计划与天翼云创建VPN隧道,创建IPsec隧道后,无法建立VPN隧道。公司华为设备可正常使用。
1. IPsec Policy:
[FW-ipsec-policy-isakmp-tyy-1]dis this
#
ipsec policy tyy 1 isakmp
transform-set tyy_IPv4_1
security acl name IPsec_tyy_IPv4_1
local-address 223.76.246.148
remote-address 119.96.240.226
ike-profile tyy_IPv4_1
2. IKE信息
[FW]dis ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
[FW]
3. IPsec信息
FW]display ipsec sa
[FW]
采用IKE的预共享密钥方式建立 |
1、定义ACL acl number 3101 rule permit ip source +IP +反掩码 destination +IP+ 反掩码 2、配置IPSEC安全提议 ipsec transform-set+安全提议名称 encapsulation-mode tunnel ####(默认隧道模式) protocol esp #####(默认采用的安全协议是esp) esp encryption-algorithm +算法 ###加密算法 esp authentication-algorithm +算法 ####认证算法 3、创建并配置IKE keychain (keychain加密规则) ike keychain +名称 pre-shared-key address +隧道对端地址 掩码 key simple +密码 4、配置IKE profile 模板(ike认证方式分IKE keychain和PKI域) ike profile +模板名称 keychain +keychain名称 local-identity address +本端隧道地址 match remote identity address +隧道对端地址 掩码 5、创建一条安全策略并引用 ipsec policy +安全策略名称 +序号 isakmp security acl 3101 transform-set +ipsec 安全提议 local-address +隧道本端地址 remote-address++隧道对端地址 ike-profile +ike模板名称
6、在接口下引用安全策略 int +接口 ipsec apply policy +安全策略名称 |
暂无评论
# acl data
acl advanced 3000
rule 0 permit ip source 192.168.11.0 0.0.0.255 destination 10.23.1.0 0.0.0.255
rule 1 permit ip source 10.23.1.0 0.0.0.255 destination 192.168.11.0 0.0.0.255
# proposal
ikev2 proposal tyy
encryption aes-cbc-256
dh group14
prf sha256
# keychain
ikev2 keychain tyy
peer tyy
address 119.96.240.226 255.255.255.255
pre-shared-key ciphertext $c$3$fv5IBQFsmSWrZp97MNy7wsp+4h15eB12A2HvaA==
# profile
ikev2 profile tyy
keychain tyy
match local address GigabitEthernet1/0/11
match remote identity address 119.96.240.226 255.255.255.255
# ipsec transform
ipsec transform-set tyy
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha256
#ipsec policy
ipsec policy tyy 1 isakmp
transform-set tyy
security acl 3000
local-address 223.76.246.148
remote-address 119.96.240.226
ikev2-profile tyy
# 将ipsec策略应用到接口
[FW-GigabitEthernet1/0/11]dis this | in ipsec
ipsec apply policy tyy
#豁免nat
acl advanced 3999
rule 33 deny ip source 192.168.11.0 0.0.0.255 destination 10.23.1.0 0.0.0.255
rule 34 deny ip source 10.23.1.0 0.0.0.255 destination 192.168.11.0 0.0.0.255
rule 100 permit ip
interface GigabitEthernet1/0/11
port link-mode route
ip address 223.76.246.148 255.255.255.0
nat outbound 3999 counting
这是我的配置,通过IKEV2进行提议
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论