• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3640

2020-12-16提问
  • 0关注
  • 1收藏,1197浏览
大宽 零段
粉丝:0人 关注:0人

问题描述:

内网IDC机房 MSR3640配置ipsec vpn 打通阿里云VPC。

内网IDC 公网 101.X.X.X 内网地址 192.168.0.0/16。

阿里云公网118.X.X.X 内网地址 10.0.0.0/8,阿里云上已经配置好了。

请问在MSR3640上要如何配置,貌似通过UI界面配置不能配置路由和内网信息。

本地IDC内网地址 192.168.0.0/16。和阿里VPC下的 内网地址 10.0.0.0/8,在MSR3640上要怎么配置?

麻烦给下具体配置命令参考,谢谢。

组网及组网描述:


最佳答案

已采纳
粉丝:167人 关注:1人

参考这个连接:

https://www.h3c.com/cn/d_201910/1240704_30005_0.htm

1  简介

本文档介绍路由器IPsec VPN功能的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec VPN特性。

3  使用版本

本举例是在路由器Version 7.1.064,Release 0605P01版本上进行配置和验证的。

4  配置举例

4.1  组网需求

出于安全因素,需要对Host A所在的子网(10.1.1.0/24)与Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护,因此需要在Device A和Device B之间建立一条IPsec隧道,如图1所示。具体要求如下:

·            组网方式为点到点。

·            IKE协商方式建立IPsec SA。

图1 IPsec VPN典型配置组网图

 

 

4.2  配置步骤

说明

·         模块化设备和非模块化设备配置LAN口和WAN口的方式有差别,请以具体设备为准。

·         本举例是在实验室环境中完成的,实际组网中非模块化设备一般使用GE0/0(WAN0,默认WAN口)作为外网接口。

 

1. 配置Device A

(1)       配置LAN口的IP地址:

·            模块化设备

# 选择“网络设置 > LAN配置”,单击<添加>按钮,进入新建LAN配置页面。配置如下参数:

¡  名称:GigabitEthernet0/1;

¡  IP地址:10.1.1.1;

¡  子网掩码:255.255.255.0。

·            非模块化设备

说明

修改Vlan-interface1接口IP地址会导致web登录异常,需要用新的Vlan-interface1 IP地址登录web。

 

# 选择“网络设置 > LAN配置”,进入LAN配置页面。选中默认的Vlan-interface1接口,单击<修改>按钮,进入修改LAN配置页面,配置如下参数:

¡  IP地址:10.1.1.1;

¡  子网掩码:255.255.255.0。

¡  IP地址范围:10.1.1.2~10.1.1.254

¡  网关地址:10.1.1.1

¡  DNS1:10.1.1.1

(2)       配置WAN口的IP地址:

·            模块化设备

# 选择“网络设置 > 外网配置”,单击<添加>按钮,进入添加WAN配置页面。配置如下参数

¡  名称:GigabitEthernet0/2;

¡  连接模式:固定地址;

¡  IP地址:2.2.2.1;

¡  子网掩码:255.255.255.0。

·            非模块化设备

# 选择“网络设置 > 端口管理”,进入端口管理页面,将GigabitEthernet0/2的端口类型切换为WAN2。

# 选择“网络设置 > 外网配置”,进入外网配置页面。根据实际应用场景,在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例,线路1选择WAN2(GE0/2),单击应用按钮确定。在WAN配置页面中,单击修改WAN1配置按钮,配置如下参数并单击保存配置按钮确定:

¡  连接模式:固定地址;

¡  IP地址:2.2.2.1;

¡  子网掩码:255.255.255.0。

(3)       配置到达Host B所在子网的静态路由。

选择“高级选项 > 静态路由”,进入静态路由配置页面。配置步骤为:

·            单击<添加>按钮,进入添加IPv4静态路由页面。

·            在添加IPv4静态路由页面中配置如下,其中2.2.2.3为本例中直连下一跳地址:

¡  目的IP地址:10.1.2.0;

¡  掩码长度:24;

¡  出接口:GE0/2;

¡  下一跳IP地址:2.2.2.3;

¡  其他配置项均保持默认情况即可。

(4)       配置IPsec策略。

选择“虚拟专网 > IPsec VPN”,进入IPsec策略配置页面。配置步骤为:

