关于H3C MSR3600-28 的IPSEC组网问题
- 0关注
- 0收藏,182浏览
问题描述:
设备已经升级到2025年的最新版本(Version 7.1.064, Release 6749P30)为什么按照华三官网给出的说明书设置IPSEC仍然无法接通呢?使用配置命令也无法接通。这个问题困扰我二年多了,没有办法仍在使用L2TP。知了社区技术人员多次给出配置,有的命令根本就不存在,要不就是命令不全,至今为解决,也查过华三公司的IPSEC配置命令说明书,还使用了AI工具等也都无法联通。设备正常、网络正常,华三厂商的产品真坑啊。恳请哪位大神给出正确的配置方法。
组网及组网描述:
总部外网:42.249.1.1 内网192.168.1.254/24
分部外网:59.47.2.2 内网192.168.2.254/24
|
采用IKE的预共享密钥方式建立 |
|
1、定义ACL acl number 3101 rule permit ip source +IP +反掩码 destination +IP+ 反掩码 2、配置IPSEC安全提议 ipsec transform-set+安全提议名称 encapsulation-mode tunnel ####(默认隧道模式) protocol esp #####(默认采用的安全协议是esp) esp encryption-algorithm +算法 ###加密算法 esp authentication-algorithm +算法 ####认证算法 3、创建并配置IKE keychain (keychain加密规则) ike keychain +名称 pre-shared-key address +隧道对端地址 掩码 key simple +密码 4、配置IKE profile 模板(ike认证方式分IKE keychain和PKI域) ike profile +模板名称 keychain +keychain名称 local-identity address +本端隧道地址 match remote identity address +隧道对端地址 掩码 5、创建一条安全策略并引用 ipsec policy +安全策略名称 +序号 isakmp security acl 3101 transform-set +ipsec 安全提议 local-address +隧道本端地址 remote-address++隧道对端地址 ike-profile +ike模板名称
6、在接口下引用安全策略 int +接口 ipsec apply policy +安全策略名称 |
#1、定义ACL acl number 3101 rule permit ip source 10.20.0.0 0.0.255.255 destination 10.102.0.0 0.0.255.255 #2、配置IPSEC安全提议 ipsec transform-set ALM encapsulation-mode tunnel protocol esp esp encryption-algorithm 3des-cbc esp authentication-algorithm md5 #3、创建并配置IKE keychain (keychain加密规则) ike keychain ALM pre-shared-key address 58.47.2.2 255.255.255.255 key simple 123456@123 #4、配置IKE profile 模板(ike认证方式分IKE keychain和PKI域) ike profile ALM keychain ALM local-identity address 41.249.1.1 match remote identity address 58.47.2.2 255.255.255.0 #5、创建一条安全策略并引用 ipsec policy ALM 1 isakmp security acl 3101 transform-set ALM local-address 41.249.1.1 remote-address 58.47.2.2 ike-profile ALM #6、在接口下引用安全策略 int gi0/0 ipsec apply policy ALM 对吗?但还是不通啊
官方文档:
https://www.h3c.com/cn/d_202211/1719124_30005_0.htm
如果不通,看下日志
debug ike sa
debug ipsec sa
你实际看以下,设备上没有这两个命令debug ike sa debug ipsec sa
你实际看以下,设备上没有这两个命令debug ike sa debug ipsec sa
上个帖子给你发的案例看了怎么样了。没有解决看我主页 我远程看看
?????什么??????谁让你公布了。帖子都逛不明白啊??没看见截图那里有一个分割线,那是别人回的,再者,自己配不好就屈服一下,让愿意的来解决。命令别人也发了,你也搜过。
公网地址是假的
?????什么??????谁让你公布了。帖子都逛不明白啊??没看见截图那里有一个分割线,那是别人回的,再者,自己配不好就屈服一下,让愿意的来解决。命令别人也发了,你也搜过。
查看以下配置方式;
ipsec web配置方式:
https://www.h3c.com/cn/pub/Document_Center/2025/03/WebHelp_MSR_XLKFDYWLYQ_WebPZZD_V7/default_auto.htm?CHID=1218018
ipsec 命令行配置方式:
https://www.h3c.com/cn/d_202510/2664993_30005_0.htm#_Toc208835054
网页和命令配置都不好用
网页和命令配置都不好用
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
对端也是按这个方式配置,地址换换。然后用ping触发下,按理说这个方式的不用触发他就通了。