随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
某企业为了改变以往的管理机构分散,人员资源利用率低、管理效能不高或不到位的现象,采用中国电信的IPSec VPN移动办公新业务组建了办公网络,将分散的若干个机构安全互联起来,通过建立的网络运行其管理系统,加强了企业分支机构与总部之间的交流,增强的企业资源的利用率,提高了各工作人员的工作效率。
采用IPSec VPN移动办公互联各节点,企业不再需要担心硬件等前期大量的硬件投入,也不再需要因网络瓶颈而担心有重复或者浪费的二期投入;IPSec VPN的高安全性及端到端的加密特性保证了政委信息网络的安全性;还有非常重要的一点就是,各分支机构的工作人员也不必去考虑复杂的应用,网管人员在企业总部中心就可以通过IPSec VPN对每个客户端进行端到端的管理与访问,并且使用移动办公客户端就可以远程维护解决各远端电脑故障。其中一分支机构与企业总部通过IPSec VPN互联的具体配置如下:
RouterA#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key 12345 address 10.1.2.1
!
!
!
crypto ipsec transform-set 12345 esp-des
!
crypto map 12345 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set 12345
match address 101
!
interface ethernet 0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
crypto map 12345
no shutdown
!
interface ethernet 0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.2.1 host 10.1.1.1
access-list 100 permit esp host 10.1.2.1 host 10.1.1.1
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip any any
!
Return
RouterB#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key 12345 address 10.1.1.1
!
!
!
crypto ipsec transform-set 12345 esp-des
!
crypto map 12345 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set 12345
match address 101
!
interface ethernet 0/0
ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
crypto map 12345
no shutdown
!
interface ethernet 0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.1.1 host 10.1.2.1
access-list 100 permit esp host 10.1.1.1 host 10.1.2.1
access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
return
