISCO SDM采用向导化的配置:
通过IOS来配置CISCO DMVPN.拓扑如下图:
R1配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
ip nhrp authentication cisco /---配置NHRP的认证---/
ip nhrp map multicast dynamic /---允许NHRP自动增加路由器到组播NHRP映射---/
ip nhrp network-id 1 /---在接口上启用NHRP---/
ip ospf network broadcast
ip ospf priority 2555
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 11.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.1 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.2 102 broadcast
frame-relay map ip 125.71.1.3 103 broadcast
!
router ospf 1
log-adjacency-changes
network 11.1.1.1 0.0.0.0 area 0
network 125.71.1.1 0.0.0.0 area 0
network 192.168.1.1 0.0.0.0 area 0
!
R2配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1 /---将NBMA地址做为通过隧道网络发送广播或组播的目标地址---/
ip nhrp network-id 1)
ip nhrp nhs 125.71.1.1 /---定义NHRP服务器地址---/
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 22.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.2 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 201 broadcast
frame-relay map ip 125.71.1.3 201 broadcast
!
router ospf 1
network 22.1.1.1 0.0.0.0 area 0
network 125.71.1.2 0.0.0.0 area 0
network 192.168.1.2 0.0.0.0 area 0
!
R3配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 1
ip nhrp nhs 125.71.1.1
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 33.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.3 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 301 broadcast
frame-relay map ip 125.71.1.2 301 broadcast
router ospf 1
log-adjacency-changes
network 33.1.1.1 0.0.0.0 area 0
network 125.71.1.3 0.0.0.0 area 0
network 192.168.1.3 0.0.0.0 area 0
收起阅读 »
CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:
1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.
2.自动应用IPSec.
3.当增加远程站点时无需做额外部署.
4.减小延迟与节约带宽.
如下图:
CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.
通常情况下,DMVPN适用于以下场合:
1.中型与大型企业.
2.SOHO.
3.企业网外网.
4.企业WAN备份连接.
5.SP VPN业务.
二.CISCO DMVPN的部署与结构.
CISCO DMVPN部署方案有两种方式:纽爱科网络实验室社区
1.星型(hub-and-spoke)结构:
在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:
2.边缘(spoke-to-spoke)结构:
CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:
至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区
1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.
2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.
为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦.
CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:
CISCO DMVPN的关键组件如下:
1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.
2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.
3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.
三.CISCO DMVPN的实施
可以通过CISCO SDM采用向导化的配置:
通过IOS来配置CISCO DMVPN.拓扑如下图:
R1配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
ip nhrp authentication cisco /---配置NHRP的认证---/
ip nhrp map multicast dynamic /---允许NHRP自动增加路由器到组播NHRP映射---/
ip nhrp network-id 1 /---在接口上启用NHRP---/
ip ospf network broadcast
ip ospf priority 2555
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 11.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.1 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.2 102 broadcast
frame-relay map ip 125.71.1.3 103 broadcast
!
router ospf 1
log-adjacency-changes
network 11.1.1.1 0.0.0.0 area 0
network 125.71.1.1 0.0.0.0 area 0
network 192.168.1.1 0.0.0.0 area 0
!
R2配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1 /---将NBMA地址做为通过隧道网络发送广播或组播的目标地址---/
ip nhrp network-id 1)
ip nhrp nhs 125.71.1.1 /---定义NHRP服务器地址---/
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 22.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.2 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 201 broadcast
frame-relay map ip 125.71.1.3 201 broadcast
!
router ospf 1
network 22.1.1.1 0.0.0.0 area 0
network 125.71.1.2 0.0.0.0 area 0
network 192.168.1.2 0.0.0.0 area 0
!
