最佳答案
v5需要单独配置,v7自适应
(0)
如何分辨 v5 v7
dis version 看下版本就
V7设备默认开启NAT穿越
V5配置如下
MSR830[930][2600]系列路由器IPSec VPN穿越NAT典型配置(V5)
目录
总部路由器外网口为地址 1.1.1.1(模拟运营商公网固定地址环境),分支路由器前面有 NAT 设备,分支路由器作为二级路由外网口地址为私网地址 10.0.0.2(模拟运营商非公网地址环境),要实现总部路由器的局域网网段(192.168.1.0/24)和分支路由器的局域网网段(172.16.1.0/24)互访。
#路由器基本上网配置省略,具体设置步骤请参考“2.1.2 路由器外网使用固定IP地址上网配置方法”章节中“MSR830[930][2600]系列路由器基本上网(静态IP)WEB配置(V5)”案例
<H3C>system-view //进入系统视图
#配置公网口NAT要关联的ACl 3000,作用是把IPSec感兴趣流从NAT转换的数据流deny掉
[H3C]acl number 3000 //创建ACL 3000
[H3C-acl-adv-3000]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 //创建规则拒绝源地址为192.168.1.0/24,目的地址为172.16.1.0/24
[H3C-acl-adv-3000]rule 5 permit ip //创建规则允许所有
#配置IPSec感兴趣流ACL 3333,匹配源地址为总部内网网段目的地址为分支内网网段的数据流
[H3C-acl-adv-3000]acl number 3333 //创建ACL 3333
[H3C-acl-adv-3333]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0
0.0.0.255 //创建规则允许源地址为192.168.1.0/24,目的地址为172.16.1.0/24
[H3C-acl-adv-3333]quit //退出当前视图
#配置本端安全网关的名字为zongbu
[H3C]ike local-name zongbu //配置本端安全网关的名字为zongbu
#创建IKE对等体123,IKE阶段的协商模式为野蛮模式,IKE预共享密钥为123456,配置名字作为 IKE协商过程中使用的ID(缺省情况下,使用IP地址作为IKE协商过程中使用的ID),配置对端网关的名字为fenzhi(要与对端的ike local-name配置对应),并开启NAT穿越功能
[H3C]ike peer 123 //用来创建一个IKE对等体123,并进入IKE-Peer视图
[H3C-ike-peer-123]exchange-mode aggressive //配置IKE第一阶段协商使用野蛮模式
[H3C-ike-peer-123]pre-shared-key simple 123456 //配置IKE协商采用预共享密钥认证时,所使用的预共享密钥为123456
[H3C-ike-peer-123]id-type name //配置使用名字作为IKE协商过程中使用的ID
[H3C-ike-peer-123]remote-name fenzhi //配置对端安全网关的名字为fenzhi
[H3C-ike-peer-123]nat traversal //配置IKE的NAT穿越功能
[H3C-ike-peer-123]quit //退出当前视图
#创建IPSec安全提议123,配置ESP协议采用的认证算法为sha1,加密算法为3des
[H3C]ipsec transform-set 123 //创建IPsec安全提议123,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-123]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C-ipsec-transform-set-123]esp encryption-algorithm 3des //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-123]quit //退出当前视图
#创建IPSec安全策略123,引用之前创建的ACL3333,引用之前创建的对等体123,引用之前创建的IPSec安全提议123
[H3C]ipsec policy 123 1 isakmp //创建IPSec安全策略123
[H3C-ipsec-policy-isakmp-123-1]security acl 3333 //配置IPsec安全策略引用的访问控制列表为acl 3000
[H3C-ipsec-policy-isakmp-123-1]ike-peer 123 //调用对等体123
[H3C-ipsec-policy-isakmp-123-1]transform-set 123 //调用IPSEC安全提议123
[H3C-ipsec-policy-isakmp-123-1]quit //退出当前视图
#设置外网口做NAT转换的时候关联ACL 3000 (如果之前已经在外网口配置了 nat outbound,需要先undo掉),并将IPSec安全策略123应用在外网接口
[H3C]interface GigabitEthernet0/0 //进入以太网接口GigabitEthernet 0/0视图
[H3C-GigabitEthernet0/0]undo nat outbound //接口下取消源地址转化
[H3C-GigabitEthernet0/0]nat outbound 3000 //配置出方向动态地址转换,针对acl 3000不做地址转换
[H3C-GigabitEthernet0/0]ip address 1.1.1.1 255.255.255.0 //指定接口地址为1.1.1.1/24
[H3C-GigabitEthernet0/0]ipsec policy 123 //在dia 10 口下应用指定的IPsec安全策略组v5