·            在IPsec策略页签下单击<添加>按钮,进入添加IPsec策略页面。

·            在添加IPsec策略页面的基本配置中配置内容如图2所示:

¡  名称:map1;

¡  接口:GigabitEthernet0/2;

¡  组网方式:点到点;

¡  对端网关地址:2.2.3.1;

¡  预共享密钥:123456TESTplat&!;

¡  ACL:3101,单击右侧<+>按钮定义保护由子网10.1.1.0/24去往子网10.1.2.0/24的数据流,并单击<添加>按钮确定添加,如图3所示。

图2 配置IPsec策略

 

图3 定义ACL规则保护数据流

 

·            单击<返回>按钮,在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下:

¡  协商模式:主模式;

¡  对端身份类型:选择IP地址,且IP地址为2.2.3.1;

¡  对等体存活检测(DPD):选择关闭;

¡  其他配置项均保持默认情况即可。

·            先单击“返回基本配置”,再单击“确定”,完成IPsec策略的创建。

2. 配置Device B

(1)       配置LAN口的IP地址:

·            模块化设备

# 选择“网络设置 > LAN配置”,单击<添加>按钮,进入新建LAN配置页面。配置如下参数:

¡  名称:GigabitEthernet0/1;

¡  IP地址:10.1.2.1;

¡  子网掩码:255.255.255.0。

·            非模块化设备

说明

修改Vlan-interface1接口IP地址会导致web登录异常,需要用新的Vlan-interface1 IP地址登录web。

 

# 选择“网络设置 > LAN配置”,进入LAN配置页面。选中默认的Vlan-interface1接口,单击<修改>按钮,进入修改LAN配置页面,配置如下参数:

¡  IP地址:10.1.2.1;

¡  子网掩码:255.255.255.0。

¡  IP地址范围:10.1.2.2~10.1.2.254

¡  网关地址:10.1.2.1

¡  DNS1:10.1.2.1

(2)       配置WAN口的IP地址:

·            模块化设备

# 选择“网络设置 > 外网配置”,单击<添加>按钮,进入添加WAN配置页面。配置如下参数

¡  名称:GigabitEthernet0/2;

¡  连接模式:固定地址;

¡  IP地址:2.2.3.1;

¡  子网掩码:255.255.255.0。

·            非模块化设备

# 选择“网络设置 > 端口管理”,进入端口管理页面,将GigabitEthernet0/2的端口类型切换为WAN2。

# 选择“网络设置 > 外网配置”,进入外网配置页面。根据实际应用场景,在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例,线路1选择WAN2(GE0/2),单击应用按钮确定。在WAN配置页面中,单击修改WAN1配置按钮,配置如下参数并单击保存配置按钮确定:

¡  连接模式:固定地址;

¡  IP地址:2.2.3.1;

¡  子网掩码:255.255.255.0。

(3)       配置到达Host A所在子网的静态路由。

# 选择“高级选项 > 静态路由”,进入静态路由配置页面。配置步骤为:

·            单击<添加>按钮,进入添加IPv4静态路由页面。

·            在添加IPv4静态路由页面中配置如下,其中2.2.3.3为本例中直连下一跳地址:

¡  目的IP地址:10.1.1.0;

¡  掩码长度:24;

¡  出接口:GE0/2;

¡  下一跳IP地址:2.2.3.3;

¡  其他配置项均保持默认情况即可。

(4)       配置IPsec策略。

# 选择“虚拟专网 > IPsec VPN”,进入IPsec策略配置页面。配置步骤为:

·            在IPsec策略页签下单击<添加>按钮,进入添加IPsec策略页面。

·            在添加IPsec策略页面的基本配置中配置内容如图4下:

¡  名称:map1;

¡  接口:GigabitEthernet0/2;

¡  组网方式:点到点;

¡  对端网关地址:2.2.2.1;

¡  预共享密钥:123456TESTplat&!;

¡  ACL:3101,单击右侧<+>按钮定义保护由子网10.1.2.0/24去往子网10.1.1.0/24的数据流,并单击<添加>按钮确定添加,如图5所示。

图4 配置IPsec策略

 

图5 定义ACL规则保护数据流

 

·            单击<返回>按钮,在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下:

¡  协商模式:主模式;

¡  对端身份类型:选择IP地址,且IP地址为2.2.2.1;

