• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

msr50/60 如何配置IP SEC VPN ?? 有手册或案例吗?

2021-08-12提问
  • 0关注
  • 1收藏,920浏览
粉丝:0人 关注:3人

问题描述:

msr50/60 如何配置IP SEC VPN  ?? 有手册或案例吗?

组网及组网描述:


最佳答案

粉丝:40人 关注:7人

以下是IPSEC VPN的配置举例,请参考:

3  配置举例

3.1  组网需求

图1所示,Router A为某机构总部网关,Router D和Router E是两个分支网关,Router B和

Router C为分支提供NAT转换。要求:为了接受协商发起端的访问控制列表设置,Router A采用安全模板方式分别与Router D和Router E建立IPsec VPN,为总部和分支流量进行加密传输。

图1 IPSec VPN多分支安全模板NAT穿越功能的配置举例组网图

设备

接口

IP地址

设备

接口

IP地址

Router A

Eth0/0

1.0.0.60/24

Router D

Eth0/0

10.0.1.2/24

 

Eth0/1

172.0.0.1/24

 

Eth0/1

192.168.1.1/24

Router B

Eth0/0

1.0.0.1/24

Router E

Eth0/0

10.0.2.2/24

 

Eth0/1

10.0.1.1/24

 

Eth0/1

192.168.2.1/24

Router C

Eth0/0

1.0.0.2/24

 

 

 

 

Eth0/1

10.0.2.1/24

 

 

 

 

3.2  配置思路

·     为了穿越NAT,总部与分支之间需要配置成野蛮模式。

·     Router A采用安全模板方式时不需要配置ACL,接受协商发起端的ACL。但Router D和Router E需要配置ACL,使特定流量匹配安全策略;

·     为了访问总部外网接口,Router D和Router E必须配置静态路由。

3.3  使用版本

本举例是在Release 2317版本上进行配置和验证的。

3.4  配置注意事项

·     在配置IPsec之前,需要保证总部与分支间路由可达。

·     ACL一定不要最后添加一条deny ip的规则,该配置会导致不需要加密的流量被丢弃。

3.5  配置步骤

3.5.1  Router A的配置

# 配置接口Ethernet0/1的IP地址。

<RouterA> system-view

[RouterA] interface ethernet 0/1

[RouterA-Ethernet0/1] ip address 172.0.0.1 255.255.255.0

[RouterA-Ethernet0/1] quit

# 配置接口Ethernet0/0的IP地址。

[RouterA] interface ethernet 0/0

[RouterA-Ethernet0/0] ip address 1.0.0.60 255.255.255.0

[RouterA-Ethernet0/0] quit

# 配置到NAT设备的静态路由,目的地址为NAT转换后的地址。

[RouterA] ip route-static 11.0.0.0 255.0.0.0 1.0.0.1

[RouterA] ip route-static 12.0.0.0 255.0.0.0 1.0.0.2

# 配置到分支内网的静态路由。

[RouterA] ip route-static 192.168.1.0 255.255.255.0 1.0.0.1

[RouterA] ip route-static 192.168.2.0 255.255.255.0 1.0.0.2

# 配置本端安全网关的名字为center。

[RouterA] ike local-name center

# 创建一个IKE对等体branch1,并进入IKE-Peer视图。

[RouterA] ike peer branch1

# 配置IKE第一阶段的协商模式为野蛮模式。

[RouterA-ike-peer-branch1] exchange-mode aggressive

# 选择IKE第一阶段的协商过程中使用ID的类型为name。

[RouterA-ike-peer-branch1] id-type name

# 配置对端安全网关的名字。

[RouterA-ike-peer-branch1] remote-name branch1

# 配置预共享密钥。

[RouterA-ike-peer-branch1] pre-shared-key 123

# 启用NAT穿越功能。

[RouterA-ike-peer-branch1] nat traversal

[RouterA-ike-peer-branch1] quit

# 配置IKE对等体branch2。

[RouterA] ike peer branch2

[RouterA-ike-peer-branch2] pre-shared-key 123

[RouterA-ike-peer-branch2] exchange-mode aggressive

[RouterA-ike-peer-branch2] id-type name

[RouterA-ike-peer-branch2] remote-name branch2

[RouterA-ike-peer-branch2] nat traversal

[RouterA-ike-peer-branch2] quit

# 采用安全提议的缺省配置。

[RouterA] ipsec proposal def

# 配置ESP协议采用md5认证算法。

[RouterA-ipsec-transform-set-def] esp authentication-algorithm md5

[RouterA-ipsec-transform-set-def] quit

# 创建IPsec安全策略模板branch1

[RouterA] ipsec policy-template branch1 1

[RouterA-ipsec-policy-template-branch1-1] ike-peer branch1

[RouterA-ipsec-policy-template-branch1-1] proposal def

[RouterA-ipsec-policy-template-branch1-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略。

