配置ipsec vpn,为何要给私网指定静态路由？

小贝壳冬冬

R1------R3------R2
R1环回接口192.168.1.1
R2环回接口192.168.2.1

问题：
1. 在R1和R2上配置IPSecVPN的时候，为什么要给私网环回接口配置静态路由呢？
2. 是不是只有通过配置VPN才能让两个内部私有网络互相访问呢，通过其他的方法比如 路由+NAT的方式能实现同样的效果吗？

R1: ip route 192.168.2.0 255.255.255.0 Serial0/0
R2: ip route 192.168.1.0 255.255.255.0 Serial0/0


以下是IPSec的详细配置:
R1上：
RouterVPNA#sh run | sec crypto
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
lifetime 40000
crypto isakmp key ccna address 32.1.1.2
crypto ipsec transform-set vpnlab ah-sha-hmac esp-aes
crypto map ccna_vpn 1 ipsec-isakmp
set peer 32.1.1.2
set transform-set vpnlab
match address 101
crypto map ccna_vpn



R2上：
RouterVPNB#sh run | sec crypto
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
lifetime 40000
crypto isakmp key ccna address 13.1.1.1
crypto ipsec transform-set vpnlab ah-sha-hmac esp-aes
crypto map ccna_vpn 1 ipsec-isakmp
set peer 13.1.1.1
set transform-set vpnlab
match address 101
crypto map ccna_vpn

wangyesheng

内网路由得指，不然学习不到你loopback，要不就做dynamic的，跑个路由协议。ip nhrp

小贝壳冬冬

我在R1,R2,R3之间做了RIP协议，只是R1和R2的loopback接口没有被宣告进RIP进程。
我是不是把loopback也宣告进去就不用在写这条静态路由了？
可是这样的话，是不是全网就通了，不需要VPN，两个私网就能正常访问？

王赜

IPSec VPN主要用于是传递数据的时候进行加密，身份认证等功能，而不是作用于路由，你全网通也好，你单指路由也好，主要功能就是将两端感兴趣流可达就行了，如果两端的地址无法互通则建立不了IKE SA就不谈后面的IPSec SA了。

IPsec特性:

1.访问控制，通过身份认证技术实现

2.无连接的完整性、数据来源验证，通过HASH技术实现

3.防重放攻击，比如IC卡里面有500块，先将整张卡的信息复制出来，然后将卡里的余额用完以后在将复制出来的信息拷贝回去，这就是重放攻击，在IPsec中，比如有人截取了发送方的协商报文，然后将此报文复制一份以后发给接收方建立连接，这就是重放攻击，IPsec中通过AH或ESP中携带的序列号来防止重放攻击

4.机密性(加密)，加解密技术实现，有对称和非对称，通过加解密技术实现

王赜

IPSec数据包在穿越NAT时会遇到一个很严重的问题，因为NAT机制会修改数据包的IP及TCP或UDP包头内容，而IPSec为了确保数据包的安全性，也会逐一检查每个IPSec的数据包，一旦数据包内容(包含包头)有任何变动，这些数据包就会被IPSec机制丢弃，所以IPSec数据包是无法穿越NAT的。




可以使用NAT-T技术使IPSec VPN报文可以穿越NAT。

NSprobie

直接把loopback宣告到RIP之后，并不能保证IPsec的各种特性吧。

xxfxxutong

又學習到新東西