R3配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 1
ip nhrp nhs 125.71.1.1
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 33.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.3 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 301 broadcast
frame-relay map ip 125.71.1.2 301 broadcast
router ospf 1
log-adjacency-changes
network 33.1.1.1 0.0.0.0 area 0
network 125.71.1.3 0.0.0.0 area 0
network 192.168.1.3 0.0.0.0 area 0
收起阅读 »
Cisco Router与InRouter900 建立IPSec VPN的相关配置
Cisco Router相关配置
使用串口连接Cisco Router 的console 接口进行配置,波特率9600 数据位8,校验位n,停止位1。
Router>enable // 特权模式
Router#
Router#configure terminal // 进入配置模式
Router(config)#username xxx password xxx //console 登陆用户名密码设置
Router(config)#interface FastEthernet0/0 //WAN接口
Router(config-if)#ip address 219.239.xxx.xxx 255.255.255.240
Router(config-if)# ip nat outside
Router(config-if)# no shutdown
Router(config-if)# exit
!
Router(config)#interface FastEthernet0/1 //LAN接口
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config-if)# no shutdown
Router(config)#ip nat inside source list 101 interface FastEthernet0/0 overload
//配置NAT,内容为192.168.1.0/24到192.168.2.0/24的访问不进行地址翻译,到其他网络的访问都翻译成FastEthernet0/0接口的IP地址
Router(config)#ip route 0.0.0.0 0.0.0.0 219.239.xxx.xxx //配置静态路由!
Router(config)#ip dhcp exculded-address 192.168.1.1 //LAN接口DHCP
Router(config)#ip dhcp pool lan-pool
Router(config)#network 192.168.1.0 255.255.255.0
Router(config)#dns-server 202.106.x.x // DNS
Router(config)#default-router 192.168.1.1
Router(config)#exit
!
Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
//定义从192.168.1.0/24-192.168.2.0/24 VPN感兴趣流
Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
//定义从192.168.1.0/24-192.168.3.0/24 VPN感兴趣流
Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any
//阻止VPN数据流通过NAT,定义NAT规则访问列表,注意先后顺序
!
Router(config)#crypto isakmp policy 1 //定义IKE策略
Router(config)#encr 3des //定义3des加密算法
Router(config)#hash //定义md5散列算法
Router(config)#authentication pre-share //定义为预共享密钥认证方式
Router(config)#group 2 //定义Diffie-Hellman标识符
Router(config)#crypto isakmp key abc123 address 0.0.0.0 0.0.0.0 //配置预共享密钥为abc123(可以为其他),vpn对等端为任意IP(因为InRouer端通常为动态IP)
Router(config)#crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac //创建变换集 esp-3des esp-md5-hmac,其中“ESP-3DES-MD5”为变换集名称
!
Router(config)#crypto dynamic-map DYNMAP 100 //创建动态保密图DYNMAP 100
Router(config)#set transform-set ESP-3DES-MD5 //使用上面定义的变换集ESP-3DES-MD5
Router(config)# match address 100 //援引访问列表确定受保护的流量
!
!
Router(config)#crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP
//将动态保密图集加入到正规的图集中,其中“OUTSIDE_MAP”为正规图集名称
!
Router(config-if)#interface FastEthernet0/0 //WAN接口
Router(config-if)#crypto map OUTSIDE_MAP
InRouter900相关配置
1. LAN设置
Web方式登录IR900路由器,点击“网络”=>“VLAN端口”菜单,如下图:
设置IR900 LAN端口IP地址,出厂默认IP为192.168.2.1,需将其设置为IPSec VPN本地保护子网网段内。
请根据具体情况修改参数,配置完成后点击应用。
2. IPSec VPN基本参数设置
1、安装向导-新建IPSec隧道
接口名称: cellular 1 // 路由器默认WAN接口,若为有线则改为相应有线接口;
对端地址: 203.86.63.xxx // Cisco WAN 端口IP地址
协商模式: 野蛮模式
本地子网: 192.168.2.0 255.255.255.0
对端子网: 192.168.1.0 255.255.255.0
第一阶段策略:
IKE策略: 3DES-MD5-DH2 //与Cisco协商第一阶段一致;
IKE生命周期: 86400 //默认
本地、对端标示: IP地址 //默认
秘钥: abc123 //与crypto isakmp key abc123一致
第二阶段参数:
IPSec IKE策略: 3DES-MD5-96 //与Cisco第二阶段一致
IPSec 生命周期: 3600
2、ICMP探测机制
VPN-IPSec配置
ICMP探测服务器 : 192.168.1.1 // Cisco LAN 地址
ICMP探测本地地址: 192.168.2.1 // 本地LAN地址
收起阅读 »
Cisco Router与InRouter700 建立IPSec VPN的相关配置
Cisco Router相关配置
!
