ER3100与FW之间建立PPPOE+IPSec VPN典型配置案例

《ER3100与FW之间建立PPPOE+IPSec VPN典型配置案例》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、ER3100与FW之间建立PPPOE+IPSecVPN典型配置案例1.1 组网需求在F100-C和ER3100之间建立一个安全隧道，其中ER3100为PPPOE拨号上网，对客户分支机构A所在的子网（192.168.1.0/24）与客户分支机构B所在的子网（192.168.10.0/24）之间的数据流进行安全保护。安全协议采用ESP协议，加密算法采用3DES，认证算法采用SHA1。1.2 组网图图1组网示意图F100-CER3100113.57.133.82PPPOEclient业务A192.168.1.0/24业务B192.168.1

2、0.0/241.3 配置步骤1.设置ER3100(1)       设置虚接口VPN→IKE→虚接口选择一个虚接口名称和与其相应的WAN口绑定，单击<增加>按钮。(2)       设置IKE安全提议VPN→IKE→安全提议输入安全提议名称，并设置验证算法和加密算法分别为SHA1、DES，单击<增加>按钮。(3)       设置IKE对等体VPN→IKE→对等体输入对等体名称，选择对应的虚接口ipsec1。在“对端地址”文本框中输入F100-C的IP地址，并选择已创建的安全提议等信息，单击<增加>按钮。(4)       设置IPS

3、ec安全提议VPN→IPSec→安全提议输入安全提议名称，选择安全协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。5)       设置安全策略VPN→IPSec→安全策略输入安全策略名称，在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入客户分支机构A和B所处的子网信息，并选择协商类型为“IKE协商”、对等体为“wr”、安全提议为“wr”，单击<增加>按钮。6)       设置路由需要为经过IPSecVPN隧道处理的报文设置路由，才能使隧道两端互通。一般情况下，只需要为隧道报文配置

4、静态路由即可。配置静态路由时，指定目的地址网段后不需要指定下一跳地址，直接配置使用正确的IPSec虚接口即可。配置完成。设备F100-C的配置：ikelocal-nameh3c#firewallpacket-filterenablefirewallpacket-filterdefaultpermit#ikeproposal10dhgroup2//IKEDH组，缺省为group1saduration28800//ike生命周期，缺省为86400（要跟er3100上IKE对等体里的参数保持一致）#ikedpddefaultdpd#ikep

5、eerwr_peerexchange-modeaggressivepre-shared-keyhmzy@2010id-typenameremote-namehmzy@2010nattraversal#ipsecproposal10espencryption-algorithm3des#ipsecpolicywr_pol1isakmpsecurityacl3333pfsdh-group2ike-peerwr_peerproposal10#aclnumber3000rule0denyipsource192.168.1.00.0.0.255

6、destination192.168.10.00.0.0.255rule1permitipaclnumber3333rule0permitipsource192.168.1.00.0.0.255destination192.168.10.00.0.0.255#interfaceEthernet0/0ipaddress192.168.1.1255.255.255.0#interfaceEthernet0/4ipaddress113.57.133.82255.255.255.240natoutbound3000ipsecpolicywr_

7、polfirewallzonetrustaddinterfaceEthernet0/0setpriority85#firewallzoneuntrustaddinterfaceEthernet0/4setpriority5配置关键点：注意在配置时保持IKE、IPSec安全提议的加密、验证算法、共享密钥要保持一致。对端ID要设置正确。