内网IDC机房 MSR3640配置ipsec vpn 打通阿里云VPC。
内网IDC 公网 101.X.X.X 内网地址 192.168.0.0/16。
阿里云公网118.X.X.X 内网地址 10.0.0.0/8,阿里云上已经配置好了。
请问在MSR3640上要如何配置,貌似通过UI界面配置不能配置路由和内网信息。
本地IDC内网地址 192.168.0.0/16。和阿里VPC下的 内网地址 10.0.0.0/8,在MSR3640上要怎么配置?
麻烦给下具体配置命令参考,谢谢。
(0)
最佳答案
参考这个连接:
https://www.h3c.com/cn/d_201910/1240704_30005_0.htm
本文档介绍路由器IPsec VPN功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec VPN特性。
本举例是在路由器Version 7.1.064,Release 0605P01版本上进行配置和验证的。
出于安全因素,需要对Host A所在的子网(10.1.1.0/24)与Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护,因此需要在Device A和Device B之间建立一条IPsec隧道,如图1所示。具体要求如下:
· 组网方式为点到点。
· IKE协商方式建立IPsec SA。
图1 IPsec VPN典型配置组网图
· 模块化设备和非模块化设备配置LAN口和WAN口的方式有差别,请以具体设备为准。
· 本举例是在实验室环境中完成的,实际组网中非模块化设备一般使用GE0/0(WAN0,默认WAN口)作为外网接口。
(1) 配置LAN口的IP地址:
· 模块化设备
# 选择“网络设置 > LAN配置”,单击<添加>按钮,进入新建LAN配置页面。配置如下参数:
¡ 名称:GigabitEthernet0/1;
¡ IP地址:10.1.1.1;
¡ 子网掩码:255.255.255.0。
· 非模块化设备
修改Vlan-interface1接口IP地址会导致web登录异常,需要用新的Vlan-interface1 IP地址登录web。
# 选择“网络设置 > LAN配置”,进入LAN配置页面。选中默认的Vlan-interface1接口,单击<修改>按钮,进入修改LAN配置页面,配置如下参数:
¡ IP地址:10.1.1.1;
¡ 子网掩码:255.255.255.0。
¡ IP地址范围:10.1.1.2~10.1.1.254
¡ 网关地址:10.1.1.1
¡ DNS1:10.1.1.1
(2) 配置WAN口的IP地址:
· 模块化设备
# 选择“网络设置 > 外网配置”,单击<添加>按钮,进入添加WAN配置页面。配置如下参数
¡ 名称:GigabitEthernet0/2;
¡ 连接模式:固定地址;
¡ IP地址:2.2.2.1;
¡ 子网掩码:255.255.255.0。
· 非模块化设备
# 选择“网络设置 > 端口管理”,进入端口管理页面,将GigabitEthernet0/2的端口类型切换为WAN2。
# 选择“网络设置 > 外网配置”,进入外网配置页面。根据实际应用场景,在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例,线路1选择WAN2(GE0/2),单击应用按钮确定。在WAN配置页面中,单击修改WAN1配置按钮,配置如下参数并单击保存配置按钮确定:
¡ 连接模式:固定地址;
¡ IP地址:2.2.2.1;
¡ 子网掩码:255.255.255.0。
(3) 配置到达Host B所在子网的静态路由。
选择“高级选项 > 静态路由”,进入静态路由配置页面。配置步骤为:
· 单击<添加>按钮,进入添加IPv4静态路由页面。
· 在添加IPv4静态路由页面中配置如下,其中2.2.2.3为本例中直连下一跳地址:
¡ 目的IP地址:10.1.2.0;
¡ 掩码长度:24;
¡ 出接口:GE0/2;
¡ 下一跳IP地址:2.2.2.3;
¡ 其他配置项均保持默认情况即可。
(4) 配置IPsec策略。
选择“虚拟专网 > IPsec VPN”,进入IPsec策略配置页面。配置步骤为:
· 在IPsec策略页签下单击<添加>按钮,进入添加IPsec策略页面。
· 在添加IPsec策略页面的基本配置中配置内容如图2所示:
¡ 名称:map1;
¡ 接口:GigabitEthernet0/2;
¡ 组网方式:点到点;
¡ 对端网关地址:2.2.3.1;
¡ 预共享密钥:123456TESTplat&!;
¡ ACL:3101,单击右侧<+>按钮定义保护由子网10.1.1.0/24去往子网10.1.2.0/24的数据流,并单击<添加>按钮确定添加,如图3所示。
图3 定义ACL规则保护数据流
· 单击<返回>按钮,在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下:
¡ 协商模式:主模式;
¡ 对端身份类型:选择IP地址,且IP地址为2.2.3.1;
¡ 对等体存活检测(DPD):选择关闭;
¡ 其他配置项均保持默认情况即可。
· 先单击“返回基本配置”,再单击“确定”,完成IPsec策略的创建。
(1) 配置LAN口的IP地址:
· 模块化设备
# 选择“网络设置 > LAN配置”,单击<添加>按钮,进入新建LAN配置页面。配置如下参数:
¡ 名称:GigabitEthernet0/1;
¡ IP地址:10.1.2.1;
¡ 子网掩码:255.255.255.0。
· 非模块化设备
修改Vlan-interface1接口IP地址会导致web登录异常,需要用新的Vlan-interface1 IP地址登录web。
# 选择“网络设置 > LAN配置”,进入LAN配置页面。选中默认的Vlan-interface1接口,单击<修改>按钮,进入修改LAN配置页面,配置如下参数:
¡ IP地址:10.1.2.1;
¡ 子网掩码:255.255.255.0。
¡ IP地址范围:10.1.2.2~10.1.2.254
¡ 网关地址:10.1.2.1
¡ DNS1:10.1.2.1
(2) 配置WAN口的IP地址:
· 模块化设备
# 选择“网络设置 > 外网配置”,单击<添加>按钮,进入添加WAN配置页面。配置如下参数
¡ 名称:GigabitEthernet0/2;
¡ 连接模式:固定地址;
¡ IP地址:2.2.3.1;
¡ 子网掩码:255.255.255.0。
· 非模块化设备
# 选择“网络设置 > 端口管理”,进入端口管理页面,将GigabitEthernet0/2的端口类型切换为WAN2。
# 选择“网络设置 > 外网配置”,进入外网配置页面。根据实际应用场景,在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例,线路1选择WAN2(GE0/2),单击应用按钮确定。在WAN配置页面中,单击修改WAN1配置按钮,配置如下参数并单击保存配置按钮确定:
¡ 连接模式:固定地址;
