MSR3600 IKEV2
- 1关注
- 0收藏,184浏览
问题描述:
msr3600配置ikev2,如何引用新建的proposal,不使用缺省
- 2026-05-22提问
- 举报
-
(0)
system-view
ikev2 proposal mypro
encryption-algorithm aes-cbc-256
authentication-algorithm sha2-256
dh group14
2. 创建IKEv2 Profile并引用该Proposal(替代默认):
ikev2 profile myprof
proposal mypro // 核心命令,指定自定义Proposal
后续在IPsec策略/VPN对等体中绑定myprof即可,无需使用默认Proposal。
- 2026-05-22回答
- 评论(0)
- 举报
-
(0)
在MSR3600上完全可以通过引用自定义的IKEv2 Proposal,来替代默认设置。这主要是通过 proposal 这条命令来实现的。
具体的配置和引用思路如下:
引用的核心:IKEv2 Profile与Policy
想使用自定义的IKEv2 proposal,需要在两个关键的地方引用它:
IKEv2 Profile (
ikev2 profile):这是最简单、最直接的方法。在Profile视图下,只需一条命令即可指定要使用的Proposal,这是替代默认配置的首选方式。IKEv2 Policy (
ikev2 policy):如果你需要通过多个Policy来匹配不同的分支节点(例如一个对端用RSA认证,另一个用PSK认证),在Policy视图下引用Proposal能提供更高的灵活性。
注意:这两种引用方式是独立的,通常根据你的组网复杂度二选一即可,但两种方式都需要一个PKI域或IKEv2密钥链来配合使用。
配置步骤
以下是两种方案的详细操作步骤,你可以根据自己的组网需求来选择。
方案A:通过IKEv2 Profile引用 (更常用,推荐)
创建IKEv2 Proposal (
ikev2 proposal):
首先,定义你的安全参数。[H3C] ikev2 proposal mypro [H3C-ikev2-proposal-mypro] encryption 3des-cbc [H3C-ikev2-proposal-mypro] integrity sha256 [H3C-ikev2-proposal-mypro] dh group14 [H3C-ikev2-proposal-mypro] quit注意:自定义proposal的优先级高于缺省的<H3C> system-viewdefaultproposal。如果IPsec隧道需要与友商设备对接,务必确保两端proposal中的加密、完整性校验、PRF和DH组算法完全一致。创建IKEv2 Profile并引用Proposal:
[H3C-ikev2-profile-myprof] proposal mypro # 核心命令:在此引用自定义proposal[reference:3] [H3C-ikev2-profile-myprof] keychain mykey # 配置预共享密钥 [H3C-ikev2-profile-myprof] quit这条命令是解决问题的关键。执行后,[H3C] ikev2 profile myprofmyprof将使用你创建的mypro中的算法进行IKEv2协商。在IPsec策略中引用Profile:
最后,在IPsec策略中应用配置好的IKEv2 Profile。[H3C-ipsec-policy-isakmp-myipsec-10] ikev2-profile myprof # 在IPsec策略中绑定profile [H3C-ipsec-policy-isakmp-myipsec-10] quit[H3C] ipsec policy myipsec 10 isakmp
方案B:通过IKEv2 Policy引用 (适合复杂场景)
创建IKEv2 Policy并引用Proposal:
[H3C] ikev2 policy mypolicy [H3C-ikev2-policy-mypolicy] proposal mypro [H3C-ikev2-policy-mypolicy] quit提示:当存在多个Policy时,可以通过设置不同的优先级来精确控制匹配顺。在IKEv2 Profile中引用Policy:
[H3C-ikev2-profile-myprof] policy mypolicy # 在profile中绑定policy [H3C-ikev2-profile-myprof] keychain mykey [H3C-ikev2-profile-myprof] quit[H3C] ikev2 profile myprof在IPsec策略中引用Profile:
此步骤与方案A的第3步完全相同。[H3C-ipsec-policy-isakmp-myipsec-10] ikev2-profile myprof [H3C-ipsec-policy-isakmp-myipsec-10] quit[H3C] ipsec policy myipsec 10 isakmp
验证配置
配置完成后,请使用以下命令检查自定义Proposal是否生效:
display ikev2 proposal:查看所有proposal的详细信息和优先级。display ikev2 profile [name myprof]:确认profile中是否已成功绑定自定义的proposal或policy。display ikev2 policy:查看policy的配置和引用状态。display ikev2 sa:在IPsec隧道建立后,查看协商出的SA信息,确认其使用的算法是否与你的自定义proposal相符。
- 2026-05-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
MSR3600 配置 IKEv2 手动引用自定义 proposal(不使用缺省)完整教程
一、核心原理
- IKEv2 Proposal(阶段 1)
- IPSec Proposal(阶段 2)
二、完整配置(直接复制改参数即可)
1. 新建 IKEv2 提议(Proposal)
ikev2 proposal 10
encryption-algorithm aes-256-cbc # 加密算法
authentication-algorithm sha2-256 # 认证算法
dh group14 # 密钥交换
2. 新建 IKEv2 策略(Policy)→ 引用上面的 proposal
ikev2 policy 10
proposal 10 # 引用你新建的 proposal,不是 default
3. 新建 IKEv2 域(绑定对端)
ikev2 profile 10
match remote ip 114.114.114.114 # 对端公网IP
pre-shared-key simple Huawei@123 # 预共享密钥
4. 新建 IPSec 提议(阶段 2)
ipsec proposal 10
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
5. 新建 IPSec 策略
ipsec policy 10 10 isakmp
security acl 3000
proposal 10
ikev2-profile 10
6. 接口调用 IPSec 策略
interface GigabitEthernet0/0
ipsec policy 10
三、重点回答你的问题:
如何不使用缺省的 IKEv2 Proposal?
ikev2 policy 10
proposal 10 ← 这里写你自己的编号,不要用 default
四、验证命令(检查是否生效)
display ikev2 proposal # 查看你创建的 proposal
display ikev2 policy # 查看是否引用成功
display ikev2 sa # 查看 IKEv2 协商是否成功
IKEv2 policy 10 uses proposal 10✅ 说明成功不使用缺省,完全自定义。五、如果你需要,我可以直接给你
两边都是 MSR3600 的 IKEv2 完整对接配置(一对)
- 本端公网 IP
- 对端公网 IP
- 本端内网网段
- 对端内网网段
- 2026-05-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论