3.1.3 设置步骤
1. 设置Spoke (1) 设置虚接口 VPN→IKE→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。
图9 配置虚接口
(2) 设置IKE安全提议 VPN→IKE→安全提议
输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。
图10 配置IKE安全提议
(3) 设置IKE对等体
图11 设置IKE对等体
(4) 设置IPSec安全提议 VPN→IPSec→安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。
图12 配置IPSec安全提议
(5) 设置安全策略
Spoke的安全策略配置如下,不同的Spoke只需要修改本地子网地址。
图13 设置安全策略
(6) 设置路由
在Spoke上为VPN对端子网配置指向IPSec虚接口静态路由。
图14 设置路由
2. 设置Hub
在Hub路由器上的配置和在Spoke上的配置基本类似(虚接口、IKE和IPSec安全提议的设置均一样,差别在于对等体和安全策略的配置),设置如下。 (1) 设置对等体
图15 设置对等体
(2) 设置安全策略
在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。本地子网和对端子网都使用宽范围的any地址(0.0.0.0/0),其他的配置与Spoke对应。
Hub上的配置如同一个模板,只用一条安全策略就能够匹配多个Spoke的VPN隧道配置,协商建立针对不同子网的安全联盟SA。
图16 设置安全策略
