一�、 組網(wǎng)需求:
某公司存在分支機構A和分支機構B,兩端的出口路由器都是ER5200����,分別為Router A和Router B�����,Router A處為靜態(tài)IP��,Router B處為撥號方式獲取的IP?�,F(xiàn)在客戶想在兩個分支之間建立VPN來實現(xiàn)互通����。
二����、 組網(wǎng)圖:
三、 配置步驟:
當一邊的地址都是靜態(tài)IP(Router A)�����,另外一邊是撥號方式獲取的IP(Router B)時��,可采用主模式下的域名形式來建立VPN(前提是已經(jīng)在www.3322.org網(wǎng)站申請好域名,分支B的域名為rb.3322.org)�����。
Router A設置:
(1)設置虛接口:
VPN→VPN設置→虛接口
選擇一個虛接口名稱和與其相應的WAN1口綁定�����,單擊<增加>按鈕����。
(2)設置IKE安全提議
VPN→VPN設置→IKE安全提議
輸入安全提議名稱�,并設置驗證算法和加密算法分別為MD5����、3DES,單擊<增加>按鈕�����。
(3) 設置IKE對等體
VPN→VPN設置→IKE對等體
輸入對等體名稱�����,選擇對應的虛接口ipsec0����。在“對端地址”文本框中輸入Router B的域名,為rb.3322.org���,選擇主模式��,并選擇已創(chuàng)建的安全提議等信息��,單擊<增加>按鈕��。
(4) 設置IPSec安全提議
VPN→VPN設置→IPSec安全提議
輸入安全提議名稱�����,選擇安全協(xié)議類型為ESP�����,并設置驗證算法和加密算法分別為MD5���、3DES,單擊<增加>按鈕���。
(5)設置IPSec安全策略
VPN→VPN設置→IPSec安全策略
Router B設置與Router A的設置類似���,在設置IKE對等體時,需要在“對端地址”這欄填寫Router A的公網(wǎng)IP地址��。
(6)路由設置
高級設置→路由設置→靜態(tài)路由���。
Router A端設置:
Router B端設置:
設置路由地址����,配置靜態(tài)路由時,指定目的地址網(wǎng)段后不需要指定下一跳地址���,直接配置使用正確的IPSec虛接口即可��。
四���、 配置關鍵點:
1、動態(tài)域名需要到www.3322.org網(wǎng)站申請�,注冊成功后,需要雙方互ping對端的域名來驗證彼此的公網(wǎng)地址是否可以成功解析并實現(xiàn)互通����。建立好VPN后,也需要ping包來觸發(fā)VPN隧道的建立��。但是ER系列設備默認都是禁止ping WAN口地址的��,通過域名解析出來的公網(wǎng)地址也必然不通��,所以在ping包之前需要實施以下步驟:將“WAN口Ping掃描”選項前面的勾去掉并點擊應用即可��。
2�、在VPN的配置中要注意雙方的參數(shù)一定要一致:設置IKE安全提議時,驗證算法和加密算法要一致;設置IKE對等體時��,域共享密鑰、DPD功能使用要一致;設置IPSec安全提議時��,安全協(xié)議類型�����、驗證算法和加密算法要一致;設置IPSec安全策略時����,“本地子網(wǎng)IP/掩碼”和“對端子網(wǎng)/IP掩碼”要根據(jù)設置端如實填寫��,注意兩端的配置正好相反����。
3、靜態(tài)路由配置要注意填寫目的地址時���,需要填寫對端的子網(wǎng)地址����,不要填寫下一跳地址�,直接選IPSEC子接口為出接口。
4�����、注意:ER2100做IPSEC VPN時,不需要配置靜態(tài)路由����。
