H3C 3108G 路由器 两台,准备在公网搭建一段VPN
- 1关注
- 1收藏,1513浏览
问题描述:
购买两台路由器,准备在公网上 ,在公司总部和分布搭建一段VPN,请问用IPSEC VPN 的方式搭建是否可行?如果可以,那IKE对等体中的IP怎么配置,是配置运营商NAT后的LAN 口局域网IP ,还是配置公网IP,以及是否需要NAT穿越,这么多NAT 能穿吗,要怎么配?求助
组网及组网描述:
购买两台路由器,准备在公网上 ,在公司总部和分布搭建一段VPN,请问用IPSEC VPN 的方式搭建是否可行?如果可以,那IKE对等体中的IP怎么配置,是配置运营商NAT后的LAN 口局域网IP ,还是配置公网IP,以及是否需要NAT穿越,这么多NAT 能穿吗,要怎么配?求助
- 2020-10-12提问
- 举报
-
(0)
最佳答案
ERG2系列路由器 IPSEC VPN配置
目录
1 配置需求或说明
1.1 适用产品系列
本案例适用于ERG2 产品系列路由器:ER8300G2-X、ER6300G2、ER3260G2、ER3200G2等。
1.2 配置需求及实现的效果
Router A和Router B均使用ERG2 路由器,在两者之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护,实现2端子网终端通过IPsec VPN 隧道进行互访。
2 组网图
3 配置步骤
3.1 基本连接
在路由器接口面板找到LAN接口,用网线将电脑和设备的任意一个LAN接口连在一起,电脑可以自动获取192.168.1.X/24网段的地址。电脑连接好路由器之后完成后打开浏览器,在浏览器地址栏中输入http://192.168.1.1登录设备管理界面。
3.2 登陆设备WEB界面
运行Web浏览器,在地址栏中输入http://192.168.1.1,如下图所示。
回车后跳转到Web登录页面,输入用户名、密码(缺省均为admin,区分大小写)如下图所示。
单击【登录】按钮或直接回车后,您即可登录到路由器的Web设置页面,如下图所示。
注意: 同一时间,路由器最多允许五个用户通过Web设置页面进行管理。
3.3 配置IPSEC VPN
3.3.1 配置IPSEC 虚接口
单击【VPN】--【VPN设置】--【虚接口】, 点击【新增】,绑定对应的WAN口,比如WAN1:
3.3.2 配置IKE安全提议
单击【VPN】--【VPN设置】--【IKE安全提议】,点击【新增】,配置IKE安全提议的各个参数:安全提议名称、IKE验证算法、IKE加密算法、IKE DH组,如下图配置。
3.2.3配置IKE对等体
单击【VPN】--【VPN设置】--【IKE对等体】,点击【新增】,配置IKE对等体:
对等体名称为ike、绑定虚接口为ipsec0(前面已经创建)、对端地址为Router B的公网ip,即192.100.100.19、协商模式选择主模式、安全提议选择ike(前面已经创建)、配置预共享秘钥,此处配置为123456(可根据自己需求自行设置)、其余选择默认即可。
3.2.4配置IPSEC安全提议
单击【VPN】--【VPN设置】--【IPSec安全提议】,点击【新增】,配置IPSEC安全提议:安全提议名称、安全协议类型、ESP验证算法、ESP加密算法配置如下图:
3.2.5配置IPSEC安全策略
单击【VPN】--【VPN设置】--【IPSEC安全策略】,勾选启【用IPSEC功能】,点击【新增】,配置IPSEC安全策略:本地子网IP即为Router A内网网段,此处配置为192.168.1.0/24,对端子网IP即为Router B内网网段,此处配置为172.16.1.0/24,其余参数按照下图所示配置:
3.2.6配置去往对端子网的静态路由
单击【高级设置】--【路由设置】--【静态路由】,目的地址配置成对端子网,即172.16.1.0,子网掩码为255.255.255.0,出接口为ipsec0虚接口。
在Router B上,IPSec VPN的相关配置与Router A是相互对应的,Router B上除了IKE对等体的对端地址以及IPSEC安全策略中的本地子网、对端子网需要做相应修改外,其他的设置均一致,Router B的具体配置参见Router A配置,此处不再赘述。
注意:修改了IPSEC相关参数,需要将启用IPsec功能勾去掉应用再重新勾上应用使能,否则IPsec VPN无法起来。
3.4 保存配置
设备默认会保存配置。
- 2020-10-12回答
- 评论(0)
- 举报
-
(0)
广州和上海,只需要一端有固定IP即可使用ipsec来搭建VPN,不需要NAT穿越。
ike对等体,广州写上海的公网地址,上海写广州的公网地址,只要密钥一致,算法一致即可搭建成功。
可以参考这个案例来做做看
1 配置需求及说明
1.1 适用的产品系列
本案例适用于如F1000-AK180、F1000-AK170等F1000-AK系列的防火墙。
1.2 配置需求及实现的效果
总部和分部各有一台防火墙部署在互联网出口,因业务需要两端内网需要通过VPN相互访问。IP地址及接口规划如下表所示:
公司名称 | 外网接口 | 公网地址/掩码 | 公网网关 | 内网接口 | 内网地址/掩码 |
总部 | 1/0/3 | 101.88.26.34/30 | 101.88.26.33 | 1/0/4 | 192.168.10.0/24 |
分部 | 1/0/3 | PPPOE拨号 | 自动获取网关 | 1/0/4 | 192.168.20.0/24 |
2 组网图
配置步骤
3 两端防火墙上网配置
防火墙上网配置略,本文只针对IPSEC VPN配置进行介绍。
3.1 总部侧排除IPSEC兴趣流不做NAT
#创建acl 3888调用在外网接口用于排除IPSEC兴趣流不做NAT。
[H3C]acl advanced 3888
[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[H3C-acl-ipv4-adv-3888]rule permit ip source any
[H3C-acl-ipv4-adv-3888]quit
3.2 总部侧创建IPSEC安全提议
#加密类型设置为aes-cbc-128,认证类型设置为sha1。
[H3C]ipsec transform-set GE1/0/3_IPv4_1
[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1
[H3C-ipsec-transform-set-1]quit
3.3 总部侧创建IKE安全提议
#IKE安全提议默认的认证类型为sha1,加密类型为DES-CBC,DH组为DH1,所以不需要配置也存在这些参数。
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
3.4 总部侧创建IKE安全密钥
#创建IKE密钥,地址填写0.0.0.0/0,密码设置为123456。
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[H3C-ike-keychain-1]quit
