第 4 章 : 站台對站台的虛擬私人網路
設定具有 FQDN 的自動金鑰 IKE 對等方 在本範例中,「自動金鑰 IKE VPN」通道使用預先共享機密或一對認證 ( 通道兩端 各一個 ),提供東京和巴黎兩個分公司之間的安全連接。巴黎分公司擁有動態指派 的 IP 位址,因此東京分公司將遠端對等方的 FQDN (www.nspar.com) 用作其 VPN 通道組態中遠端閘道的位址。 如圖 40 所示的組態針對以路由為基礎的 VPN 通道。對於「階段 1」和「階段 2」 安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證 為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。所有 區域都在 trust-vr 中。 圖 40: 具有 FQDN 的自動金鑰 IKE 對等方 在東京的安全性裝置 上組態的區域拓樸
在巴黎的安全性裝置 上組態的區域拓樸
東京 Trust 區域
Untrust 區域
Untrust 區域
東京 Trust 區域 ethernet1,10.1.1.1/24
巴黎
東京
巴黎
向外介面 Untrust 區域 ethernet3,1.1.1.1/24 閘道 1.1.1.250
向外介面 Untrust 區域 ethernet3,透過 DHCP 的 IP 和閘道 www.nspar.com
Trust 區域
巴黎 Trust 區域 ethernet1,10.2.2.1/24
網際網路 VPN 通道 通道介面 : tunnel.1 遠端閘道 : www.nspar.com
通道介面 : tunnel.1 遠端閘道 : 1.1.1.1
使用預先共享的秘密或認證設定以路由為基礎的「自動金鑰 IKE」通道時,包括下 列步驟 : 1. 為連結到安全區和通道介面的實體介面指派 IP 位址。 2. 定義遠端閘道和金鑰交換模式,並指定預先共享金鑰或認證 3. 組態 VPN 通道、在 Untrust 區域內指定其向外介面、將其連結到通道介面,並 組態其 Proxy-ID。 4. 在 Trust 和 Untrust 位址通訊錄中輸入本機及遠端端點的 IP 位址。 5. 在 trust-vr 中輸入到外部路由器的預設路由,並輸入透過通道介面到目的地的 路由以及到目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路 由,使它變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變 成「中斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路 由基本上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密 的通訊流量轉寄。 6. 設定通訊流量在每個站點間通行的政策。
使用 FQDN 的動態 IKE 閘道
121