[RouterA] ipsec policy branch 1 isakmp template branch1

# 创建IPsec安全策略模板branch2

[RouterA] ipsec policy-template branch2 1

[RouterA-ipsec-policy-template-branch2-1] ike-peer branch2

[RouterA-ipsec-policy-template-branch2-1] proposal def

[RouterA-ipsec-policy-template-branch2-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略。

[RouterA] ipsec policy branch 2 isakmp template branch2

# 在接口Ethernet0/0上应用安全策略。

[RouterA] interface ethernet 0/0

[RouterA-Ethernet0/0] ipsec policy branch

[RouterA-Ethernet0/0] quit

3.5.2  Rouer B的配置

# 配置接口Ethernet0/1的IP地址。

<RouterB> system-view

[RouterB] interface ethernet 0/1

[RouterB-Ethernet0/1] ip address 10.0.1.1 255.255.255.0

[RouterB-Ethernet0/1] quit

# 配置接口Ethernet0/0的IP地址。

[RouterB] interface ethernet 0/0

[RouterB-Ethernet0/0] ip address 1.0.0.1 255.255.255.0

[RouterB-Ethernet0/0] quit

# 创建NAT转换地址池。

[RouterB] nat address-group 0 11.0.0.1 11.0.0.10

# 创建ACL2000,定义需要NAT转换的数据流。

[RouterB] acl number 2000

[RouterB-acl-basic-2000] rule 0 permit source 10.0.1.0 0.0.0.255

[RouterB-acl-basic-2000] quit

# 在接口下配置访问控制列表和地址池关联。

[RouterB] interface ethernet 0/0

[RouterB-Ethernet0/0] nat outbound 2000 address-group 0

[RouterB-Ethernet0/0] quit

3.5.3  Rouer C的配置

# 配置接口Ethernet0/0的IP地址。

<RouterC> system-view

[RouterC] interface ethernet 0/0

[RouterC-Ethernet0/0] ip address 1.0.0.2 255.255.255.0

[RouterC-Ethernet0/0] quit

# 配置接口Ethernet0/1的IP地址。

[RouterC] interface ethernet 0/1

[RouterC-Ethernet0/1] ip address 10.0.2.1 255.255.255.0

[RouterC-Ethernet0/1] quit

# 创建NAT转换地址池。

[RouterC] nat address-group 0 12.0.0.1 12.0.0.10

# 创建ACL2000,定义需要NAT转换的数据流。

 [RouterC] acl number 2000

[RouterC-acl-basic-2000] rule 0 permit source 10.0.2.0 0.0.0.255

[RouterC-acl-basic-2000] quit

# 在接口下配置访问控制列表和地址池关联。

[RouterC] interface ethernet 0/0

[RouterC-Ethernet0/0] nat outbound 2000 address-group 0

[RouterC-Ethernet0/0] quit

3.5.4  Rouer D的配置

# 配置接口Ethernet0/0的IP地址。

<RouterD> system-view

[RouterD] interface ethernet 0/0

[RouterD-Ethernet0/0] ip address 10.0.1.2 255.255.255.0

[RouterD-Ethernet0/0] quit

# 配置接口Ethernet0/1的IP地址。

[RouterD] interface ethernet 0/1

[RouterD-Ethernet0/1] ip address 192.168.1.1 255.255.255.0

[RouterD-Ethernet0/1] quit

# 配置访问外网的默认路由。

[RouterD] ip route-static 0.0.0.0 0.0.0.0 10.0.1.1

# 创建ACL3000,定义需要IPsec保护的数据流。

 [RouterD] acl number 3000

[RouterD-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination

 172.0.0.0 0.0.0.255

[RouterD-acl-adv-3000] quit

# 配置本端安全网关的名字为branch1。

[RouterD] ike local-name branch1

# 创建一个IKE对等体,并进入IKE-Peer视图。

[RouterD] ike peer center

# 配置IKE第一阶段的协商模式为野蛮模式。

[RouterD-ike-peer-center] exchange-mode aggressive