3.5 总部侧创建IKE安全框架
#创建IKE安全框架,协商模式调整为野蛮模式。本端身份识别为center,分部身份识别为branch。
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1] exchange-mode aggressive
[H3C-ike-profile-1] local-identity fqdn center
[H3C-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0
[H3C-ike-profile-1]match remote identity fqdn branch
[H3C-ike-profile-1]proposal 1
[H3C-ike-profile-1]quit
3.6 总部侧创建IPSEC安全策略模板
[H3C]ipsec policy-template GE1/0/3 1
[H3C-ipsec-policy- template-GE1/0/3-1]transform-set GE1/0/3_IPv4_1
[H3C-ipsec-policy- template-GE1/0/3-1]local-address 101.88.26.34
[H3C-ipsec-policy- template-GE1/0/3-1]ike-profile 1
[H3C-ipsec-policy- template-GE1/0/3-1]quit
3.7 总部侧创建IPSEC安全策略
#创建IKE安全策略GE1/0/3将安全策略模板和安全策略绑定。
[H3C]ipsec policy GE1/0/3 1 isakmp template GE1/0/3
3.8 总部侧外网接口调用IPSEC策略和NAT动态转换策略
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound 3888
[H3C-GigabitEthernet1/0/3]quit
3.9 分部侧创建IPSEC兴趣流匹配到总部的数据
#创建IPSEC的感兴趣流,用于匹配IPSEC数据。
[H3C]acl advanced 3999
[H3C-acl-ipv4-adv-3999]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3999]quit
#创建acl 3888调用在外网接口用于排除IPSEC兴趣流不做NAT。
[H3C]acl advanced 3888
[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3888]rule permit ip source any
[H3C-acl-ipv4-adv-3888]quit
3.10 分部侧创建IPSEC安全提议
#加密类型设置为aes-cbc-128,认证类型设置为sha1。
[H3C]ipsec transform-set GE1/0/3_IPv4_1
[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1
[H3C-ipsec-transform-set-1]quit
3.11 分部侧创建IKE安全提议
#IKE安全提议默认的认证类型为sha1,加密类型为DES-CBC,DH组为DH1,所以不需要配置也存在这些参数。
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
3.12 分部侧创建IKE安全密钥
#创建IKE密钥,地址填写总部侧设备的公网IP,密码设置为123456。
[H3C]ike keychain 1
[H3C-ike-keychain-1] pre-shared-key address 101.88.26.34 255.255.255.255 key simple 123456
[H3C-ike-keychain-1]quit
3.13 分部侧创建IKE安全框架
#创建IKE安全框架,匹配keychain 1安全密匙,协商模式调整为野蛮模式。本端身份识别为branch,分部身份识别为center,并制定对端地址为总部侧公网地址。
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]exchange-mode aggressive
[H3C-ike-profile-1] local-identity fqdn branch
[H3C-ike-profile-1] match remote identity fqdn center
[H3C-ike-profile-1] match remote identity address 101.88.26.34 255.255.255.255
[H3C-ike-profile-1]proposal 1
[H3C-ike-profile-1]quit
3.14 分部侧创建IPSEC安全策略
#创建IKE安全策略GE1/0/3将transform-set、acl、ike-profile、本端地址、对端地址关联起来。
[H3C]ipsec policy GE1/0/3 1 isakmp
[H3C-ipsec-policy-isakmp-GE1/0/3-1] transform-set GE1/0/3_IPv4_1
[H3C-ipsec-policy-isakmp-GE1/0/3-1]security acl 3999
[H3C-ipsec-policy-isakmp-GE1/0/3-1] remote-address 101.88.26.34
[H3C-ipsec-policy-isakmp-GE1/0/3-1]ike-profile 1
[H3C-ipsec-policy-isakmp-GE1/0/3-1]quit
3.15 分部侧外网接口调用IPSEC策略和NAT动态转换策略
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound 3888
[H3C-GigabitEthernet1/0/3]quit
4 保存配置
[H3C]save force
5 隧道验证
#分部通过命令行查看display ike sa可以看到隧道状态为RD状态表示ike建立完成。
分支通过display ipsec sa可以看到IPSEC SA基本状态。
#总部通过命令行查看display ike sa可以看到隧道状态为RD状态表示ike建立完成。
#分支通过display ipsec sa可以看到IPSEC SA基本状态。
- 2020-10-12回答
- 评论(2)
- 举报
-
(0)
直接在WEB界面配公网IP,WEB上 VPN没建起来
我是在北京和天津局域网下面分别加的路由器,请问IKE对等体的IP还是写公网IP吗
直接在WEB界面配公网IP,WEB上 VPN没建起来
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明