一般l2tp over ipsec会用到 参考下面:
#配置多个 ipsec 安全提议,采用不同的验证算法和加密算法
[H3C]ipsec transform-set 1 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-1]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-1]esp encryption-algorithm aes-cbc-128 //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm sha1 // 指定ESP协议采用MD5认证算法
[H3C]ipsec transform-set 2 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-2]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-2]esp encryption-algorithm aes-cbc-256 //指定加密算法为aes-cbc-256
[H3C-ipsec-transform-set-2]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算
[H3C]ipsec transform-set 3 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-3]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-3]esp encryption-algorithm 3des-cbc //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-3]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 4 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-4]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-4]esp encryption-algorithm des-cbc //指定加密算法为des-cbc
[H3C-ipsec-transform-set-4]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 5 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-5]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-5]esp encryption-algorithm aes-cbc-192 //指定加密算法为aes-cbc-192
[H3C-ipsec-transform-set-5]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 6 //创建IPsec安全提议6,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-6]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-6]esp encryption-algorithm aes-cbc-256 //指定加密算法为aes-cbc-256
[H3C-ipsec-transform-set-6]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
#配置一个名字为 1,序号为 1 的安全策略模板,引用 ike profile 和 ipsec 安全提议
[H3C]ipsec policy-template 1 1 //配置一个名字为 1,序号为 1 的安全策略模板
[H3C-ipsec-policy-template-1-1]transform-set 1 2 3 4 5 6 //调用IPSEC安全提议
[H3C-ipsec-policy-template-1-1]ike-profile 1 //指定IPsec安全策略policy 1中引用的IKE profile
#引用 ipsec 安全策略模板,创建 ipsec 安全策略
[H3C]ipsec policy 1 1 isakmp template 1 //引用 ipsec 安全策略模板,创建 ipsec 安全策略
#在公网口调用 ipsec 安全策略
[H3C]interface GigabitEthernet 0/0 //进入接口g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1 //在0/0口下应用指定的IPsec安全策略组1
(0)
原来在公网接口调用呀 厉害厉害 大佬
参考http://www.h3c.com/cn/d_202202/1552974_30005_0.htm#_Toc534803219
# 创建IKE profile,名称为profile1。
[DeviceA] ike profile profile1
# 指定引用的IKE keychain为keychain1。
[DeviceA-ike-profile-profile1] keychain keychain1
# 配置本端的身份信息为IP地址1.1.1.1。
[DeviceA-ike-profile-profile1] local-identity address 1.1.1.1
# 配置匹配对端身份的规则为IP地址2.2.2.2/16。
[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.0.0
[DeviceA-ike-profile-profile1] quit
# 创建一条IKE协商方式的IPsec安全策略,名称为map1,顺序号为10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置IPsec隧道的对端IP地址为2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用ACL 3101。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
# 指定引用的安全提议为tran1。
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用的IKE profile为profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map1。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
原来在公网接口调用呀 厉害厉害 大佬