11路由器上IPSecVPN多点配置.docxVIP

路由器上IPSec VPN的多点配置 一 配置简单的IPSec VPN多点 在实际情况中，集团公司不可能只有一个分公司；如果要实现这些分公司之间互通，一般会采用DMVPN；但如果分公司不是很多，整个网络拓扑相对简单，可以进行简单的配置 ·多点IPSec VPN的实现思想 在一个物理接口上同时只能应用一个Crypto Map，因此通过Crypto Map不同序号，与Peer进行策略匹配，即benet-map 1与R2匹配，benet-map 2与R2匹配；序号越小，优先级越高；实际环境中分公司如果比较少（如3），则可以使用此方法，否则太多的序号会降低设备性能 二 多点IPSec VPN的配置过程 公司项目需求 经理希望总公司可以与各个分公司通过VPN实现通信，同时分公司之间也通过VPN通信 公司环境如下图 模拟环境中，路由器模拟ISP 配置方案如下 1 R1与R2之间先建立VPN通信, 2 R1与R3之间再建立VPN通信（注意不同之处） 3 R2与R3之间的通信直接由R1进行转发 ·实现R1与R2之间的VPN通信 R1上的配置 1基本配置 2 ISAKMP配置 a共享密钥和安全策略配置 b ACL配置 允许R1内网1.0网段访问R内网2.0网段 c传输集配置 d 加密映射配置（配置map） e将映射应用在接口 R2上的配置 1基本配置 2 ISAKMP配置 a共享密钥和安全策略配置 b ACL配置 c传输集配置 d 加密映射配置（配置map） e将映射应用在接口 要求1配置完成开始测试 ·实现R1与R3之间的VPN通信 R1上的配置 1配置共享密钥 这里不用再配置安全策略了，只需配置R1与R2的共享密钥即可（也可以配置安全策略） 2ACL配置 重新创建一个ACL 3 加密映射配置（配置map） 这里不用在配置传输集了，直接使用之前创建的 创建benet-map 2 无需再应用到接口了，配置完成，现在只需要在R3上配置与其对称的配置即可 R3的配置 1基本配置 2 ISAKMP配置 a安全策略和共享密钥配置 b ACL配置 c传输集配置 d 加密映射配置（配置map） e将映射应用在接口 要求2配置完成开始测试 ·实现R2与R3 之间的VPN通信 这里有两种方法，可以在R2和R3上再分别配置ISAKMP（与R1与R3配置类似）；这样流量就不会经过R1，如果总公司（R1）要监控R2与R3之间的流量，则通过配置几条ACL策略即可实现R2与R3之间的VPN通信，具体配置如下 R2上的配置 R2要允许2.0网段访问3.0网段，直接在原来的ACL上再添加一条 R3上的配置 同样R3要允许3.0网段访问2.0网段 R1上的配置 R1要允许2.0网段与3.0网段之间的VPN数据 R1上有1.0去向2.0的ACL，有1.0去向3.0的ACL，现在2.0要去3.0,3.0要去2.0，则可以在1.0去向2.0的ACL上添加3.0去向2.0的条目，在1.0去向3.0的ACL添加2.0去向3.0的条目 配置完成进行测试 注意 如果R1内网要访问互联网，就要拒绝掉1.0网段的转发请求；可以在创建以下ACL 然后将list 1应用在nat上 同样R2、R3也是如此