# 配置预共享密钥。

[RouterD-ike-peer-center] pre-shared-key 123

# 选择IKE第一阶段的协商过程中使用ID的类型为name。

[RouterD-ike-peer-center] id-type name

# 配置对端安全网关的名字。

[RouterD-ike-peer-center] remote-name center

# 配置远端地址为总部网关的出接口地址。

[RouterD-ike-peer-center] remote-address 1.0.0.60

# 启用NAT穿越功能。

[RouterD-ike-peer-center] nat traversal

[RouterD-ike-peer-center] quit

# 采用安全提议的缺省配置。

[RouterD] ipsec proposal def

# 配置ESP协议采用md5认证算法。

[RouterD-ipsec-transform-set-def] esp authentication-algorithm md5

[RouterD-ipsec-transform-set-def] quit

# 创建IPsec安全策略center,其协商方式为isakmp

[RouterD] ipsec policy center 1 isakmp

[RouterD-ipsec-policy-isakmp-center-1] security acl 3000

[RouterD-ipsec-policy-isakmp-center-1] ike-peer center

[RouterD-ipsec-policy-isakmp-center-1] proposal def

[RouterD-ipsec-policy-isakmp-center-1] quit

# 在接口Ethernet0/0上应用安全策略。

[RouterD] interface ethernet 0/0

[RouterD-Ethernet0/0] ipsec policy center

[RouterD-Ethernet0/0] quit

3.5.5  Rouer E的配置

# 配置接口Ethernet0/0的IP地址。

<RouterE> system-view

[RouterE] interface ethernet 0/0

[RouterE-Ethernet0/0] ip address 10.0.2.2 255.255.255.0

[RouterE-Ethernet0/0] quit

# 配置接口Ethernet0/1的IP地址。

[RouterE] interface ethernet 0/1

[RouterE-Ethernet0/1] ip address 192.168.2.1 255.255.255.0

[RouterE-Ethernet0/1] quit

# 配置访问外网的默认路由。

[RouterE] ip route-static 0.0.0.0 0.0.0.0 10.0.2.1

# 创建ACL3000,定义需要IPsec保护的数据流。

[RouterE] acl number 3000

[RouterE-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination

 172.0.0.0 0.0.0.255

[RouterE-acl-adv-3000] quit

# 配置本端安全网关的名字为branch2。

[RouterE] ike local-name branch2

# 创建一个IKE对等体,并进入IKE-Peer视图。

[RouterE] ike peer center

# 配置IKE第一阶段的协商模式为野蛮模式。

[RouterE-ike-peer-center] exchange-mode aggressive

# 配置预共享密钥。

[RouterE-ike-peer-center] pre-shared-key 123

# 选择IKE第一阶段的协商过程中使用ID的类型为name。

[RouterE-ike-peer-center] id-type name

# 配置对端安全网关的名字。

[RouterE-ike-peer-center] remote-name center

# 配置远端地址为总部网关的出接口地址。

[RouterE-ike-peer-center] remote-address 1.0.0.60

# 启用NAT穿越功能。

[RouterE-ike-peer-center] nat traversal

[RouterE-ike-peer-center] quit

# 采用安全提议的缺省配置。

[RouterE] ipsec proposal def

# 配置ESP协议采用md5认证算法。

[RouterE-ipsec-transform-set-def] esp authentication-algorithm md5

[RouterE-ipsec-transform-set-def] quit

# 创建IPsec安全策略center,其协商方式为isakmp

[RouterE] ipsec policy center 1 isakmp

[RouterE-ipsec-policy-isakmp-center-1] security acl 3000

[RouterE-ipsec-policy-isakmp-center-1] ike-peer center

[RouterE-ipsec-policy-isakmp-center-1] proposal def

[RouterE-ipsec-policy-isakmp-center-1] quit

# 在接口Ethernet0/0上应用安全策略。

[RouterE] interface ethernet 0/0

[RouterE-Ethernet0/0] ipsec policy center

[RouterE-Ethernet0/0] quit

暂无评论

1 个回答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明