配置基于路由的ipsec 隧道
说明: 与基于模板的ipsec vpn不同的是,基于路由的ipsec vpn没有acl 感兴趣流的限制,所以我们可以用于目的地址不明确的场合。 1.1.1.1和2.2.2.2为模拟的公网ip地址。
BJ_AR2240配置: interface Tunnel0/0/1 ip address 169.254.2.1 255.255.255.252 tunnel-protocol ipsec source 1.1.1.1 destination 2.2.2.2 ipsec profile wq_vpn
WQ_AR2240配置: interface Tunnel0/0/1 mtu 1200 description BJ_AR2240 ip address 169.254.2.2 255.255.255.252 tunnel-protocol ipsec source 2.2.2.2 destination 1.1.1.1 ipsec profile wq_vpn 在BJ_AR2240上ping -a 169.254.2.1 169.254.2.2—应该可以通 可以通过 display ike sa v2 查看ipsec vpn建立情况
ipsec vpn建立成功后: 在BJ_AR2240上可以指一条默认路由,下一跳为169.254.2.2 ip route-static 0.0.0.0 0.0.0.0 169.254.2.2 在WQ_AR2240上可以指静态路由,下一跳为169.254.2.1 ip route-static 192.168.0.0 16 169.254.2.1
验证: 在BJ_AR2240上ping -a 169.254.2.1 169.254.2.2—应该可以通 可以通过 display ike sa v2 查看ipsec vpn建立情况 两边的内网应该可以互通
