好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器拨号接口上配置IPSec功能的配置

 

关键词:MSR;PPP;PAP;PPPoE;Client;Server;Dialer;IPSec;IKE

 

一、组网需求

PPPoE ClientPPPoE Server通过PPPoE建立拨号关系,双方在拨号接口和虚模板上配置IPSec策略,使两边的私有数据得以加密传送

设备清单:MSR系列路由器2

二、组网图:

三、配置步骤:

设备和版本:MSR系列、Version 5.20, Release 1509

PPPoE_Client的配置

#

 //配置拨号规则允许IP包通过

 dialer-rule 1 ip permit

#

//配置IKE Peer

ike peer pppoeserver

 //共享身份密钥

 pre-shared-key sunshine

 //对端地址

 remote-address 1.1.1.1

#

//IPSec提议

ipsec proposal pppoeserver

#

//IPSec策略

ipsec policy pppoeserver 1 isakmp

 //指定ACL

 security acl 3000

 //指定IKE Peer

ike-peer pppoeserver

//指定IPSec提议

 proposal pppoeserver

#

//ACL3000允许两个内部网络之间的通信

acl number 3000

 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.32.0.0 0.0.0.255

#

//拨号口的配置

interface Dialer0

 //链路协议为PPP

 link-protocol ppp

 //PAP认证配置

 ppp pap local-user msr password simple msr

 //IP地址为PPP协商

 ip address ppp-negotiate

 //拨号用户,可以任意配置

 dialer user anyone

 //指定拨号规则即全局配置的Dialer-rule 1

 dialer-group 1

 //所属的拨号绑定组

 dialer bundle 1

 //配置IPSec策略

 ipsec policy pppoeserver

#

interface GigabitEthernet0/0

 port link-mode route

 //指定PPPoe-Client使用绑定组1

 pppoe-client dial-bundle-number 1

 combo enable copper

#

interface GigabitEthernet0/1

 port link-mode route

 combo enable copper

 //内部网络接口

 ip address 192.168.0.1 255.255.255.0

#

 //默认路由指向拨号口0

 ip route-static 0.0.0.0 0.0.0.0 Dialer0

#

PPPoE Server配置

#

 //配置地址池0

 ip pool 0 1.1.1.2 1.1.1.5

#

//配置IKE Peer

ike peer pppoeclient

 //共享身份密钥

 pre-shared-key sunshine

 //指定对端地址范围

 remote-address 1.1.1.2 1.1.1.5

#

//IPSec提议

ipsec proposal pppoeclient

#

//IPSec策略

ipsec policy pppoeclient 1 isakmp

 //指定ACL

 security acl 3000

 //指定IKE Peer

ike-peer pppoeclient

//指定IPSec提议

 proposal pppoeclient

#

//PPP认证用户配置

local-user msr

 //密码msr

 password simple msr

 //服务类型PPP

 service-type ppp

#

 

acl number 3000

 //私网间通信的Rule

 rule 0 permit ip source 172.32.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

#

//创建虚模板0

interface Virtual-Template0

 //ppp认证类型

 ppp authentication-mode pap

 //指定对端地址池,此处为全局配置的地址池0

 remote address pool

 //虚模板地址

 ip address 1.1.1.1 255.255.255.0

 //绑定IPSec策略

 ipsec policy pppoeclient

#

interface GigabitEthernet0/0

 port link-mode route

 //PPPoE-Server配置绑定为虚模板0

 pppoe-server bind Virtual-Template 0

 combo enable copper

#

interface GigabitEthernet0/1

 port link-mode route

 combo enable copper

 //内网接口地址

 ip address 172.32.0.1 255.255.255.0

#

 //访问对端内网的静态路由

 ip route-static 192.168.0.0 255.255.255.0 Virtual-Template0

#

 

四、配置关键点

1) PPPoE ClientPPPoE Server可以参见《MSR系列路由器PPPoE Client功能的配置》,PAP认证可以参见PPP认证典型配置;

2) PPPoE Server没有为PPP认证用户指定认证域时,地址池配置在全局视图下;

3) IKE发起方PPPoE Client必须指定接收方PPPoE Server的地址;

4) IKE接收方PPPoE Server可以指定对方所属的地址范围;

5) IPSec的配置除了IKE Peer配置部分可以参考《MSR系列路由器IPSec + IKE功能的配置》;

6) 发起方和接收方IPSec策略分别绑定在Dialer0Virtual-Template0下;

7) 双方通过配置静态路由将内网流量引入到Dialer0Virtual-Template0*

X Close
X Close