如何在ipsec中使用地址组
收藏
总部的网段由两个网段组成,172.16.1.0和192.168.1.0,分支机构网段为172.16.2.0/24。因为分支机构没有固定IP,所以只能采用拨号模式。在拨号模式下必须设置快速模式匹配器。以分支机构为例,它快速模式匹配器设置为
源地址 172.16.2.0
目标地址 192.168.1.0和172.16.1.0
在这种情况下,我们需要在快速模式匹配器上使用地址和地址组。
首先建立地址对象 src-net 172.16.2.0 和目标对象地址组 dst-net1 192.168.1.0和dst-net2 172.16.2.0
然后建立地址组对象 dst-net
然后在vpn的阶段2中调用。但是web界面中不支持,如下图。
我们可以在命令行下配置
define vpn ipsec phase2
edit "ee"
set dst-addr-type name
set src-addr-type name
set dst-name "dst-net"
set src-name "src-net"
next
end
配置完毕,效果如下。值得注意的是,快速模式匹配器的源地址和目标地址必须同时采用地址对象模式,不能只一个采用,另外一个还是手工输入地址。
