FAQ-接口为动态IP,是否可以使用IPSec

发布时间:  2014-09-16 浏览次数:  152 下载次数:  0
问题描述
接口为动态IP,是否可以使用IPSec?
解决方案
可以。
本端接口为动态IP,对端接口为固定IP时,在对端配置IPSec策略模板实现IPSec功能。
以3G接口为例,使用IKE自动协商,关键配置如下:
动态IP端
#                                                                               
ike peer peer_3g_1 v1
pre-shared-key 1234
remote-address 10.5.39.160  //指定对端固定IP地址
#
ipsec proposal ipsec  //使用缺省安全参数
#
ipsec policy ipsec 1 isakmp  //配置IPSec策略,在3G接口引入
security acl 3000
ike-peer peer_3g_1
proposal ipsec
#
interface Cellular0/0/0
ipsec policy ipsec   //IPSEC策略配置在3G接口,3G接口其他配置略
#
acl 3000  //配置报文规则,IPSec对符合规则的报文进行保护
...
#
固定IP端
#
ipsec proposal ipsec
#
ike peer peer_3g_2 v1  //对端为动态IP,不需要指定对端的IP地址
pre-shared-key 1234
#
ipsec policy-template temp 1  //配置IPSec策略模板
ike-peer peer_3g_2
proposal ipsec
#
ipsec policy ipsec 1 isakmp template temp  //配置IPSec策略,绑定策略模板
#
interface GigabitEthernet 1/0/0  //接口为固定IP地址
ipsec policy ipsec
ip address 10.5.39.160 255.255.255.255
#

END