Username xxx password xxx //console 登陆用户名密码设置
interface FastEthernet0/0 //WAN接口
ip address 219.239.xxx.xxx 255.255.255.240
ip nat outside
!
interface FastEthernet0/1 //LAN接口
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat inside source list 101 interface FastEthernet0/0 overload
//配置NAT,内容为192.168.1.0/24到192.168.2.0/24的访问不进行地址翻译,到其他网络的访问都翻译成FastEthernet0/0接口的IP地址
ip route 0.0.0.0 0.0.0.0 219.239.xxx.xxx //配置静态路由!
ip dhcp exculded-address 192.168.1.1 //LAN接口DHCP
ip dhcp pool lan-pool
network 192.168.1.0 255.255.255.0
dns-server 202.106.x.x // DNS
default-router 192.168.1.1
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
//定义从192.168.1.0/24-192.168.2.0/24 VPN感兴趣流
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
//定义从192.168.1.0/24-192.168.3.0/24 VPN感兴趣流
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
//阻止VPN数据流通过NAT,定义NAT规则访问列表,注意先后顺序
!
crypto isakmp policy 1 //定义IKE策略
encr 3des //定义3des加密算法
hash md5 //定义md5散列算法
authentication pre-share //定义为预共享密钥认证方式
group 2 //定义Diffie-Hellman标识符
crypto isakmp key abc123 address 0.0.0.0 0.0.0.0 //配置预共享密钥为abc123(可以为其他),vpn对等端为任意IP(因为InRouer端通常为动态IP)
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac //创建变换集 esp-3des esp-md5-hmac,其中“ESP-3DES-MD5”为变换集名称
!
crypto dynamic-map DYNMAP 100 //创建动态保密图DYNMAP 100
set transform-set ESP-3DES-MD5 //使用上面定义的变换集ESP-3DES-MD5
match address 100 //援引访问列表确定受保护的流量
!
!
crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP //将动态保密图集加入
到正规的图集中,其中“OUTSIDE_MAP”为正规图集名称
!
!interface FastEthernet0/0 //WAN接口
crypto map OUTSIDE_MAP
InRouter700相关配置
1. LAN设置
Web方式登录IR700路由器,点击“网络”=>“LAN端口”菜单,如下图:
设置IR700 LAN端口IP地址,出厂默认IP为192.168.2.1,需将其设置为IPSec VPN本地保护子网网段内。
请根据具体情况修改参数,配置完成后点击应用。
2. IPSec VPN基本参数设置
点击“VPN设置” => “IPSec基本参数”菜单,如下图所示:
启用NAT穿越:选择启用。
维持NAT穿越时间间隔:设置NAT维持穿越时间间隔,缺省为60秒。
启用数据压缩:选择启用。
请根据具体情况修改参数,配置完成后点击应用。
3. IPSec VPN隧道参数设置
点击“VPN配置”=> “IPSec隧道配置”菜单,点击“新增”创建一个新的VPN隧道,如下图:
基本参数: 设置IPSec隧道的基本参数
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN服务端IP/域名,例如:219.239.xxx.xxx
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式,快速模式。与Cisco建VPN时选择主模式。
IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:192.168.2.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.1.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.255.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。与Cisco建VPN时选择IP地址。
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。
对端标识:根据选择的标识类型填入相应标识。建议选择为空。
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。与Cisco配置相对应填入abc123。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接检测参数: 设置IPSec隧道的连接检测参数
DPD时间间隔:DPD检测时间间隔。建议不填。
DPD超时时间:DPD检测超时时间。建议不填。
ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。
ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。
ICMP检测时间间隔:建议60s。
ICMP检测超时时间:建议30s。
ICMP检测最大重试次数:建议5次。
配置完成后点击“保存”选项。
收起阅读 »