ipsec vpn网络要割接问下思路和步骤

清风居士 · 发表于 2009-3-20 12:24:21

星型拓扑，静态路由方式。需要把中心节点迁移到新的设备上去，各分支机构比较远。如何思路才能不中断telnet，免得跑路过去。
我的思路是：把中心节电先配置好，分支节点通过互联接口地址telnet，新增一条隧道和新的中心节点建立连接。全部切换后删除老的隧道。
大家帮忙看看是否正确

erjing · 发表于 2009-3-21 11:19:32

在公网IP维护不就得了。。。非要从内网telnet上去啊。。。

尚枫 · 发表于 2009-3-21 11:58:38

用过趋势的，曾今，非要从内网进行操作，搞得我们从外网维护必须自己随身带个客户端的设备。

清风居士 · 发表于 2009-3-21 20:04:55

原帖由 erjing 于 2009-3-21 11:19 发表
在公网IP维护不就得了。。。非要从内网telnet上去啊。。。

我是说用互联接口telnet啊。我就是记得ipsec里面他指定了源地址和对端地址。这个两地址都是互联口的地址。

[ 本帖最后由清风居士于 2009-3-21 20:07 编辑 ]

erjing · 发表于 2009-3-21 23:19:44

切换ipsec不断不可能，因为你的内网是不能变的。先把新的连接建立好，然后修改策略就行了。

清风居士 · 发表于 2009-3-22 18:50:31

你的意思就是是说先保留原来的通道。然后新增一个到中心节点的通道。新通道建立后删除老的了？

erjing · 发表于 2009-3-22 20:19:31

ipsec分两种：
1、策略模式的。
2、路由模式的。
策略模式的组建方便，先建立好通道认证，然后在策略里将流量指定到通道里走。
路由模式的不同的设备不一样，也不是一个叫法。路由模式的好处是可以当一个路由用，因为ipsec里不支持广播，所以是不能跑动态路由协议的。如果想跑ospf那只能选择这种方式。

一般的设备都是策略模式的，这就是说第一步你建立认证，第二部建立通道。这些都可以提前做。第三步是修改策略，将原有的流量重新封装到通道里。这步是可以最后做的，做这步就是实际的切换了。
老的不删除也可以啊。。。先留着以防万一。还有中心路由器可能是一个 ipsec vpn hub,这个本来就是冗余设计的。

[ 本帖最后由 erjing 于 2009-3-22 20:20 编辑 ]

清风居士 · 发表于 2009-3-22 21:51:33

ike local-name xiacheng
#
nat address-group 0 100.2.2.50 100.2.2.100
#
acl number 3000
rule 0 permit ip source 10.18.29.125 0 destination 172.18.2.68 0
acl number 3500
rule 0 permit ip source 192.168.0.0 0.0.0.255
#
ike peer shiju
exchange-mode aggressive
pre-shared-key cipher f3KTIYH7RJE=
id-type name
remote-name shiju
remote-address 172.18.2.68
nat traversal
#
ipsec proposal 1
#
ipsec policy shiju 1 isakmp
security acl 3000
ike-peer shiju
proposal 1
#
interface Ethernet0/0
port link-mode route
nat outbound 3500
ip address 10.18.29.125 255.255.255.128
ipsec policy shiju
#
interface Ethernet0/1
port link-mode route
ip address 192.168.0.1 255.255.255.0
#
interface Ethernet4/0
port link-mode route
ip address 100.2.2.1 255.255.255.0
#
interface Tunnel0
nat outbound 3500 address-group 0
ip address 18.18.18.17 255.255.255.252
tcp mss 1024
source 10.18.29.125
destination 172.18.2.68
#
ip route-static 0.0.0.0 0.0.0.0 10.18.29.126
ip route-static 18.18.18.0 255.255.255.0 Tunnel0
ip route-static 21.0.0.0 255.0.0.0 Tunnel0
ip route-static 100.2.0.0 255.255.0.0 Tunnel0

[ 本帖最后由清风居士于 2009-3-22 21:58 编辑 ]

erjing · 发表于 2009-3-22 22:01:24

cisco vpn 3000吗？
这个是接口模式的，不错呀。
你可以建立新的Tunnel比如Tunnel1，然后最后一句定义到Tunnel1

你这网啥意思？公网IP是172.18.2.68?

清风居士 · 发表于 2009-3-22 22:03:49

acl number 3000
rule 0 permit ip source 10.18.29.125 0 destination 172.18.2.68 0
定义了分支的接口地址和老中心的接口地址。
ike peer shiju
remote-address 172.18.2.68
指定了远端老中心接口地址
然后
interface Ethernet0/0
port link-mode route
nat outbound 3500
ip address 10.18.29.125 255.255.255.128
ipsec policy shiju
在互联接口下挂了ipsec policky shiju
这样中心telnet到互联接口地址，修改acl 3000 和 ike peer shiju的时候
telnet是不断的么？

		自动登录	找回密码
密码			立即注册

ipsec vpn网络要割接问下思路和步骤

本帖子中包含更多资源

浏览过的版块