一.概述:
IKEV2支持多种认证方式,还支持两边使用不一样的认证方式,本实验两边都是用证书方式进行认证,参考链接:
http://blog.sina.com.cn/s/blog_675bc36a010160s4.html.
二.基本思路:
A.配置证书认证之前,需要配置时钟同步
B.证书认证,identity可以设置为FQDN,但是配置SVTI时需要设置目标地址,因此这种方式不方便一边为动态的地址的配置方式。
C.配置PKI的trustpoint的时候如果 revocation-check none,则认证的时候不会联系CA,检查证书吊销列表
---这种方式在CA服务器统一部署时很有用,一般通过预共享密钥的方式建立vpn,与CA联系获取CA签发的证书,再通过证书认证的方式建立VPN。
三.测试拓扑:
四.基本配置:
A.R1:
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.1.1
B.R2:
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.1.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.1.10
C.CA:
interface FastEthernet0/0
ip address 202.100.1.10 255.255.255.0
no shut
interface FastEthernet1/0
ip address 202.100.2.10 255.255.255.0
no shut
D.R4:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.2.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.2.10
E:R5:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.1.1