¡ IP地址:2.2.3.1;
¡ 子网掩码:255.255.255.0。
(3) 配置到达Host A所在子网的静态路由。
# 选择“高级选项 > 静态路由”,进入静态路由配置页面。配置步骤为:
· 单击<添加>按钮,进入添加IPv4静态路由页面。
· 在添加IPv4静态路由页面中配置如下,其中2.2.3.3为本例中直连下一跳地址:
¡ 目的IP地址:10.1.1.0;
¡ 掩码长度:24;
¡ 出接口:GE0/2;
¡ 下一跳IP地址:2.2.3.3;
¡ 其他配置项均保持默认情况即可。
(4) 配置IPsec策略。
# 选择“虚拟专网 > IPsec VPN”,进入IPsec策略配置页面。配置步骤为:
· 在IPsec策略页签下单击<添加>按钮,进入添加IPsec策略页面。
· 在添加IPsec策略页面的基本配置中配置内容如图4下:
¡ 名称:map1;
¡ 接口:GigabitEthernet0/2;
¡ 组网方式:点到点;
¡ 对端网关地址:2.2.2.1;
¡ 预共享密钥:123456TESTplat&!;
¡ ACL:3101,单击右侧<+>按钮定义保护由子网10.1.2.0/24去往子网10.1.1.0/24的数据流,并单击<添加>按钮确定添加,如图5所示。
图5 定义ACL规则保护数据流
· 单击<返回>按钮,在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下:
¡ 协商模式:主模式;
¡ 对端身份类型:选择IP地址,且IP地址为2.2.2.1;
¡ 对等体存活检测(DPD):选择关闭;
¡ 其他配置项均保持默认情况即可。
· 先单击“返回基本配置”,再单击“确定”,完成IPsec策略的创建。
(1) Host A可以Ping通Host B。
C:\Users\abc>ping 10.1.2.2
Ping 10.1.2.2 (10.1.2.2): 56 data bytes, press CTRL_C to break
56 bytes from 10.1.2.2: icmp_seq=0 ttl=254 time=2.137 ms
56 bytes from 10.1.2.2: icmp_seq=1 ttl=254 time=2.051 ms
56 bytes from 10.1.2.2: icmp_seq=2 ttl=254 time=1.996 ms
56 bytes from 10.1.2.2: icmp_seq=3 ttl=254 time=1.963 ms
56 bytes from 10.1.2.2: icmp_seq=4 ttl=254 time=1.991 ms
--- Ping statistics for 10.1.2.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms
C:\Users\abc>
(2) 完成上述配置后,在“虚拟专网 > IPsec VPN >”的监控信息页签上可以看到添加成功的IPsec策略,以Device A为例,状态列显示为Active。
图6 IPsec VPN监控信息
#
interface GigabitEthernet0/2
port link-mode route
ip address 2.2.2.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 10.1.2.0 24 GigabitEthernet0/2 2.2.2.3
#
acl advanced 3101
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set map1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
#
ipsec policy map1 65535 isakmp
transform-set map1
security acl 3101
remote-address 2.2.3.1
ike-profile map1
sa duration time-based 3600
sa duration traffic-based 1843200
#
ike profile map1
keychain map1
match remote identity address 2.2.3.1 255.255.255.255
proposal 65535
#
ike proposal 65535
#
ike keychain map1
pre-shared-key address 2.2.3.1 255.255.255.255 key cipher $c$3$JMfOzUZHJJez+qj8
51bANVI7Ajc0SN93cz1IisFGva7jYJ0=
#
#
interface GigabitEthernet0/2
port link-mode route
ip address 2.2.3.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 10.1.1.0 24 GigabitEthernet0/2 2.2.3.3
#
acl advanced 3101
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set map1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
#
ipsec policy map1 65535 isakmp
transform-set map1
security acl 3101
remote-address 2.2.2.1
ike-profile map1
sa duration time-based 3600
sa duration traffic-based 1843200
#
ike profile map1
keychain map1
match remote identity address 2.2.2.1 255.255.255.255
proposal 65535
#
ike proposal 65535
#
ike keychain map1
pre-shared-key address 2.2.2.1 255.255.255.255 key cipher $c$3$8SrxW140hr0wTl+Z
DoCkdyvdG61R8+9OCWKkkZ9EW5oPmsc=
#
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
不客气