[H3C-GigabitEthernet0/0]quit //退出当前视图
<H3C>system-view //进入系统视图
#配置公网口NAT要关联的ACl 3000,作用是把IPSec感兴趣流从NAT转换的数据流deny掉
[H3C]acl number 3000 //创建ACL 3000
[H3C-acl-adv-3000]rule 0 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //创建规则拒绝源地址为172.16.1.0/24,目的地址为192.168.1.0/24的数据
[H3C-acl-adv-3000]rule 5 permit ip //创建允许所有
#配置IPSec感兴趣流ACL 3333,匹配源地址为分支内网网段,目的地址为总部内网网段的数据流
[H3C]acl number 3333 //创建ACL 3333
[H3C-acl-adv-3333]rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0
0.0.0.255 //创建规则允许源地址为172.16.1.0/24,目的地址为192.168.1.0/24的数据
[H3C-acl-adv-3333]quit //退出当前视图
#配置本端安全网关的名字为fenzhi
[H3C]ike local-name fenzhi //配置本端安全网关的名字为fenzhi
#创建IKE对等体123,IKE阶段的协商模式为野蛮模式,IKE预共享密钥为123456,配置名字作为 IKE协商过程中使用的ID(缺省情况下,使用IP地址作为IKE协商过程中使用的ID),配置对端网关的名字为zongbu(要与对端的ike local-name配置对应),配置对端网关的地址为1.1.1.1,并开启NAT穿越功能
[H3C]ike peer 123 ////用来创建一个IKE对等体123,并进入IKE-Peer视图
[H3C-ike-peer-123]exchange-mode aggressive //配置IKE第一阶段协商使用野蛮模式
[H3C-ike-peer-123]pre-shared-key simple 123456 //配置IKE协商采用预共享密钥认证时,所使用的预共享密钥为123456
[H3C-ike-peer-123]id-type name //配置使用名字作为IKE协商过程中使用的ID
[H3C-ike-peer-123]remote-name zongbu //配置对端安全网关的名字为zongbu
[H3C-ike-peer-123]remote-address 1.1.1.1 //配置IPsec对端安全网关的IP地址为1.1.1.1
[H3C-ike-peer-123]nat traversal //配置IKE的NAT穿越功能
[H3C-ike-peer-123]quit //退出当前视图
创建IPSec安全提议123,配置ESP协议采用的认证算法为sha1,加密算法为3des
[H3C]ipsec transform-set 123 //创建IPsec安全提议123,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-123]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C-ipsec-transform-set-123]esp encryption-algorithm 3des //指定加密算法为3des
[H3C-ipsec-transform-set-123]quit //退出当前视图
#创建IPSec安全策略123,引用之前创建的ACL 3333,引用之前创建的对等体123,引用创建的
IPSec安全提议123
[H3C]ipsec policy 123 1 isakmp //创建IPSec安全策略123
[H3C-ipsec-policy-isakmp-123-1]security acl 3333 //配置IPsec安全策略引用的访问控制列表为acl 333
[H3C-ipsec-policy-isakmp-123-1]ike-peer 123 //调用对等体123
[H3C-ipsec-policy-isakmp-123-1]transform-set 123 //调用IPSEC安全提议123
[H3C-ipsec-policy-isakmp-123-1]quit //退出当前视图
#设置外网口做NAT转换的时候关联ACL 3000 (如果之前已经在外网口配置了 nat outbound,需要先undo掉),并将IPSec安全策略123应用在外网接口
[H3C]interface GigabitEthernet0/0 //进入以太网接口GigabitEthernet 0/0视图
[H3C-GigabitEthernet0/0]undo nat outbound //接口下取消源地址转化
[H3C-GigabitEthernet0/0]nat outbound 3000 //配置出方向动态地址转换,针对acl 3000不做地址转换
[H3C-GigabitEthernet0/0] ip address 10.0.0.2 255.255.255.0 //指定接口IP地址为10.0.0.2/24
[H3C-GigabitEthernet0/0] ipsec policy 123 //在接口下应用指定的IPsec安全策略组123
[H3C-GigabitEthernet0/0]quit //退出当前视图
#在分支MSR路由器上带源ping总部MSR路由器内网网关地址
#在分支MSR路由器上查看IKE SA和IPSec SA的状态,可以看到IKE SA和IPSec SA均已正常建立。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
dis version 看下版本就