H3C的ADVPN技术是支持基于IKEv2的IPsec保护的
1. ADVPN与IKEv2的关系:技术上是支持的
首先可以明确,从协议标准和H3C的实现来看,ADVPN与IKEv2是紧密相关的:
协议标准:ADVPN的核心功能——动态建立Spoke间的“直达隧道”(Shortcut),本身就是基于IKEvv2协议的一种扩展。
H3C实现:虽然老案例多用IKEv1,但这通常是出于向下兼容的考虑。对于新的部署项目,使用IKEv2是更推荐的做法。
2. 为什么IKEv2的案例比较少?
这背后主要有两个原因:
兼容性优先:IKEv1的成熟度和设备兼容性更高,因此官方文档和早期案例会优先以它作为通用示例。
历史遗留:很多存量网络和教程是基于IKEv1搭建的。
3. IKEv2配置核心思路
虽然无法提供完整的命令行,但如果你要自行尝试,可以将IKEv1的配置思路迁移过来,并关注以下几个核心点:
IKE提议 (IKE Proposal):这是最核心的区别。你需要创建一个新的IKE提议,并将版本强制指定为2。
ike proposal <proposal-number># 关键配置点- authentication-method pre-share
- encryption-algorithm aes-cbc-256 # 示例算法
- dh group14 # 示例DH组
- authentication-algorithm sha256 # 示例认证算法
- integrity-algorithm hmac-sha256 # IKEv2的完整性算法
- prf sha256 # IKEv2的伪随机函数
- ike-version 2 # 关键:指定为IKEv2
- IKE Keychain和Profile:配置方式与IKEv1类似,用于指定预共享密钥和对端身份。
IPsec安全策略 (IPsec Policy):ADVPN通常使用基于路由的IPsec VPN(
application-based),并在策略中启用auto-discovery功能,这是触发Spoke间建立直达隧道的开关。
zhiliao_Gixe
三段
支持。ADVPN可以基于IKEv2协商IPsec隧道。
关键配置思路:
1. Hub 配置为 服务器模式,`ike profile` 中启用 `match remote identity address`。
2. Spoke 配置为 客户端模式,`ike profile` 中配置 `local-identity address` 和 `match remote identity address`。
3. Spoke的 `ipsec policy` 或 `ipsec profile` 中引用客户端的 `ike profile`。
4. Hub的 `ipsec policy` 模板中引用服务器的 `ike profile`。
Hub配置示例(服务器模式):
ike profile advpn-server
exchange-mode aggressive
local-identity fqdn ***.***
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
...
ipsec policy-template advpn-temp 1
ike-profile advpn-server
...
ipsec policy advpn 1 isakmp template advpn-temp
Spoke配置示例(客户端模式):
ike profile advpn-client
exchange-mode aggressive
local-identity address
match remote identity fqdn ***.***
proposal 1
...
ipsec profile advpn-client
ike-profile advpn-client
...
注意: ADVPN动态协商依赖 Aggressive模式,这是实现Spoke动态注册和隧道动态建立的关键。配置前请备份。
关键配置思路:
1. Hub 配置为 服务器模式,`ike profile` 中启用 `match remote identity address`。
2. Spoke 配置为 客户端模式,`ike profile` 中配置 `local-identity address` 和 `match remote identity address`。
3. Spoke的 `ipsec policy` 或 `ipsec profile` 中引用客户端的 `ike profile`。
4. Hub的 `ipsec policy` 模板中引用服务器的 `ike profile`。
Hub配置示例(服务器模式):
ike profile advpn-server
exchange-mode aggressive
local-identity fqdn ***.***
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
...
ipsec policy-template advpn-temp 1
ike-profile advpn-server
...
ipsec policy advpn 1 isakmp template advpn-temp
Spoke配置示例(客户端模式):
ike profile advpn-client
exchange-mode aggressive
local-identity address
match remote identity fqdn ***.***
proposal 1
...
ipsec profile advpn-client
ike-profile advpn-client
...
注意: ADVPN动态协商依赖 Aggressive模式,这是实现Spoke动态注册和隧道动态建立的关键。配置前请备份。
如果按这个match remote identity的配置,那如果我想实现FULL-MESH组网,就要给每个节点都要写一个match配置?
九溟扶桑
发表时间:8小时前
更多>>
如果按这个match remote identity的配置,那如果我想实现FULL-MESH组网,就要给每个节点都要写一个match配置?
九溟扶桑
发表时间:8小时前
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明