ER5200G2和深信服设备做ipsecVPN
- 0关注
- 1收藏,1280浏览
问题描述:
请提供er5200设备和其它厂商设备做VPN的技术说明,谢谢
组网及组网描述:
- 2021-07-01提问
- 举报
-
(0)
最佳答案
您好,请知:
以下是ER5200G2配置IPSEC VPN的配置举例,请参考:
10.6 一对一IPSec VPN配置举例
10.6.1 组网需求
在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
10.6.2 组网图
图10-5 组网示意图
10.6.3 设置步骤
1. 设置Router A
1. 选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作 |
|
2. 选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
3. 选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作 |
|
4. 选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
5. 选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作 |
|
6. 为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作 |
|
2. 设置Router B
在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。
3. 查看VPN状态
两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。
以下是用户手册链接:
- 2021-07-01回答
- 评论(0)
- 举报
-
(0)
一样配置即可,参考配置指导:
http://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Video/Video/H3C_ER_G2_Web_Video-6W101/09/
- 2021-07-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
方案概述:
组网拓扑:服务器-----核心交换机----AF----电信互联网------MSR路由---PC
部署方式:双方采用野蛮模式对接,门店端为拨号网络,是动态IP,总部为固定IP;
IP规划:总部服务器地址段(192.168.0.0/24),门店地址段(192.168.129.0/24)
配置:
H3C MSR路由配置
1、设置流量特征;
acl number 3000
rule 0 permit ip source 192.168.129.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //允许符合如下规则的流量进入隧道
2、第一阶段IKE参数配置
ike proposal 1
encryption-algorithm 3des-cbc
dh group2 //DH群组2
authentication-algorithm md5 //认证算法MD5
sa duration 3600 //第一阶段sa生存时间设置为3600秒
ike peer mendian
exchange-mode aggressive //使用野蛮模式
proposal 1
pre-shared-key cipher $c$3$GjdUGf5/TwRCAlTodACuFzwB/PNnhXjvZA== //设置共享密钥
id-type name //身份类型为FQDN,某公司端要采用域名FQDN
remote-name sangfor //对方身份为sangfor
remote-address 111.75.21.111 //总部IP
local-name h3c //我方身份为h3c
nat traversal //启用NAT穿透,如本端网络为私网必须启用NAT穿透功能,否则会出现隧道建成但无法通信的问题。
dpd mendian //启用DPD探测
3、第二阶段IPsec参数配置
ipsec transform-set mengdian
encapsulation-mode tunnel //使用隧道模式
transform esp
esp authentication-algorithm md5
esp encryption-algorithm 3des
以上参数与某公司设备的安全选项一致
#
ipsec policy 720896 1 isakmp
connection-name mengdian
security acl 3000 //关联ACL3000
ike-peer
transform-set mengdian
sa duration traffic-based 1843200
sa duration time-based 3600 //设置第二阶段sa生存时间3600秒
4、关联出接口
interface Dialer10
nat outbound 2000
link-protocol ppp
ppp chap user 07911111111
ppp chap password cipher $c$3$LCfQDD7ZgBw3FJcEfFOdRASoe5iZ+J7XtQ==
ppp pap local-user 079703124854 password cipher $c$3$Pe+bPhMMGN2bgVeDaj8brE0bSF72XDGELw==
ppp ipcp dns admit-any
ppp ipcp dns request
mtu 1492
ip address ppp-negotiate
tcp mss 1024
dialer user username
dialer-group 10
dialer bundle 10
ipsec no-nat-process enable //避免ipsec流量被nat转换,否则会导致异常现象。h3c的产品有些可能并不支持这个命令,解决办法是在nat规则里面将ipsec流量特征的数据deny掉,因为数据量一般是先执行nat转换后执行路由的。
ipsec policy 720896 //关联IPsec策略
某公司配置:
第一阶段配置:
因门店端为拨号网络,所以我们要选择对方为动态IP,模式选择为野蛮模式。关于身份字符串信息,某公司设备支持域名FQDN和用户FQDN两种,H3C的设备就不一定,这次实施中就是用的域名FQDN的方式成功了。使用用户FQDN未成功。另外需要注意的是存在nat环境必须要开启NAT穿透功能。
第二阶段
主要是设置出入站策略,注意策略命名方式便于我们后期去分别ipsec隧道。
完美密钥向前保密华三的设备也不一定可以支持,这个需要注意。
排错经验分享:
某公司的AF设备系统故障日志可以得到准确的反馈,可以看到DLAN模块的调试信息,ipsec隧道中有什么参数不一致设备都会有提示,比华三的设备的debug日志容易懂许多,华三的debug日志需要对标准的ipsec协议非常了解才有助排除。
实施期间遇到第一阶段始终无法建成,日志显示NAT-T探测就结束,无法确定具体原因。后来让客户与电信方面协调,将目前拨号的获取的私有IP的方式改为公网IP,即PPPOE拨号获取公网IP。改完后发现华三设备本端的ID不支持用户FQDN,对端的ID可以支持设置用户FQDN,随后将华三端设备均改为FQDN方式与某公司端使用域名字符串(FQDN),隧道便建立成功。
吐槽一下:
某公司的DLAN模块信息会显示所有有关ipsec的日志信息,包括sangfor vpn、pdlan和标准ipsec这些信息。客户的设备里面有40-50人的pdlan日志,导致第三方对接的日志信息容易被pdlan的信息给覆盖,给排错功能带来了很大的难度,看不到准确的日志信息,对此也在论坛里面提过建议,但是未得到规划经理的认可。
实施期间ipsec对接第一阶段始终无法建成,日志也只显示nat-t探测就没有具体的结论。寻找400求助,400工程师也就给了一个参数对比的文档,随后就消失匿迹,所幸后来也及时找出了原因。
- 2021-07-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论