一、概述
教育網分支【RoutOS2】要訪問處在其他運營商的公司總部【ASA】的內部資源,速度太慢,無法正常應用。通過在教育網中託管的一個多線路服務器來變相進行加速.
拓撲結構如下:
ip地址規劃:
ASA【公司總部防火牆】: outside : 182.48.112.130
內網 : 172.16.1.124
routeOS1【託管服務器】 : e1: 1.1.1.2 【BGP線路】
e2: 2.2.100.3【教育網線路】
routeOS2 【教育網路由器】: e1: 2.2.2.2 【outside】
e2:3.3.3.1 【inside】
目的:
3.3.3.x的用戶能夠通過ipsec ***隧道直接訪問到 172.16.1.124服務器
二、系統配置
1.ASA配置
【 假設默認ASA的內部用戶已經可以正常上網,這裏不做相關配置,只配置用於用於建立***隧道的部分】
配置nonat
access-list nonat extended permit ip 172.16.1.0 255.255.255.0 3.3.3.0 255.255.255.0 access-list outside1_cryptomap_11 extended permit ip 172.16.1.0 255.255.255.0 3.3.3.0 255.255.255.0配置策略
crypto ipsec transform-set ts esp-3des esp-md5-hmacnat (inside) 0 access-list nonat crypto map outside1_map 11 match address outside1_cryptomap_11 crypto map outside1_map 11 set peer 1.1.1.2 crypto map outside1_map 11 set transform-set ts crypto map outside1_map interface outside1 crypto isakmp enable outside1 crypto isakmp policy 11 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 tunnel-group 1.1.1.2 type ipsec-l2l tunnel-group 1.1.1.2 ipsec-attributes pre-shared-key *****2.RouteOS1配置
配置地址:IP>Address
配置路由:IP>route
配置ipsec: IP>IPsec
配置172.16.1.0>3.3.3.0的策略:IP>IPsec>Policies
配置3.3.3.0>172.16.1.0的策略:
與上面相同,之不過Action中的源和目的地址分別是:1.1.1.2和182.48.112.130,而Genernal中的Src和Dst分別是:172.16.1.0/24和3.3.3.0/24
配置Proposals: IP>IPsec>Proposals
配置對等體Peer:IP>IPsec>Peers
3.RoutOS2配置
配置地址:IP>Address
ether1:2.2.2.2
ether2:3.3.3.1
配置路由:IP>route
配置ipsec策略,IP>IPsec>Policies: 從3.3.3.0>172.16.1.0
配置對等體peer: IP>IPsec>Peers
配置propsals:IP>IPsec>Proposals
與RouteOS1配置相同
配置NAT過濾:IP>Firewall>NAT
【列表裏面accept的條目都不進行NAT轉換,直接路由出去】
三、總結:
以上就完成了基本的ipsec L2L ***的配置,根據這個配置可以完成兩段***隧道的路由直通,當然不能走動態路由信息,動態路由需要gre的封裝才行,有機會再寫關於gre通道的配置。