一.概述:
思科15.2的IOS支持IKEV2的IPSEC VPN,安全性较IKEV1有所增强,第一阶段认证方式也有多种方式,支持本地与远程采用不同的认证方式,这次测试为两端本地和远程都采用预共享密钥的方式。
二.基本思路:
A.VPN对等体一边采用Static VTI方式配置,一边采用Dynamic VTI方式配置
B.实际测试的时候发现VTI接口不能敲tunnel mode ipsec ipv4,如果敲了之后会导致IKEV2 VPN加密点身后的网络之间无法通讯(数据包无法被加密点加密送出)
C.另外动态路由协议如果采用OSPF,不知是什么缘故,Static VTI一侧不能通过OSPF学习到对方发布的内网路由;如果采用EIGRP则两侧都能学习到对方发布的内网路由。
三.测试拓扑:
四.基本配置:
A.R1:
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.1.1
B.R2:
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
no shut!
interface FastEthernet0/1
ip address 202.100.1.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.1.10
C.R3:
interface FastEthernet0/0
ip address 202.100.1.10 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.2.10 255.255.255.0
no shut
D.R4:
interface Loopback0
ip address 4.4.4.4 255.255.255.240
interface Loopback1
ip address 10.1.1.4 255.255.255.0
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.2.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.2.10
E:R5:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.1.1