组网需求
多个发起方使用动态接入互联网方式,如PPPoE拨号或者NAT转换,这种方式中,发起方每次使用的IP地址可能不一致,所以响应端无法使用指定对端IP地址方式,匿名网关一端不指定对端IP,通过ID识别对端身份建立IPSec隧道,实现公司间内部网络的安全通信。
典型环境的组网图:
配置步骤
总部FW1配置
命令行方式配置
配置接口Ge 0/0/1和Ge 0/0/2的IP地址
(config)#interface Ge 0/0/1
(config-if-Ge0/0/1)#ip add 20.0.0.1 24
(config)#interface Ge 0/0/2
(config-if-Ge0/0/2)#ip add 192.168.0.1 24
开启IPSEC使能开关及配置IKE协商策略
Ipsec enable
ipsec negotiation-policy ike
peer-type client
mode aggressive
authentication-type key OUM!K%F<+$[Q=^Q`MAF4<1!!
peer-id peer
ike-encrypt 3des
ike-authentication md5
ike-dh-group 2
dpd enable interval 30 timeout 3
protocol-nested 1 esp ipsec-encrypt 3des ipsec-authenticate hmac_md5 encap-type tunnel