¡  对等体存活检测(DPD):选择关闭;

¡  其他配置项均保持默认情况即可。

·            先单击“返回基本配置”,再单击“确定”,完成IPsec策略的创建。

4.3  验证配置

(1)       Host A可以Ping通Host B。

C:\Users\abc>ping 10.1.2.2

Ping 10.1.2.2 (10.1.2.2): 56 data bytes, press CTRL_C to break

56 bytes from 10.1.2.2: icmp_seq=0 ttl=254 time=2.137 ms

56 bytes from 10.1.2.2: icmp_seq=1 ttl=254 time=2.051 ms

56 bytes from 10.1.2.2: icmp_seq=2 ttl=254 time=1.996 ms

56 bytes from 10.1.2.2: icmp_seq=3 ttl=254 time=1.963 ms

56 bytes from 10.1.2.2: icmp_seq=4 ttl=254 time=1.991 ms

 

--- Ping statistics for 10.1.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms

C:\Users\abc>

(2)       完成上述配置后,在“虚拟专网 > IPsec VPN >”的监控信息页签上可以看到添加成功的IPsec策略,以Device A为例,状态列显示为Active。

图6 IPsec VPN监控信息

 

4.4  配置文件

1. Device A的配置文件

#

interface GigabitEthernet0/2                                                   

 port link-mode route                                                          

 ip address 2.2.2.1 255.255.255.0                                                

 ipsec apply policy map1                                                     

#                                                                              

 ip route-static 10.1.2.0 24 GigabitEthernet0/2 2.2.2.3                       

#                                                                              

acl advanced 3101                                                              

 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255    

#                                                                              

ipsec transform-set map1                                                       

 esp encryption-algorithm 3des-cbc                                              

 esp authentication-algorithm sha1                                             

#                                                                              

ipsec policy map1 65535 isakmp                                                  

 transform-set map1                                                            

 security acl 3101                                                             

 remote-address 2.2.3.1                                                         

 ike-profile map1                                                              

 sa duration time-based 3600                                                   

 sa duration traffic-based 1843200                                             

#                                                                              

ike profile map1                                                               

 keychain map1                                                                 

 match remote identity address 2.2.3.1 255.255.255.255                         

 proposal 65535                                                                

#                                                                              

ike proposal 65535                                                             

#                                                                              

ike keychain map1                                                              

 pre-shared-key address 2.2.3.1 255.255.255.255 key cipher $c$3$JMfOzUZHJJez+qj8

51bANVI7Ajc0SN93cz1IisFGva7jYJ0=                                               

#

2. Device B的配置文件

#                                                                              

interface GigabitEthernet0/2                                                 

 port link-mode route 

 ip address 2.2.3.1 255.255.255.0                                                

 ipsec apply policy map1                                                        

#                                                                              

 ip route-static 10.1.1.0 24 GigabitEthernet0/2 2.2.3.3                      

#                                                                              

acl advanced 3101                                                              

 rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255     

#                                                                              

ipsec transform-set map1                                                       

 esp encryption-algorithm 3des-cbc                                             

 esp authentication-algorithm sha1                                             

#                                                                               

ipsec policy map1 65535 isakmp                                                 

 transform-set map1                                                            

 security acl 3101                                                              

 remote-address 2.2.2.1                                                        

 ike-profile map1                                                              

 sa duration time-based 3600                                                   

 sa duration traffic-based 1843200                                             

#                                                                              

ike profile map1                                                               

 keychain map1                                                                 

 match remote identity address 2.2.2.1 255.255.255.255                         

 proposal 65535                                                                 

#                                                                              

ike proposal 65535                                                             

#                                                                               

ike keychain map1                                                              

 pre-shared-key address 2.2.2.1 255.255.255.255 key cipher $c$3$8SrxW140hr0wTl+Z

DoCkdyvdG61R8+9OCWKkkZ9EW5oPmsc=                                                

#                                                                              

回复大宽:

不客气

叫我靓仔 发表时间:2020-12-16 更多>>

ACL规则保护数据流 这个地方就是定义内网地址的地方

叫我靓仔 发表时间:2020-12-16

下班后尝试下,谢谢

大宽 发表时间:2020-12-16
回复大宽:

不客气

叫我靓仔 发表时间:2020-12-16
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明