华三M60路由器配置ipsec vpn野蛮模式不通是怎么回事?
- 0关注
- 0收藏,394浏览
问题描述:
组网及组网描述:
有一端是固定地址,有一端是pppoe拨号自动获取的,自动获取的这个IP地址怎么写?
- 2025-07-25提问
- 举报
-
(0)
最佳答案
使用模板方式
MSR系列路由器
一端固定IP,另一端拨号动态获取地址的IPsec通信
关键字:MSR,固定IP,IPsec,PPPOE,总部,分支,VPN,拨号
一、组网:
二、客户需求
总部和分支之间建立IPsec VPN已实现内部资源的互访,总部网关出口固定IP,分支网关出口动态获取IP地址。
三、设计方案
1. RTA作为分支,RTB作为总部。
2. RTA端采用拨号接入公网,RTB端公网口固定IP地址。
3. RTA作为IPsec发起端,RTB作为IPsec响应端。
四、配置
RTA配置 |
# //作为NAT转换的匹配条件 acl number 2000 rule 0 permit # //配置Ipsec兴趣流,源地址为本端(分支)内网,目的地址为对端(总部)内网 acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # //IKE对等体 ike peer peer //配置IKE第一阶段交换模式为野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key 123 //指定对端对等体地址(总部网关WAN口的公网地址) remote-address 1.1.1.2 //启用NAT穿越功能 nat traversal # //采用安全提议的缺省配置 ipsec proposal def # //安全策略 ipsec policy policy 1 isakmp //指定兴趣流为acl 3000 security acl 3000 //调用IKE来建立Ipsec SA ike-peer peer //调用默认的安全提议 proposal def # //拨号口(分支WAN口) interface Dialer0 //对从内网出来的所有报文做NAT转换 nat outbound 2000 link-protocol ppp //配置ppp验证的用户名 ppp chap user pc@h3c //配置ppp验证的密码 ppp chap password simple pc //本端口IP地址由ppp协商获得(由pppoe server动态分配) ip address ppp-negotiate //拨号用户为pppoe dialer user pppoe //配置拨号捆绑,用于绑定物理接口 dialer bundle 1 //配置不对Ipsec数据流进行NAT转换 ipsec no-nat-process enable //应用安全策略 ipsec policy policy # interface Ethernet0/0 port link-mode route //使能pppoe-client,并绑定拨号捆绑1,即Dialer 0 pppoe-client dial-bundle-number 1 # //内网接口 interface Ethernet0/1 port link-mode route ip address 192.168.1.1 255.255.255.0 # //配置一条默认路由从网关的WAN口(Dialer 0口)出去 ip route-static 0.0.0.0 0.0.0.0 Dialer0 # |
RTB配置 |
# //作为NAT转换的匹配条件 acl number 2000 rule 0 permit # //IKE对等体 ike peer peer //配置IKE第一阶段交换模式为野蛮模式 exchange-mode aggressive //配置预共享密钥 pre-shared-key 123 //启用NAT穿越功能 nat traversal # //采用安全提议的缺省配置 ipsec proposal def # //采用策略模板的方式(只能用于响应端,不用配置兴趣流) ipsec policy-template test 1 //调用IKE来建立Ipsec SA ike-peer peer //调用默认的安全提议 proposal def # //通过模板test来生产安全策略policy ipsec policy policy 1 isakmp template test # //内网接口 interface Ethernet0/0 port link-mode route ip address 172.16.1.1 255.255.255.0 # //总部WAN口,固定IP interface Ethernet0/1 port link-mode route //对从内网出来的报文做NAT转换 nat outbound 2000 ip address 1.1.1.2 255.255.255.0 //不对Ipsec流量进行NAT转换 ipsec no-nat-process enable //应用安全策略 ipsec policy policy # //配置一条默认路由,下一条指向上行网关 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 # |
四、配置关键点
1. 总部和分支的网关都要配置一条默认路由。
2. 在总部和分支的WAN口上都要配置ipsec no-pat-process命令,目的是不让网关对ipsec流量进行NAT转换,负责该流量会匹配不上兴趣流而无法触发安全策略。
3. 总部采用策略模板的方式,只能做响应方。
- 2025-07-25回答
- 评论(1)
- 举报
-
(0)
这个路由没有命令行啊,也没有acl
- 2025-07-25回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个路由没有命令行啊,也没有acl